Vraag 1

Bent u bekend met het bericht «EU, US go separate ways on cybersecurity»?1

Ja.

Vraag 2

Hoeveel schade wordt er jaarlijks geleden als gevolg van cybersecurity-incidenten?

De schade die jaarlijks in landen wordt geleden als gevolg van cybersecurity incidenten is niet goed vast te stellen omdat de schade bij veel verschillende partijen wordt geleden, niet eenduidig en volledig wordt gemeld, en naast economische schade ook imagoschade behelst.

Vraag 3

Is het waar dat de Verenigde Staten overwegen een regeling te introduceren, of deze al geïntroduceerd hebben, waarin de keuze cybersecurity-incidenten te melden, zoals bijvoorbeeld een lek in de beveiliging van data, aan bedrijven en instellingen wordt overgelaten op vrijwillige basis?

Op 12 februari 2013 stelde president Barack Obama een «executive order» vast waarin federale autoriteiten verplicht worden de informatiedeling over cybersecurity dreigingen met private bedrijven die kritieke infrastructuur ondersteunen te verbeteren. Vitale organisaties worden opgeroepen om op vrijwillige basis informatie over incidenten te delen. De uitwerking van de verschillende onderdelen van de «executive order» vindt in de komende maanden plaats.

Vraag 4

Is het waar dat de door de Europese Commissie voorgestelde richtlijn voorziet in een meldplicht van dit soort incidenten? Wat is uw oordeel over dit onderdeel van deze richtlijn?

Ja. Voor het standpunt van de regering over dit voorstel verwijs ik u naar het BNC-fiche dat op 15 maart 2013 naar uw Kamer is gezonden (Kamerstukken II 2012/2013, 22 112, nr. 1587).

Vraag 5

Hoe groot is de bereidwilligheid onder bedrijven tot het op vrijwillige basis melden van cybersecurity-incidenten, zoals bijvoorbeeld datalekken? Hoeveel meer incidenten zouden worden gemeld indien er sprake zou zijn van een verplichting?

De bereidheid onder organisaties tot het vrijwillig melden van cybersecurity incidenten neemt toe. In 2012 zijn er 364 incidenten gemeld bij het Nationaal Cyber Security Centrum. In 2011 waren dit er nog 236. Het aantal gemelde cybersecurity breaches is echter nog relatief beperkt. Het betreft hier inbreuken op de veiligheid en of integriteit van informatiesystemen die potentieel kunnen leiden tot maatschappelijke ontwrichting. Om deze reden wordt naar aanleiding van de motie Hennis-Plasschaert c.s. (Kamerstukken II 2011/2012, 26 643, nr. 202) door de minister van VenJ ontwerp-wetgeving voorbereid, die strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. In geval van datalekken gaat het om een inbreuk op beveiligingsmaatregelen voor persoonsgegevens, die leidt tot het verlies van persoonsgegevens. Ook voor datalekken geldt dat de bereidheid tot het vrijwillig melden ervan aan de toezichthouder of aan de betrokkene wiens persoonsgegevens het betreft, gering is. Bij het College bescherming persoonsgegevens zijn de afgelopen twee jaar drie datalekken door verantwoordelijken gemeld. De verwachting is dat een wettelijke verplichting het aantal meldingen zal doen toenemen.

Vraag 6

Wat is de invloed van de voorgestelde Amerikaanse regelgeving op de internetveiligheid van Nederlandse burgers, bedrijven en overheid? Leidt dit per saldo ertoe dat hun persoonlijke gegevens minder goed kunnen worden beschermd?

Elke maatregel die er op is gericht de bereidheid van organisaties tot het melden van cybersecurity incidenten te vergroten zal in principe bij kunnen dragen aan het verbeteren van de internetveiligheid. Het valt echter niet op voorhand te zeggen wat de gevolgen van de door de Verenigde Staten gemaakte keuzes zullen zijn.

Vraag 7

Deelt u de mening dat het uiteenlopen van deze regelgeving er niet toe zou moeten leiden dat de gegevens van Nederlandse burgers, bedrijven of zelfs staatsgevoelige informatie op straat komt te liggen? Hoe kan dat worden voorkomen?

Ik deel uw mening dat het onwenselijk is als gevoelige informatie op straat komt te liggen. In de «executive order» wordt ook specifiek gesteld dat de grondrechten (privacy en civil liberties) geborgd moeten worden bij het uitwerken van de maatregelen.

Vraag 8

Wat is de invloed van de voorgestelde regelgeving voor het handelsverkeer tussen de Verenigde Staten en Nederland? Leidt dit ertoe dat er handelsrestricties, al dan niet feitelijk, ontstaan waardoor het intercontinentale handelsverkeer wordt belemmerd?

De zowel in de VS als in de EU aangekondigde maatregelen met betrekking tot het melden van cybersecurity-incidenten hebben geen directe betrekking op het intercontinentale handelsverkeer. Het gaat om het al dan niet vrijwillig melden van incidenten vanuit de door de VS en de EU gedeelde noodzaak om tot een hoger niveau van netwerk- en informatiebeveiliging te komen. De meeste bedrijven nemen vanuit oogpunt van bedrijfszekerheid ook zelf al de nodige maatregelen. De eigen verantwoordelijkheid wordt door de in de VS en de EU aangekondigde maatregelen expliciet gemaakt.

Vraag 9

In hoeverre schaadt het uiteenlopen van de regelgeving de belangen van Nederlandse bedrijven? Bestaat hier verschil tussen bedrijven die wel en bedrijven die niet in de Verenigde Staten zijn gevestigd?

De manier waarop de maatregelen zijn opgesteld verschilt maar lijkt vanwege het beoogde materiële effect geen wezenlijk verschil te maken voor de positie van in de VS gevestigde Nederlandse bedrijven ten opzichte van de in de EU actief zijnde Nederlandse bedrijven. Niettemin zal het kabinet dit punt meenemen in de komende besprekingen van de ontwerprichtlijn van de EU.

Vraag 10

Welke risico’s ziet u voor de Europese ambitie cloud computing te stimuleren nu de regeling van de Verenigde Staten en de Europese Unie zo van elkaar verschillen?

Net als de VS heeft ook Europa ambities om cloud computing te stimuleren. Cloud computing is een relatief nieuwe ontwikkeling die kansen biedt voor efficienter en flexibeler werken. De globalisering van de opslag en het beheer van data, de juridische kaders die gelden en de wijze waarop eigenaar en beheerder van persoonsgegevens hun verantwoordelijkheden kunnen nemen, vraagt ook om om een goede borging van de privacy.
In de op 27 september 2012 gepubliceerde EU Cloud Strategie benoemt de Commissie de economische kansen maar ook de acties die nodig zijn in het kader van dataprotectie en de standaardisatie van privacy-aspecten in internationaal verband. De internationale dialoog over deze aspecten is van belang om zo ook buiten de EU de privacy te beschermen.

Vraag 11

Welke acties gaat u ondernemen naar aanleiding van deze informatie?

Het standpunt van de regering over voorstel voor richtlijn COM(2013)48 van de Europese Commissie is in een BNC-fiche naar uw Kamer gezonden op 15 maart 2013 (Kamerstukken II 2012/2013, 22 112, nr. 1587). Tevens bereidt het Ministerie van VenJ ontwerp-wetgeving voor, die zoals eerder gemeld strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. Op grond van de definitieve tekst van de EU richtlijn zal moeten worden bezien of en in welke mate deze nationale (ontwerp) wetgeving hiermee in overeenstemming is.
Hiernaast zal de staatssecretaris van VenJ, samen met de ministers van BZK en EZ, binnenkort een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens indienen dat strekt tot invoering van een wettelijke meldplicht voor datalekken. Daarnaast streeft het kabinet nationaal en internationaal naar een adequate balans tussen veiligheid, vrijheid en (economische) groei. In de nieuwe nationale cybersecuritystrategie en in de internationale arena is er aandacht voor deze balans en de genoemde risico’s.

Vraag 1

Bent u bekend met het nieuwsbericht dat journalist Brenno de Winter gevraagd is te getuigen over de hack op Groene Hart Ziekenhuis, waar documenten op een publiek toegankelijke internetserver stonden? Kunt u dit uitleggen hoe dit mogelijk is?1

De heer de Winter is door de politie uitgenodigd als getuige om in het kader van een strafrechtelijk onderzoek naar een hack bij het Groene Hart Ziekenhuis een aantal vragen van de politie te beantwoorden.
Een ieder waarvan wordt vermoed dat diens getuigenverklaringen kunnen bijdragen aan het oplossen van (ernstige) strafbare feiten, kan worden uitgenodigd voor een getuigenverhoor bij de politie. Zo’n getuigenis in de opsporingsfase gebeurt op basis van vrijwilligheid. Daarnaast geldt voor journalisten onverminderd het recht op bronbescherming waar zij zich op kunnen beroepen.

Vraag 2

Bent u bekent met de uitspraak van het Europese Hof voor de Rechten van de Mens van 2007 over de zaak Koen Voskuil?

Ja. In deze zaak werd een journalist tijdens de behandeling van een strafzaak in hoger beroep op vordering van de verdediging gegijzeld door het Hof Amsterdam omdat hij zijn bron niet bekend wilde maken. Het Hof in Straatsburg oordeelde dat de gijzeling een disproportionele schending had opgeleverd van het recht op bronbescherming van de journalist.
Ik zie geen samenhang met de kwestie waarop deze Kamervragen betrekking hebben, namelijk de uitnodiging aan de journalist Brenno de Winter om vragen van de politie te beantwoorden in een lopend strafrechtelijk onderzoek. Van inbreuk op de bronbescherming van de journalist is in dit geval geen sprake. Dit geldt in het bijzonder nu de aangehouden hacker zichzelf reeds aan de politie kenbaar had gemaakt als bron van de journalist.

Vraag 3

Hoe staat het in Nederland met het verschoningsrecht van journalisten als gevolg van onder andere deze uitspraak? In hoeverre is de betreffende uitspraak in wetgeving omgezet?

De diverse uitspraken van het EHRM over de bronbescherming en het verschoningsrecht van journalisten worden als leidend beschouwd bij het opsporings- en vervolgingsbeleid van de politie en justitie in Nederland voor zover hierbij een journalist betrokken is. Zo is in 2012 de Aanwijzing toepassing dwangmiddelen tegen journalisten van het College van procureurs-generaal aangepast mede naar aanleiding van het Sanoma-arrest van het EHRM van 14 september 2010.
Eveneens naar aanleiding van het Sanoma-arrest is een aanvulling van het wetsvoorstel Bronbescherming in voorbereiding genomen, waarin voorafgaande rechterlijke toetsing van dwangmiddelen tegen verschoningsgerechtigden is opgenomen. Zoals in de brief van 7 december 2012 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, mede namens mij, is aangekondigd, is inmiddels een aanvullend advies gevraagd aan de Raad van State (Kamerstukken II, vergaderjaar 2012–2013, 30977, nr.2. De voorbereiding van het wetsvoorstel is aangehouden omdat wij de uitspraak van het EHRM in de zaak van De Telegraaf tegen de Staat wilden afwachten teneinde met de resultaten daarvan tijdig rekening te kunnen houden. In dezelfde brief treft u de conclusies die wij aan het arrest hebben verbonden.

Vraag 4

Weet u dat in een korte tijd meerdere kwetsbaarheden bij zorggerelateerde instellingen aan het licht zijn gebracht? Is het beleid om iedereen die een misstand aan het licht brengt te vervolgen? Zijn er ook omstandigheden denkbaar waarbij u samenwerkt met deze personen met als hoger doel kwetsbaarheden in de beveiliging van computersystemen te voorkomen en bestrijden?

Ja, dat is bekend. Het is goed wanneer kwetsbaarheden bij zorggerelateerde instellingen aan het licht worden gebracht. Dat neemt niet weg dat, indien het aantonen van kwetsbaarheden gepaard gaat met een strafbaar feit, dit strafrechtelijk kan worden onderzocht door het openbaar ministerie. Dit vloeit voort uit het zeer zwaarwegend maatschappelijk belang dat gemoeid is met de bescherming van gevoelige persoonsgegevens zoals medische informatie.
Bij een hack uit «ethische» motieven kan sprake zijn van het ontbreken van de materiële wederrechtelijkheid, dat wil zeggen dat de verdachte het feit bewijsbaar heeft begaan maar dat hij hiervoor niet strafbaar is. Er moet dan wel zijn gebleken dat er voor de hacker geen andere (minder ingrijpende) methoden voorhanden waren om de kwetsbaarheden aan te tonen en dat hij hierbij de nodige zorgvuldigheid heeft betracht; belangen van derden mogen niet onnodig zijn geschonden. In deze zaak waren er redenen om te twijfelen aan de zorgvuldigheid en de ethische motieven van de verdachte.
Bij het Team High Tech Crime van de Nederlandse Politie werken personen die over dezelfde vaardigheden beschikken als hackers. Zij spelen een belangrijke rol in de opsporing van ernstigere vormen van cybercrime.

Vraag 5

Bent u bekend met het richtsnoer van het College bescherming persoonsgegevens met betrekking tot de NEN-7510 norm (de door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland)? Deelt u de visie van experts dat de NEN-norm de minimale basis voor beveiliging in de zorg vormt? Zo nee, waarom niet?

Ik ben bekend met de Richtsnoeren Beveiliging van het College bescherming persoonsgegevens (CBP). Zorgaanbieders zijn verantwoordelijk voor de juistheid, actualiteit en beveiliging van de zorginhoudelijke gegevens. In artikel 13 van de Wet bescherming persoonsgegevens (Wbp) staat deze verplichting tot beveiliging in algemene zin opgenomen. Specifiek voor informatiebeveiliging in de zorg zijn normen beschikbaar van het Nederlands Normalisatie-instituut, te weten NEN-normen 7510 tot en met 7513. Op 21 december 2012 is het wetsvoorstel inzake cliëntenrechten bij elektronische verwerking van gegevens aangeboden aan uw Kamer (Kamerstukken II, vergaderjaar 2012–2013, 33509, nr.3. Naar de genoemde NEN-normen zal in de algemene maatregel van bestuur op grond van artikel 26 Wbp dwingend worden verwezen.
De Inspectie voor de gezondheidszorg (IGZ) houdt zorgbreed risicogericht toezicht. Er worden geen lijsten bijgehouden van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm. Uiteraard wordt wel een overzicht bijgehouden van zorgaanbieders waar de IGZ inspecties heeft uitgevoerd. In haar toezicht op de informatiebeveiliging door zorginstellingen betrekt de IGZ ook de NEN-normen. In 2003 en in 2007 heeft de IGZ telkens bij 20 Nederlandse ziekenhuizen een onderzoek uitgevoerd naar de mate van informatiebeveiliging. Het onderzoek in 2007 heeft de IGZ overigens samen met het CBP uitgevoerd. De onderzoeksresultaten waren voor de IGZ aanleiding om vervolgens aan alle ziekenhuizen te vragen zich in 2010 extern te laten auditen op de mate van informatiebeveiliging. Alle ziekenhuizen hebben hieraan gehoor gegeven en hebben toen uiteindelijk een voldoende score laten zien.
Voorwaarde voor aansluiting op de zorginfrastructuur (voorheen het Landelijk Schakelpunt) is dat het zorginformatiesysteem van de zorgaanbieder, en het gebruik daarvan, voldoet aan de eisen van een goed beheerd zorgsysteem (GBZ). Deze GBZ-eisen zijn onder andere gebaseerd op relevante onderdelen van de NEN-norm 7510. Op sommige onderdelen zijn specifiekere eisen gesteld. Het is aan de zorgaanbieder om aan deze eisen te voldoen.
Het is overigens aan de verantwoordelijke van het informatiesysteem om te borgen dat de informatie-uitwisseling tussen zorgaanbieders voldoet aan geldende wet- en regelgeving. Hier wordt ook strikt op toegezien; enerzijds ziet het CBP toe op de naleving van de Wbp en aanverwante wetten, anderzijds ziet de IGZ erop toe dat er verantwoorde zorg wordt geleverd en dat de beveiliging van medische dossiers op orde is. Het toezicht op de informatiebeveiliging is momenteel voldoende belegd bij de IGZ en het CBP en de huidige wettelijke bepalingen en bestaande veldnormen bieden voldoende aanknopingspunten voor toezicht op de beveiliging van medische dossiers.

Vraag 6

Kunt u een actuele lijst samenstellen van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm, waar deze toetsing niet heeft plaatsgevonden en wat de resultaten van de toetsing is geweest? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 7

Bent u van mening dat het mogelijk is te beginnen met een Landelijk elektronisch patiëntendossier (EPD) of een Landelijk Schakelpunt op het moment dat een aangesloten zorgverlener of zorginstelling niet aan de NEN-norm voldoet? Kunt u uw antwoord toelichten?

Zie antwoord vraag 5.

Vraag 8

Welke capaciteit wordt door de overheid ingezet voor het afdwingen van deze NEN-norm en het verlenen ondersteuning daarbij?

Zie antwoord vraag 5.

Vraag 9

Welk prioritering geeft de overheid aan het naleven van beveiligingsnormen binnen het zorgdomein in relatie tot het aanpakken van hackers die actief lekken kenbaar maken?

Dit onderwerp krijgt momenteel nadrukkelijk de aandacht van de overheid en van het veld. Zoals ik reeds heb aangegeven in de «Leidraad om te komen tot een praktijk van responsible disclosure» (Kamerstukken II, vergaderjaar 2012–2013, 26 643, nr. 264) kan responsible disclosure een belangrijk middel zijn om bij te dragen aan ICT-beveiliging. Door een kwetsbaarheid op een meer besloten wijze en in samenwerking met de getroffen organisatie kenbaar te maken (de verantwoorde of «responsible» disclosure) kunnen de gevolgen voor deze organisatie beperkt worden terwijl ook het publieke belang wordt gediend. Dit heeft nadrukkelijk de voorkeur boven het direct volledig publiekelijk bekend maken van een kwetsbaarheid (full disclosure). De door het Nationaal Cyber Security Centrum (NCSC) opgestelde leidraad dient dan ook om het toepassen van responsible disclosure bij alle partijen te stimuleren. Deze zal in de Zorg Information Sharing and Analysis Center (ISAC) onder de aandacht worden gebracht van het zorgveld.
Overigens wordt er gewerkt aan een meldplicht voor datalekken die inhoudt dat datalekken onder meer moeten worden gemeld bij het CBP. Dit is verwerkt in het wetsvoorstel «Gebruik camerabeelden en meldplicht datalekken» van de Staatssecretaris van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

Vraag 10

Hoeveel opsporingscapaciteit is ingezet bij het opsporen van hackers die kwetsbaarheden bij het Groene Hart Ziekenhuis hebben aangetoond?

Het onderzoek naar de hack op het Groene Hartziekenhuis is nog niet afgerond. Om die reden kan ik geen uitspraken doen over de hoeveelheid opsporingscapaciteit die is ingezet bij het opsporen van de hackers.

Vraag 1

Herinnert u zich de nog niet beantwoorde eerdere vragen over de aanpak van illegale aanbieders van kansspelen op internet en vooral de activiteiten van 7Red.com?1 Kent u ook het bericht «Gokreclames 7Red.com verboden»?2

Ja.

Vraag 2

Kent u de reclame van het online gokbedrijf Royaalcasino.com zoals uitgezonden op de op Nederland gerichte tv-zender van National Geographic en de websites?3 Zo ja, voldoen deze websites aan de prioriteringscriteria, te weten het hebben van een nl.site of het aanbieden van de site in de Nederlandse taal of reclame maken op radio, televisie en in geprinte media op grond waarvan de Kansspelautoriteit online goksites zegt aan te pakken? Zo nee, zou u zich dan op de hoogte willen stellen van deze reclame en websites?

Het is sinds 1 april 2012 aan de kansspelautoriteit (ksa) om toe te zien op de naleving van de Wet op de kansspelen (Wok), waaronder de regels ten aanzien van werving en reclame. De ksa laat mij weten de betreffende reclame te kennen. Het is aan de ksa om te bepalen hoe zij omgaat met de handhaving van de Wok.

Vraag 3

Over welke mogelijkheden beschikt de Kansspelautoriteit om illegale gokreclames op te sporen?

De medewerkers van de ksa houden via internet actief zicht op reclame-uitingen. Daarnaast ontvangen zij meldingen van burgers, bedrijven en organisaties over gokreclames.

Vraag 4

Op welke wijze kan de Kansspelautoriteit daadwerkelijk boetes opleggen en vooral ook innen bij gokbedrijven die gevestigd zijn in andere landen zoals Costa Rica, Malta of Curaçao? Hoe werken dergelijke inningsprocedures in de praktijk?

De ksa beschikt over een bestuurlijk handhavingsinstrumentarium, waaronder het opleggen van bestuurlijke boetes. Indien buitenlandse illegale aanbieders weigeren een bestuurlijke boete te betalen, is – zonder verhaalsmogelijkheden in Nederland – bestuursrechtelijke handhaving minder effectief. De ksa kan niet in het buitenland de betaling van bestuurlijke boetes afdwingen. Inzetten van het strafrecht is grensoverschrijdend mogelijk, maar wordt gezien als ultimum remedium (in die gevallen waarin sprake is van meervoudige of herhaalde overtredingen, van verwevenheid met andere criminele activiteiten en/of waarin de behoefte bestaat aan de toepassing van strafvorderlijke dwangmiddelen en bevoegdheden of het opleggen van specifiek strafrechtelijke sancties). Bij de ontwikkeling van het wetsvoorstel kansspelen op afstand bekijk ik welke aanvullende bevoegdheden de effectiviteit van de handhaving van de ksa verder kunnen versterken.

Vraag 1

Bent u bekend met het bericht «IJsland wil porno blokkeren»?1

Ja.

Vraag 2

Wat is uw reactie op het besluit van de IJslandse regering om op internet pornografie te blokkeren, om schadelijke effecten voor kinderen die porno zien te voorkomen?

Er zijn nu nog geen vastomlijnde plannen in IJsland om pornografie op internet te blokkeren. Op dit moment worden alleen de mogelijkheden daartoe onderzocht.

Vraag 3

Hoe zit de beoogde maatregel in IJsland in elkaar? Wat is de achterliggende gedachte achter deze maatregel? Welk doel dient de blokkade? Op welke wijze kan er een blokkade worden bewerkstelligd?

De IJslandse minister van Binnenlandse Zaken heeft een werkgroep gevormd die hem moet adviseren hoe de verspreiding van pornografie op internet kan worden tegengegaan. Volgens het IJslandse «Commissariaat voor de Media» wordt onder meer gedacht aan media-educatie, aanpassing van de definitie van porno in de bestaande wetgeving, het filteren van websites, het blokkeren van IP-adressen van pornosites en een verbod op het gebruik van IJslandse creditcards voor de toegang tot bepaalde websites. Een eventueel verbod op pornografie op internet zou de huidige IJslandse wet tegen het importeren, publiceren en distribueren van pornografisch materiaal in de fysieke wereld complementeren. In IJsland is veel discussie over de mogelijk schadelijke effecten van gewelddadige vormen van pornografie, met name voor jonge jongens. Uit de nationale consultatie van politici, in zedenzaken gespecialiseerde advocaten en professionals op het gebied van onderwijs en gezondheid is gebleken dat in IJsland draagvlak bestaat voor het blokkeren van porno op internet. Of het blokkeren van pornografie op internet ook technisch waterdicht te realiseren is, zal nog worden bezien.

Vraag 4

Bent u bereid het onderzoek waar de IJslandse regering naar verwijst, voorzien van uw reactie, naar de Kamer te sturen? In hoeverre is dit onderzoek van toepassing op de Nederlandse situatie?

De IJslandse regering verwijst naar het boek Pornland. How porn has hijacked our sexuality. Volgens de auteur dr. Gail Dines vertonen kinderen die op jonge leeftijd geconfronteerd worden met gewelddadige porno, dezelfde tekenen van trauma als kinderen die seksueel misbruikt zijn. De betreffende publicatie vormt echter geen weerslag van eigen wetenschappelijk onderzoek, maar biedt een interpretatie van visies op de rol van porno en erotiek vanuit een feministische grondslag. Ons is ook geen ander onderzoek bekend waaruit een vergelijkbaar traumatische effect van gewelddadige porno zou blijken als bij kinderen die seksueel misbruikt zijn. Ook de door ons geraadpleegde experts op het gebied van jeugd en media geven aan dergelijk onderzoek niet te kennen.

Vraag 5

Wat is er bekend over de invloed van porno op kinderen in Nederland?

Vanwege ethische bezwaren is in Nederland, noch in het buitenland ooit experimenteel onderzoek gedaan naar de directe invloed van pornografische beelden op kinderen. Wel zijn de statistische verbanden – ook longitudinaal – onderzocht bij vooral jongeren ouder dan 12 jaar die pornografische beelden hebben gezien. Uit onderzoek in 2011 van het kenniscentrum Rutgers WPF en het Nederlands Jeugd Instituut blijkt onder meer een wederkerig verband tussen het kijken naar porno enerzijds en seksuele belangstelling en seksueel gedrag anderzijds: jongens die meer in seks geïnteresseerd zijn en meer ervaring hebben, kijken meer naar porno en het kijken naar porno stimuleert vervolgens ook hun seksuele interesse. Bij meisjes wordt in deze studie nauwelijks een verband met kijken naar pornografische beelden gevonden. Onderzoek van de Universiteit van Amsterdam uit 2008 en 2009 toont longitudinale verbanden aan tussen het kijken naar porno en een positievere attitude tegenover seks buiten een relatie, minder tevredenheid over het eigen seksleven, meer onzekerheid over seksualiteit en de perceptie van vrouwen als lustobject. Daarbij moet wel de kanttekening geplaatst worden dat er naast het kijken naar porno veel andere factoren zijn die de seksuele ontwikkeling van jongeren beïnvloeden.

Vraag 6

Wat is er bekend over de omvang van het aantal kinderen in Nederland dat porno op hun mobiele telefoons bekijkt?

Er zijn wel cijfers over het percentage Nederlandse kinderen dat wel eens porno heeft gezien, maar niet specifiek voor het medium mobiele telefoons. Rutgers WPF en SOA Aids Nederland vonden in hun onderzoek Seks onder je 25ste (2012) dat twee derde van de 12- tot 14-jarige jongens en een vijfde van de meisjes in deze leeftijdscategorie het afgelopen half jaar porno heeft gezien, meestal op het internet. Het Sociaal en Cultureel Planbureau concludeerde op basis van het EU Kids Online onderzoek in 2011 dat ongeveer twee vijfde van de 9- tot 16-jarige internetgebruikers in aanraking komt met pornografische beelden (39%), zowel via internet (22%) als via televisie en film. Van deze jongeren blijkt 5% van streek te raken door het zien van seksueel getinte beelden. Nog lopend onderzoek van het lectoraat Cybersafety van de NHL Hogeschool onder kinderen en jongeren liet in 2012 zien dat 19% van de kinderen op de basisschool wel eens seksueel expliciet beeldmateriaal op internet heeft gezien.

Vraag 7

In hoeverre wordt er in Nederland bij hulpverleningsinstanties om hulp gevraagd als het gaat om de schadelijke gevolgen voor kinderen die porno te zien krijgen? In hoeverre is er op dit gebied hulpaanbod?

Er zijn geen cijfers beschikbaar over dit specifieke beroep op hulpverleningsinstanties. De digitale wereld kent niet alleen veel kansen; aan (verkeerd) gebruik zijn ook risico’s verbonden. Om jongeren op het terrein van seksualiteit meer bewust te maken van de risico’s van social media en internet is er in het lespakket «Lang leve de liefde» een module mediawijsheid «Jij en de media» opgenomen. Dit lespakket wordt op veel middelbare scholen en ROC’s gebruikt. Het is van belang dat jongeren en hun ouders mediawijs zijn. Dit wil zeggen dat jongeren en hun ouders over kennis, vaardigheden en een mentaliteit moeten beschikken, waarmee zij zich bewust, kritisch en actief kunnen bewegen in de digitale wereld. Verschillende ministeries zetten zich in om de mediawijsheid te vergroten. Op initiatief van het ministerie van Onderwijs, Cultuur en Wetenschap en het toenmalige ministerie voor Jeugd en Gezin is in 2008 het expertisecentrum Mediawijzer.net opgezet, dat de mediawijsheid van Nederlandse burgers en organisaties beoogt te bevorderen. Het is van belang dat mediawijsheid ook een onderdeel vormt van de opvoeding. Daarom onderhoudt Mediawijzer.net relaties met organisaties die ouders en opvoeders voorzien van informatie over allerlei thema’s, waaronder seksuele beelden en seksueel gedrag via het internet.

Vraag 8

Wordt er in Nederland onderzoek gedaan naar de schadelijke effecten voor kinderen die porno te zien krijgen? Zo nee, bent u bereid hier onderzoek naar te doen? Zo, ja bent u bereid dit onderzoek naar de Kamer te sturen?

Zoals aangeven in antwoord op vraag 5 wordt geen direct experimenteel onderzoek gedaan, maar worden wel de statistische verbanden onderzocht bij kinderen en jongeren die naar pornografische beelden hebben gekeken. Op dit moment loopt het onderzoek van de NHL Hogeschool, die met een tweede meting gestart is. De resultaten van dit onderzoek worden in september 2013 verwacht. Het entameren van aanvullend onderzoek achten de staatssecretaris van Volksgezondheid, Welzijn en Sport en ik niet noodzakelijk.

Vraag 1

Wat is uw reactie op het artikel «Overheid laks na aanval door botnet» waarin wordt belicht dat de overheid niet adequaat heeft opgetreden nadat zij was ingelicht dat duizenden bedrijven en overheidsinstellingen slachtoffer zijn geworden van cybercriminelen?1

Het artikel «Overheid laks na aanval door botnet» suggereert dat er door de overheid niets is en wordt gedaan aan de aanval door een botnet. Deze suggestie is onjuist.
Het NCSC heeft Digital Investigation verzocht om het gedeelte van de dataset te leveren dat nodig is om respons naar zijn achterban van overheid en vitale sectoren mogelijk te maken. Deze gegevens zijn op 8 december 2012 aangeleverd. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden, het NCSC heeft geen rechtsbasis om deze inhoudelijke en mogelijk gevoelige gegevens in te zien en te verwerken. De informatie was immers oorspronkelijk afkomstig van een misdrijf en bevatte persoonlijke gegevens en informatie waarvan de betrouwbaarheid en herkomst niet kon worden vastgesteld. Tevens stond niet vast stond hoe Digital Investigation deze informatie had verkregen.
De van Digital Investigation ontvangen IP-adressen zijn in december 2012 gecontroleerd op aanwezigheid in de bij het NCSC bekende IP-ranges (reeksen van door het departement of de instelling gebruikte IP-adressen) van departementen en instellingen binnen de doelgroep van het NCSC: de overheid en de vitale sectoren. Naar aanleiding van de resultaten hiervan zijn een zestiental departementen en instellingen actief geïnformeerd over een mogelijke besmetting omdat een match met mogelijk besmette IP-adressen werd vastgesteld in de IP-range.

Vraag 2

Wat zijn de risico’s nu blijkt dat cybercriminelen informatie hebben buitgemaakt van instellingen die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen? Hoe treedt u op tegen deze gevaren?

Zie antwoord 8

Vraag 3

Waarom heeft de politie besloten geen verder onderzoek te doen naar de melding van deze aanval? Waarom heeft de politie niet gevraagd om een leesbare kopie van de harddisk met de gestolen informatie? Deelt u de mening dat het verloop van deze kwestie niet bijdraagt aan het vergroten van het besef bij bedrijven en instellingen dat het melden van cybercrime van groot belang is?

Door de Politie wordt permanent onderzoek gedaan naar botnets. Begin augustus 2012 werd een groot aantal, voornamelijk Nederlandse bedrijven en (overheids)-instellingen getroffen door de uitbraak van een computervirus met de naam Dorifel. Gelet op de impact van de virusuitbraak, werd daar een onderzoek naar ingesteld door het Team High Tech Crime (THTC) van de Landelijke Eenheid van de Politie.
In dit onderzoek bleek dat het Dorifel-virus werd verspreid middels een botnet dat gebruik maakt van de zogenaamde Citadel-malware. Het onderzoek richt zich (tevens) op de identificatie van het criminele samenwerkingsverband achter het specifieke Citadel-botnet waarmee het Dorifel-virus werd verspreid.
In oktober 2012 kreeg het IT-beveiligingsbedrijf Digital Investigation via Leaseweb de beschikking over de inhoud van een command & controlserver van een Citadel-botnet (met de naam Pobelka). Omdat vermoed werd dat deze command & controlserver gerelateerd was aan de uitbraak van het Dorifel-virus, werd door Digital Investigation contact opgenomen met THTC en werd aangeboden om de gegevens van de command & control-server aan THTC te verstrekken. Op 16 oktober 2012 is door medewerkers van THTC een bezoek gebracht aan Digital Investigation. Door Digital Investigation is een kopie van de data op een harde schijf aan THTC overhandigd. Naar later bleek was deze schijf niet leesbaar. Daarna is op 20 november 2012 door medewerkers van THTC wederom een bezoek gebracht aan Digital Investigations. In dat gesprek kwam naar voren dat er geen directe relatie gelegd kon worden met de uitbraak van het Dorifel-virus. Derhalve is door THTC niet om een nieuwe kopie van de data verzocht. Wel bleek uit het onderzoek van Digital Investigation dat een groot aantal Nederlandse bedrijven besmet was met de Citadel-malware, hierop is door het THTC geadviseerd om contact op te nemen met het NCSC.
Ik ben met u van mening dat het melden van cybercrime van groot belang is. Naar mijn oordeel doet deze casus geen afbreuk aan het besef bij bedrijven dat het melden van cybercrime van groot belang is.

Vraag 4

Deelt u de mening dat met de gestolen gegevens heel Nederland platgelegd kan worden? Kunt u uw antwoord toelichten?

Zie antwoord 8

Vraag 5

Wat is de reden dat besmette bedrijven niet actief zijn gealarmeerd? Zijn inmiddels alle getroffen bedrijven ingelicht?

Het NCSC heeft op 8 december direct actie ondernomen door na overleg met Digital Investigation dat gedeelte van de dataset in ontvangst te nemen dat noodzakelijk is voor de respons. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden. Op basis van deze gegevens heeft het NCSC voor de partijen waar zij verantwoordelijk voor is, de Rijksoverheid en de vitale sectoren, onderzocht of er, in de bij het NCSC bekende IP-ranges, IP-adressen aanwezig waren. Zo konden deze, wanneer zij getroffen waren, gericht worden geïnformeerd. Het NCSC heeft daarnaast partners als Internet Service Providers (ISP) gewezen op de informatie over het botnet, zodat zij konden nagaan of klanten en andere partijen waar zij een vertrouwensrelatie mee hebben uit hun achterban getroffen waren. In 16 gevallen is er door het NCSC gericht gealerteerd; dit betrof partijen waarvan de zogeheten IP-ranges (de reeksen van IP-adressen die door deze partijen worden gebruikt) bekend waren bij het NCSC. Indien deze IP-adressen niet bekend zijn bij het NCSC, is het onmogelijk om gericht te kunnen alerteren.

Vraag 6

Hoe kan het dat het Nationaal Cyber Security Centrum (NCSC) zegt dat de organisaties uit de vitale infrastructuur door hen zijn gewaarschuwd, terwijl uit de steekproef van de NOS blijkt dat dit niet het geval is?

Zie antwoord 5

Vraag 7

Op basis waarvan heeft het NCSC besloten de gestolen informatie niet aan te mogen nemen? Bent u van mening dat bij directe dreiging de NCSC de bevoegdheid moet hebben om informatie te kunnen inzien? Zo ja, bent u voornemens dit mogelijk te maken?

In zijn algemeenheid ben ik van mening dat de overheid op terughoudende wijze dient om te gaan met onrechtmatig verkregen informatie, zeker als dit informatie betreft die de persoonlijke levenssfeer raakt. Het NCSC kon op grond van haar bestaande taken en bevoegdheden de informatie niet in ontvangst nemen en heeft daar ook geen rechtsbasis voor. Daarbij stond niet vast hoe Digital Investigation deze informatie had verkregen. Om dit belangrijke werk nu en in de toekomst effectief te kunnen blijven doen, zal nog dit jaar gewerkt worden aan het helder duiden van de taken en bevoegdheden van het NCSC. Juridisch verkend zal worden hoe het NCSC op een zorgvuldige wijze kan omgaan met de informatie die het NCSC vanuit de ICT-community bereikt. Daarbij zal worden gekeken hoe en op welke rechtsbasis het NCSC gegevens kan verwerken om de impact van dreigingen in het digitale domein op de nationale veiligheid te beperken. Hiermee wil ik er onder meer voor zorgen dat het NCSC haar rol als Computer Emergency Response Team (CERT) blijvend adequaat kan invullen.

Vraag 8

Bestaat het risico dat de verkregen gegevens gebruikt kunnen worden voor het afpersen van bij kritieke bedrijfsprocessen betrokken personen? Kunt u uw antwoord toelichten?

Nu onderdelen van de dataset in de openbaarheid zijn gekomen en daarmee het risico van misbruik groter is geworden, is door een aantal partijen de suggestie gewekt dat hierbij mogelijk grote belangen geschaad zouden zijn. Om deze reden is het van belang om de dataset in een brede context te analyseren en de potentiële impact van gegevens in de dataset in te schatten. Vanuit zijn coördinerende rol heeft de NCTV partijen die, vanuit eigen mandaat en verantwoordelijkheid, aan de analyse meedoen bij elkaar gebracht. De eerste resultaten van dit onderzoek zullen naar verwachting in de 2e helft van maart beschikbaar zijn. In afwachting van de resultaten van het onderzoek is het niet mogelijk om een gefundeerd antwoord te geven op vragen over de potentiële impact van de gegevens en de handelingen die actoren hiermee zouden kunnen verrichten. Ook is een strafrechtelijk onderzoek opgestart. De doelstelling van dit onderzoek is om tot een identificatie te komen van de beheerders van het Pobelka-botnet, die tevens verantwoordelijk moeten worden gehouden door het wegnemen van de 750 GB aan data.

Vraag 1

Kent u het bericht «Spoorvervoerders maken opnieuw bezwaar tegen uitrol 4G»?1

Vraag 2

Herinnert u zich uw antwoorden op eerdere schriftelijke Kamervragen van het lid Slob over dit onderwerp?2

Vraag 3

Wat is de stand van zaken van het overleg over het interferentieprobleem tussen beide betrokken ministeries, de publieke mobiele netwerkbeheerders, ProRail en de vervoerders?

Vraag 4

Klopt het dat ambtenaren van uw ministeries tegen de vervoerders hebben gezegd dat ook zij water bij de wijn moeten doen en dat zij dus mee moeten betalen aan een oplossing voor het interferentieprobleem? Staat dat niet op gespannen voet met de Europese interoperabiliteitseisen die een vrije toegang voor goederentreinen tot het Nederlandse spoorwegnet garanderen? Deelt u de mening dat dit de toegankelijkheid van Nederland voor Europese vervoerders kan beperken?

Vraag 5

Is inmiddels duidelijk of het noodzakelijk is om de reisinformatieborden van infoplus te voorzien van andere filters of bekabelde oplossingen wanneer gebruik gemaakt gaat worden van nieuwe breedbrand-technologieën zoals UMTS? Wat zijn indicatief de kosten hiervan?

Vraag 6

Deelt u de mening dat de kosten die gemoeid zijn met het nemen van maatregelen om de interferentieproblematiek te voorkomen, zullen moeten worden betaald door de veroorzakers, of uit de opbrengsten van de geveilde GSM-frequenties? Kunt u betaling door de veroorzakers, te weten de telecomoperators, juridisch afdwingen?

Vraag 7

Wat zijn de resultaten van het onderzoek naar de juridische mogelijkheden om plaatsing van verbeterde GSM-R-treinradioapparatuur in treinen voor te schrijven aan vervoerders en materieel-eigenaren?

Vraag 8

Wordt er onderzocht of nieuwe belemmeringen voor toegang van Europese vervoerders tot het Nederlandse net onder de bestaande Europese wetgeving mogelijk zijn? Of wordt er onderzocht of er bij andere EU lidstaten draagvlak is om de Europese regelgeving inzake GSM-R aan te passen vanwege de Nederlandse problemen?

Vraag 9

Is het begrip «passende bescherming» uit de vergunningsvoorwaarden zoals aangekondigd in uw eerdere antwoorden inmiddels geconcretiseerd? Zo nee, waarom niet en wanneer gaat dit wel gebeuren? Wat is uw mening over de voorstellen van Koninklijk Nederlands Vervoer op dit punt?

Vraag 10

Is het onderzoek naar haalbaarheid en doelmatigheid van generieke plafonds voor de signaalsterkte van publieke mobiele netwerkbeheerders in publiekrechtelijke regelgeving inmiddels afgerond? Is in dit onderzoek ook gekeken naar de mogelijkheid om de maximale zendniveaus van de publieke mobiele netwerkbeheerders in de buurt van het spoor (dus niet landelijk maar locatiespecifiek) te beperken tot een dusdanig niveau dat interferentie wordt voorkomen?

Vraag 11

Heeft het in uw eerdere antwoorden genoemde Europese overleg over het interferentieprobleem tussen de spoorsector, de Europese Commissie en het Europese Spoorwegagentschap al tot resultaten geleid? Zo nee, wanneer verwacht u dat er conclusies worden getrokken?

Vraag 12

Wanneer zullen de 4G-frequenties in gebruik genomen worden? Kunt u toezeggen dat er ruim voor die tijd een oplossing is voor de interferentieproblemen?

Vraag 1

Wat is uw reactie op het artikel «CBP tikt publieke omroep op vingers om cookiemuur» waarin Het College Bescherming Persoonsgegevens (CBP) de publieke omroep op de vingers tikt vanwege de cookiemuur die op alle publieke sites te vinden is?1

OPTA is belast met het toezicht op naleving van de cookiebepaling. Het is dus aan OPTA om een oordeel te vellen over de rechtmatigheid van de handelwijze van de NPO in het licht van de cookiebepaling. OPTA ziet daarbij toe op de eisen die volgen uit artikel 11.7a van de Telecommunicatiewet dat een ieder die cookies wenst te plaatsen hierover de gebruiker moet informeren en daartoe toestemming moet hebben verkregen.
In het geval er tevens sprake is van de verwerking van persoonsgegevens is daarnaast het CBP als toezichthouder bevoegd, omdat dan ook de Wet bescherming persoonsgegevens van toepassing is. Hierbij speelt het in artikel 11.7a, eerste lid, van de Telecommunicatiewet opgenomen rechtsvermoeden een rol. Het CBP mag aannemen dat er bij de door de Ster geplaatste tracking cookies sprake is van de verwerking van persoonsgegevens, tenzij de NPO, respectievelijk de Ster aantoont dat er in dit geval geen sprake is van de verwerking van persoonsgegevens. Het rechtsvermoeden in de cookiebepaling brengt niet met zich mee dat er bij tracking cookies per definitie sprake behoeft te zijn van verwerking van persoonsgegevens. Het rechtsvermoeden blijft weerlegbaar, het legt alleen de bewijslast bij de cookieplaatser. Alleen als de NPO niet kan aantonen dat de verzamelde gegevens niet herleidbaar zijn tot een identificeerbaar natuurlijk persoon is sprake van verwerking van persoonsgegevens die aan de eisen van de Wet bescherming persoonsgegevens moet voldoen.

Vraag 2

Hoe kijkt u naar de reactie van de NPO2 die schetst dat in eerste instantie het probleem in de cookiewet zit en dat daarnaast de verschillende instanties (CBP en Opta) diverse standpunten innemen op dit onderwerp?

Het is duidelijk dat er in de praktijk enige knelpunten zijn met de cookiebepaling. Daarom heb ik de Kamer ook toegezegd te bekijken welke mogelijkheden er zijn om tot een structurele oplossing van deze knelpunten te komen. Ik heb daarbij aangegeven binnen een maand meer duidelijkheid te verschaffen. De discussie over de manier waarop de NPO de wettelijke verplichting om toestemming te vragen heeft geïmplementeerd, ziet echter vooral op de keuze van de NPO om bezoekers geen toegang te verlenen tot de site indien zij geen toestemming geven voor het gebruik van (tracking) cookies. De cookiebepaling dwingt geenszins tot een dergelijke keuze.
OPTA en CBP hebben laten weten intensief onderling overleg te hebben gevoerd ten aanzien van dit onderwerp. Ook hebben zij aangegeven ten aanzien van dit onderwerp intensief te hebben samengewerkt en dat te zullen blijven doen. Van diverse (uiteenlopende) standpunten ten aanzien van dit onderwerp is, aldus OPTA en CBP, geen sprake.

Vraag 3

Welke stappen gaat u ondernemen nu het CBP stelt dat er opties zijn om de sites van de NPO wel beschikbaar te maken voor bezoekers zonder cookies in te stellen en gezien de monopoliepositie van de NPO dit door het CBP ook wenselijk wordt geacht?

Het is belangrijk dat de websites van de NPO voor een breed publiek toegankelijk zijn. Daarnaast is het belangrijk dat de NPO voldoende inkomsten kan genereren om een interessant (digitaal) aanbod te kunnen doen zeker in tijden van bezuinigingen. Er zal daarom de komende maand met de NPO worden overlegd of een andere aanpak mogelijk is. Dit doet niet af aan het feit dat het aan de beide toezichthouders is, OPTA en CBP, om te beoordelen in hoeverre de Telecommunicatiewet, respectievelijk de Wet bescherming persoonsgegevens door de NPO wordt overtreden.

Vraag 4

Deelt u de mening dat voor de basisfunctionaliteiten van de NPO-sites alsook het vastleggen van generieke gebruiks- en gebruikersgegevens geen tracking cookies nodig zijn en dat voor mensen die hun privacy niet aangetast willen zien de site gewoon bruikbaar moet zijn?

Ja, voor de basisfunctionaliteiten en het vastleggen van gegevens over het gebruik zijn geen tracking cookies nodig. Verder is het ook nadrukkelijk niet de bedoeling van de NPO om mensen in hun privacy aan te tasten. De NPO stelt dan ook dat de door de NPO en Ster gebruikte tracking cookies niet herleidbaar zijn tot individueel identificeerbare personen, en dat het gestelde rechtsvermoeden aldus kan worden weerlegd. De NPO heeft getracht bij de toepassing en het gebruik van cookies een goede balans te vinden tussen toegankelijkheid van publieke audiovisueel materiaal, privacy van gebruikers, de mediawettelijke verplichtingen en de commerciële exploitatie van de Ster op het internet. Gelet op de daaropvolgende maatschappelijke discussie en de verschillende methoden die in het mediaveld worden gebruikt, heeft de NPO na overleg aangegeven de mogelijkheden voor een gedifferentieerde toestemming uitgebreid te zullen onderzoeken.

Vraag 5

Bent u bereid deze vragen voor het algemeen overleg Digitale Agenda op 13 februari 2013 te beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «US free to grab EU data on American clouds»?1

Ja.

Vraag 2

Bent u bekend met de genoemde Foreign Intelligence Amendments Act (FISAA) op basis waarvan de Amerikaanse overheid data kan opvragen van bijvoorbeeld Nederlanders die zij in de cloud hebben opgeslagen, zoals bijvoorbeeld Dropbox of Google?

Ik ben bekend met de desbetreffende wet. Deze wet, die door President Obama op 30 december 2012 is ondertekend, verleent geen nieuwe bevoegdheden, maar verlengt de termijn waarbinnen bestaande bevoegdheden op grond van de Foreign Intelligence and Surveillance Amendment Act van 2008 kunnen worden uitgeoefend. Indien gegevens van om het even welke persoon zich bevinden in de Verenigde Staten kunnen de Amerikaanse autoriteiten met toepassing van hun bevoegdheden die gegevens vorderen.

Vraag 3

Bent u op de hoogte van het feit dat de Amerikaanse autoriteiten zich met beroep op de FISAA toegang verschaffen tot persoonsgegevens opgeslagen in de Europese Unie (EU) door bedrijven met hoofdzetel in de Verenigde Staten?

In algemene zin is het zo dat het Amerikaanse recht diverse mogelijkheden biedt tot het vorderen van gegevens die zich buiten het grondgebied van de Verenigde Staten bevinden en waarbij sprake is van een zodanig aanknopingspunt met het Amerikaanse rechtsstelsel dat een vordering tot het verstrekken van die gegevens naar Amerikaans recht rechtmatig is. Er zijn mij evenwel geen concrete gevallen bekend van vorderingen van de Amerikaanse autoriteiten gebaseerd op de in antwoord 2 genoemde wetgeving waarin de desbetreffende gegevens zich in de Europese Unie bevinden. De Amerikaanse autoriteiten hebben mij desgevraagd laten weten dat het opvragen van gegevens bij dergelijke banken en providers altijd middels een rechtshulpverzoek geschiedt.

Vraag 4

Bent u van mening dat op deze wijze feitelijk de EU-wetgeving betreffende bescherming persoonsgegevens wordt uitgeschakeld door extraterritoriale werking van de wetgeving van een derde land?

Het gehoor geven aan een vordering als bedoeld in antwoord 3 door in de Europese Unie gevestigde belanghebbenden moet plaatsvinden in overeenstemming met het geldende recht, de EU-privacyrichtlijn en het desbetreffende nationale recht. Dat recht biedt daarvoor enige grondslagen. Het is afhankelijk van de omstandigheden van het concrete geval welke grondslag daarvoor kan worden ingeroepen.

Vraag 5

Wat zijn volgens u de exacte consequenties voor clouddiensten? Bent u bereid hierover met aanbieders van clouddiensten in gesprek te gaan?

Aanbieders van clouddiensten die gevestigd zijn in de Verenigde Staten hebben in feite weinig andere keuze dan gehoor geven aan vorderingen tot het verstrekken van gegevens, wanneer deze vorderingen rechtmatig worden gedaan. Ik verwacht niet dat het recht in de Verenigde Staten in dit opzicht zal veranderen en verwacht daarom geen concrete resultaten van het organiseren van gesprekken daarover. Ik merk nog op dat het College bescherming persoonsgegevens in zijn zienswijze over cloudcomputing van 10 september 2012 het uitgangspunt hanteert dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbieder, zelf eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens.

Vraag 6

Welke stappen gaat u verder ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Er wordt in Brussel onderhandeld over een Algemene verordening gegevensbescherming. Die verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgiftes op grond van eenzijdige verplichtingen op grond van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma's waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.

Vraag 1

Kent u het bericht «OmgevingsAlert wint Nationale App-prijs»?1

Ja. Om bezwaren en bedenkingen te kunnen uiten tegen een (voorgenomen) besluit, is bekendheid van het besluit vereist. Een besluit treedt niet in werking voordat het is bekendgemaakt. De Algemene wet bestuursrecht regelt de bekendmaking (artikel 3:42 Awb.). De bekendmaking door decentrale overheden van besluiten die niet tot een of meer belanghebbenden zijn gericht, geschiedt door kennisgeving van het besluit of van de zakelijke inhoud ervan in een van overheidswege uitgegeven blad of een dag-, nieuws- of huis-aan-huisblad, dan wel op een andere geschikte wijze. Ook kan de bekendmaking elektronisch geschieden, mits in een van overheidswege uitgegeven blad. Aan de tot de decentrale overheden behorende bestuursorganen wordt de ruimte gelaten om over te gaan op elektronische publicatie op een moment dat zij daartoe geëigend achten.2
De opkomst van de elektronische media, in het bijzonder internet, biedt mogelijkheden om burgers snel, goedkoop en volledig te informeren. Nu het merendeel van de huishoudens toegang heeft tot internet, groeit de vraag om digitaal toegankelijke informatie. De Wet elektronische bekendmaking biedt overheden de mogelijkheid tot elektronisch bekendmaken. Het gaat daarbij ook om bekendmakingen vergunningsbesluiten. Op termijn worden gemeenten en andere overheden verplicht om officiële bekendmakingen elektronisch beschikbaar te maken.

Vraag 2

Deelt u de mening dat de wettelijke mogelijkheden om bezwaar te maken tegen vergunningen beter benut kunnen worden als de bewoners op de hoogte zijn van de vergunningen die worden aangevraagd? Zo ja, op welke wijze kunnen bewoners zich van vergunningaanvragen op de hoogte stellen? Zo nee, waarom niet?

Zie antwoord vraag 1.

Vraag 3

Deelt u de indruk dat het aantal gemeenten dat via huis-aan-huisbladen vergunningaanvragen publiceert, afneemt?

Ja. Digitale bekendmaking heeft de toekomst.

Vraag 4

Deelt u de mening dat het via digitale weg verspreiden van vergunningaanvragen een bijdrage kan leveren aan het beter bekend worden van vergunningaanvragen bij bewoners? Zo ja, wat kunt en gaat u doen om gemeenten aan te zetten deze digitale wegen (meer) te benutten? Zo nee, waarom niet?

Voor het formeel-juridisch kader voor bekendmaking en digitale bekendmaking wil ik verwijzen naar de antwoorden onder 1 en 2. De OmgevingsAlert biedt een faciliteit om in kennis te worden gesteld van vergunningsprocedures in de nabije omgeving. Het spreekt dat dit een bijdrage levert aan het bij omwoners beter bekend worden van vergunningaanvragen. De app laat zien welke vergunningaanvragen er in een bepaald gebied lopen, bijvoorbeeld op het gebied van slopen, bouwen, kappen of milieukwesties. Voor het verkrijgen van de informatie behoeft men dan niet het huis-aan-huis-blad of de gemeentelijke website te raadplegen. Gemeenten kunnen aansluiten en hun vergunninginformatie ter beschikking stellen. Van veel gemeenten is de informatie beschikbaar. Met een vooralsnog beperkt aantal gemeenten heeft OmgevingsAlert een vaste samenwerking.
Gemeenten kunnen zelf besluiten om bij het initiatief aan te sluiten. Ik beschouw de app als een goede ontwikkeling die ik dan ook toejuich. Volgens de jury is OmgevingsAlert de beste Nederlandse bestaande toepassing (app) waarbij gebruik gemaakt wordt van een databron van de overheid.3

Vraag 5

Deelt u de mening dat de genoemde app bij uitstek geschikt kan zijn om bewoners die daar prijs op stellen gericht te informeren over vergunningaanvragen? Zo ja, gaat u dan ook gemeenten aansporen om zich aan te sluiten bij dit systeem en hoe gaat u dat doen? Zo nee, waarom niet?

Zie antwoord vraag 4.

Vraag 1

Heeft u kennisgenomen van het bericht «ICT-aardbeving door vonnis Oracle vs. Staat»?1 Hoe beoordeelt u de gevolgen van het vonnis van de rechtbank Den Haag voor het aanbestedingsbeleid van de Rijksoverheid, in het bijzonder ten aanzien van ICT?

Ja. De uitspraak in deze zaak geeft geen aanleiding het huidige aanbestedingsbeleid van de Rijksoverheid, al dan niet ten aanzien van ICT, te herzien.

Vraag 2

Is het waar dat bij deze aanbesteding uitsluitend gevraagd werd naar SAP-licenties om één ondersteunend ICT-systeem voor meerdere ministeries te maken? Welk systeem werd hiervoor als basis gebruikt en hoe lang is dat in gebruik? Op welke basis is de keuze gemaakt dat gebruik van het SAP-systeem de technisch en bedrijfsmatig beste keuze is?

De aanbesteding bestond uit twee percelen: één voor de ICT-werkzaamheden die nodig waren voor aanpassing van een bestaand systeem, en één voor SAP-licenties. Beide percelen zijn conform de daarvoor geldende regels aanbesteed.
Basis voor de aanbesteding betrof het ERP systeem (SAP Business Suite) zoals dat in 2003 door het ministerie van SZW door middel van een Europese aanbestedingsprocedure is verworven. Dit systeem is ingericht op basis van het kernmodel financiële informatievoorziening en kan daardoor als basis dienen voor de deelnemende departementen. Gebruik van het systeem door meerdere ministeries past in het beleid van samenwerking in de financiële kolom. Daarnaast was gebruik door meerdere ministeries in dit geval wenselijk op bedrijfseconomische gronden. Voor het gebruik door de samenwerkingspartners moesten vooral de departementspecifieke instellingen nog worden ingericht. Dit alles natuurlijk met inachtneming van de bestaande wet- en regelgeving.
De uitspraak past in het beleid van hergebruik van ICT systemen zoals vastgelegd in de I-strategie.

Vraag 3

In hoeverre is het gebruik van de SAP-licenties voor andere ministeries te beoordelen als het hergebruik van licenties? Waren de licenties oorspronkelijk afgegeven voor gebruik door uitsluitend het ministerie van SZW, of voor de gehele Rijksoverheid? Wat betekent deze manier van omgaan met softwarelicenties voor andere licenties die door een onderdeel van de Rijksoverheid zijn afgenomen?

Er is geen sprake van hergebruik van licenties, maar van hergebruik van een systeem. De noodzakelijke licenties voor het gebruik van dit systeem door SZW zijn destijds door de Staat verworven. Vanwege de kwantitatieve uitbreiding voor gebruik van het systeem door de samenwerkingspartners waren extra licenties nodig. De deelnemende departementen hebben deze benodigde licenties verworven via bovengenoemde aanbesteding.

Vraag 4

Hoe kijkt u aan tegen de juridische eenheid van de Rijksoverheid bij aanbestedingen? Herkent u zich in de uitspraak dat de Staat de aanbestedingsregels volledig naar zijn hand zet door, afhankelijk van de belangen, te opereren als één aanbestedende dienst of als aparte ministeries? Zo nee, welke consistente keus wordt hierin gemaakt?

De rechtbank heeft in haar uitspraak aansluiting gezocht bij de indeling van aanbestedende diensten in Richtlijn 2004/18/EG en het daarop gebaseerde Besluit aanbestedingsregels overheidsopdrachten (Bao). Dat is in lijn met het feit dat de Staat, die anders dan de departementen rechtspersoonlijkheid bezit, als enige lichaam naar buiten toe civielrechtelijk bindend kan optreden en bijvoorbeeld, zoals in het onderhavige geval, partij kan zijn bij een licentiecontract.
Rechtspersoonlijkheid kan inderdaad samenvallen met de kwalificatie aanbestedende dienst. Dat is echter niet altijd het geval. Als sprake is van een afgescheiden operationele eenheid binnen een rechtspersoon, kan dit onderdeel ook zelfstandig als aanbestedende dienst worden aangemerkt. De Europese Commissie heeft hiervoor criteria opgesteld, die zijn neergelegd in de zogenoemde «policy guideline» uit 1993. Deze criteria worden binnen de Staat gehanteerd bij de vraag of de Staat als geheel of op een onderdeel van de Staat – en zo ja, welk onderdeel – als aanbestedende dienst moet worden aangemerkt. De vraag op welk niveau een inkoopbevoegdheid is neergelegd, moet voor iedere aanbestedingsplichtige opdracht per productgroep worden bepaald.
Er is derhalve geen sprake van een ad hoc keuze voor de Staat, een departement of een onderdeel van het departement als aanbestedende dienst.

Vraag 5

Hoe wordt, in het kader van de integratie van de bedrijfsvoering van het Rijk, omgegaan met de aanbesteding van ICT-diensten? Zal hierbij vaker het systeem van één samenwerkingspartner als uitgangspunt genomen worden of zal er in de aanbesteding een open procedure gevoerd worden, waarin de technische oplossing nog niet vastligt? Hoe wordt deze keus gemaakt?

De overheid streeft naar harmonisatie en vereenvoudiging van processen met als uitkomst een compactere en goedkopere overheid. Daarin past hergebruik van voor rekening van de (rijks-)overheid ingerichte administratieve systemen en/of software als uitgangspunt. Hergebruik geschiedt evenwel altijd op basis van een zorgvuldige afweging en met inachtneming van het aanbestedingsrecht.
De keuze voor de aanbestedingsprocedure die wordt gevolgd is afhankelijk van veel factoren. Waar het gaat om de primaire keuze voor een softwaresysteem spelen kwalitatieve aspecten als flexibiliteit en innovativiteit een belangrijke rol. Het is van groot belang efficiënt en effectief in te kunnen spelen op zich wijzigende wensen en behoeften. Van een algemeen beleid tot uitvraag van specifieke technische oplossingen is geen sprake.

Vraag 6

Bent u van plan om in de toekomst meer aanbestedingen op ICT-gebied uit te schrijven, waarbij het type software of hardware al vastligt?

In het algemeen is het aanbestedingsbeleid er op gericht zo veel als mogelijk functioneel aan te besteden. Uitzonderingen kunnen voorkomen, mits deze passen binnen het aanbestedingsrecht.

Vraag 7

Bent u ook van mening dat de overheid moet voorkomen dat ze afhankelijk wordt van één aanbieder van software, zogenaamde vendor lock-in? Welke rol ziet u bij het voorkomen van dergelijke afhankelijkheid van het gebruik van open standaarden en open source-software? Is bij deze aanbesteding ook overwogen om gebruik te maken van open source ERP-software? Zo nee, waarom niet?

Ja, de overheid moet er voor waken afhankelijk te worden van een leverancier.
Toepassing van open standaarden is onomstreden. Deze worden toegepast tenzij het echt niet anders kan. Daarnaast wordt de mogelijkheid voor toepassing van open source software wordt bij aanbestedingen van software standaard in de beschouwingen betrokken.
Overigens kan een lock-in bij een leverancier ontstaan zowel bij het gebruik van open als bij het gebruik van closed software.
Toepassing van open source software was bij de onderhavige aanbesteding niet opportuun, gegeven de afweging om van een bestaand systeem gebruik te maken.

Vraag 8

Deelt u de mening dat de werkwijze bij deze aanbesteding de positie van grote softwareleveranciers, waar de overheid al klant van is, bevordert en kleine vernieuwende aanbieders geen kans meer maken? Zo ja, waarom vindt u dit wenselijk? Zo nee, op welke manier maken ook vernieuwende leveranciers, waarmee de overheid nog geen klantrelatie heeft, kans op ICT-opdrachten?

Nee. Het betrof hier een opdracht voor een verbouwing van een systeem, die niet op voorhand voorbehouden was aan de grote ICT-leveranciers.
Uitgangspunt bij aanbestedingen is dat in principe elke leverancier kans heeft op verkrijging van overheidsopdrachten.

Vraag 9

Op welke wijze gaat u er voor zorgen dat de Rijksoverheid bij ICT-aanbestedingen zorgt voor kennis over alternatieven en nieuwe oplossingen naast de eerder gebruikte en bekende systemen, zodat de kansen worden benut die de innovatie in de ICT-branche bieden?

De rijksoverheid richt zich erop om – ook in ICT aanbestedingen – innovatieve ondernemers een kans te geven.
Om innovaties mogelijk te maken, is het van belang om vanuit de overheid een goede verkenning van wensen en mogelijkheden te maken. Aan ieder informatiseringsproject gaat een zorgvuldige informatie- en technische analyse vooraf, die ook gedeeld kan worden met het bedrijfsleven. In grote ICT trajecten wordt zo al ruim voor de daadwerkelijke aanbesteding samengewerkt met de markt om een uitvraag te realiseren die ruimte biedt aan haalbare innovaties. Dat kan bijvoorbeeld via een haalbaarheids- en wensentoets in combinatie met een marktverkenning en een marktconsultatie of een concurrentiegerichte dialoog.

Vraag 1

Wat is uw reactie op het bericht «Storing UWV duurt voort»?1

UWV is getroffen door een verstoring in haar digitale dienstverlening doordat het onderdeel «mijnUWV» van de website uwv.nl van 7 januari 2013 tot en met 17 januari 2013 niet bereikbaar is geweest.
Bij het optreden van een dergelijke storing spant UWV zich maximaal in om de klant hierdoor zo min mogelijk te raken. Desondanks blijft het vervelend dat de storing lang heeft voortgeduurd.

Vraag 2

Kunt u aangeven hoelang de storing nog zal duren?

De ernstige verstoring van de afgelopen weken is thans onder controle. UWV zal gefaseerd en gecontroleerd teruggaan naar de geheel digitale werkwijze van voorheen. Er kunnen nog kortstondige verstoringen van de dienstverlening optreden. Deze verstoringen zijn qua oorzaak niet gerelateerd aan de grote verstoring in januari.

Vraag 3

Hoeveel mensen hebben sinds de storing gebruik gemaakt van het UWV-callcenter om zaken te regelen?

In de periode van 7 januari tot en met 23 januari 2013 is het UWV callcenter circa 43.000 geraadpleegd over zaken die normaal ook via mijnUWV kunnen verlopen. Dit betreft:
(normaal: minder dan 50 per dag)
(normaal: circa 300 per dag)
(normaal: circa 150 per dag)
(normaal: circa 500 per dag)
(normaal: minder dag 50 per dag)

Vraag 4

Met welk percentage is het aantal gesprekken van het callcenter toegenomen in vergelijking met dezelfde periode, zonder storing, de maand ervoor?

In de laatste 2 volle weken (week 50 en 51) van het jaar hebben de UWV-callcenters totaal 287.308 aangeboden gesprekken gehad. In week 2 en 3, de periode waarin de storing plaatsvond, heeft UWV totaal 356.520 aangeboden gesprekken gehad. De toename van 287.308 gesprekken naar 356.520 gesprekken bedraagt 24%.

Vraag 5

Hoe lang zijn de wachttijden voor het UWV-callcenter?

De storing trof voornamelijk klanten die WW zaken willen regelen. De wachttijden zijn dan ook bekeken voor het onderwerp WW in het UWV Klantcontactcentrum. In 2012 bedroeg de gemiddelde wachttijd 30 seconden. Het invoeren van BSN en het maken van een eventuele keuze in het menu (15% van de gevallen) is hier niet bij inbegrepen. In week 2 en 3 was de gemiddelde wachttijd 1 minuut en 46 seconden. Op een aantal momenten bedroeg de wachttijd meer dan 10 minuten. Dit was vooral het geval op 7, 11, 13 en 14 januari. Vanaf 15 januari is de gemiddelde wachttijd over een hele dag niet hoger geweest dan 67 seconden.
Vanaf week 4 zijn de wachttijden weer op het niveau van 2012.

Vraag 6

Hoe zorgt u ervoor dat het UWV zo snel mogelijk zijn klanten kan bedienen?

Voor alle dienstverlening die UWV-klanten via het digitale kanaal kunnen uitvoeren heeft UWV alternatieve dienstverlening ingezet. Het gaat daarbij om schriftelijke of telefonische dienstverlening. UWV heeft op uwv.nl en mijnoverheid.nl een bericht geplaatst over deze alternatieve dienstverlening. Ook zijn klanten middels (social) media geïnformeerd.
Het Klantcontactcentrum kende tijdens de storing langere openingstijden. De capaciteit bij het Klantcontactcentrum en de divisie die belast is met de verwerking van de post is vergroot om hier geen achterstanden te laten ontstaan.

Vraag 7

Hoe gaat het UWV in de tussentijd om met de problematiek?

Zie antwoord vraag 6.

Vraag 8

Bent u bereid om gedupeerden te compenseren? Zo ja, hoe en zo nee, waarom niet?

De alternatieve dienstverlening is zodanig ingericht dat dupering van klanten wordt voorkomen door voor alle dienstverlening die digitaal verloopt een alternatief te bieden. Indien een klant door het onbeschikbaar zijn van de website van UWV niet op tijd een wijziging doorgeeft die gevolgen heeft voor de uitkering, zal UWV geen sanctie opleggen. Een compensatieregeling is derhalve niet aan de orde.

Vraag 9

Daar er inmiddels meer klachten zijn over de dienstverlening van het UWV, waaronder ook de uitvoering van de nieuwe Wajong, wilt u het UWV hier op korte termijn op aanspreken?

Het aantal klachten over dienstverlening van UWV heeft mijn constante aandacht. Via onder andere de tertaal- en jaarverslagen word ik met regelmaat door UWV geïnformeerd over de ontwikkeling van het aantal klachten. Vooralsnog constateer ik dat het aantal klachten jaarlijks afneemt, getuige het onderstaande overzicht.
Daarnaast treft u ook een overzicht van de klachten die UWV heeft geregistreerd naar aanleiding van de storing. In 21 gevallen heeft een klachtsignaal niet tot een klacht geleid. Het signaal is dan zodanig afgehandeld door de medewerker van UWV dat dit niet tot een klacht komt.
Jaar
# 1ste 4 mnd
# 2de 4 mnd
# 3de 4 mnd
# Jaar
2010
3.831
3.197
3.521
10.549
2011
3.399
2.769
2.918
9.086
2012
2.934
2.707
–
–
Aard klacht
# klacht of klachtsignaal
website niet bereikbaar
98
inkomstenformulier WW niet bereikbaar
14
betaalspecificatie WW niet bereikbaar
10
wijzigingsformulier niet bereikbaar
5
digitaal formulier op internet niet bereikbaar
1
Jaaropgave niet bereikbaar
1
verzenden van het inkomstenformulier lukt niet
1
Klantonvriendelijk
1
Totaal
131

Vraag 10

Hoe zorgt u ervoor dat de problemen in de dienstverlening van het UWV structureel worden opgelost?

Zie het antwoord op vraag 5 van lid Ulenbelt (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr.1302).

Vraag 1

Wat is uw reactie op het bericht «Storing UWV duurt voort»?1

Zie het antwoord op vraag 1 van leden Schut-Welkzijn en Potters (2013Z00932).

Vraag 2

Hoeveel mensen hebben sinds de storing gebruik gemaakt van het UWV-callcenter om zaken te regelen?

Zie het antwoord op vraag 3 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 3

Met welk percentage is het aantal gesprekken met het UWV-callcenter toegenomen in vergelijking met dezelfde periode, zonder storing, vorige maand?

Zie het antwoord op vraag 4 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 4

Hoe lang zijn de wachttijden voor het UWV-callcenter?

Zie het antwoord op vraag 5 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 5

Bent u bereid om het telefoonverkeer naar het UWV-callcenter gratis te maken voor alle personen, die door de storing geen gebruik kunnen maken van de UWV-website? Zo nee, waarom niet?

Hoewel ik tevreden ben over de wijze waarop UWV de recente calamiteiten heeft opgevangen, heb ik UWV gevraagd te bezien op welke wijze kan worden voorkomen dat klanten zo min mogelijk hinder ondervinden van mogelijke toekomstige verstoringen.
Uit onderzoek van UWV blijkt dat het grootste gedeelte van de klanten dat in het kader van de storing op de website telefonisch contact heeft opgenomen, met maximaal 7 cent aan kosten is geconfronteerd. Dit uitgaande van lokaal tarief van 3,5 cent (verschilt per provider en vaste of mobiele telefonie) en de gemiddelde wachttijd van 1 minuut 46. Een minderheid van de klanten is geconfronteerd met een wachttijd van 10 minuten en daarmee 35 cent aan kosten.
Ik ben mij ervan bewust dat betrokkenen als gevolg van de recente verstoringen, alhoewel in veruit de meeste gevallen geringe, kosten hebben gemaakt. Niettemin ben ik van mening dat compensatie van deze kosten door UWV aan betrokkenen, los van de vraag of dit feitelijk mogelijk is, niet reëel is. De geringe kosten die de klant worden toegerekend staan niet in verhouding tot de uitvoeringskosten die gemaakt moeten worden om de klant in deze kosten tegemoet te komen.

Vraag 6

Wilt u de gedupeerden op een andere wijze compenseren? Zo ja, hoe en zo nee, waarom niet?

Zie het antwoord op vraag 8 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 7

Bent u bereid om ook bij toekomstige storingen het telefoonverkeer naar het UWV-callcenter gratis te maken voor alle personen, die door de storing geen gebruik kunnen maken van de UWV-website? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 1

Wat is uw reactie op de uitzending «Zo lek als een mandje» van het programma Reporter waaruit blijkt dat door een gebrek aan beveiliging tienduizenden harddisks, scanners, netwerkschijven en printers toegankelijk zijn via het internet?1

Ik heb kennis genomen van de uitzending van het programma Reporter. In deze uitzending wordt ingegaan op het feit dat veel burgers en bedrijven naast computers ook andere apparaten aan hun eigen netwerk gekoppeld hebben. Het blijkt dat dergelijke apparatuur in een aantal gevallen vanaf het internet bereikbaar is. Deze apparatuur moet, net als computers, afdoende beveiligd worden tegen misbruik door kwaadwillenden. Het Nationaal Cyber Security Centrum (NCSC) heeft op de eigen website een factsheet2 geplaatst waar de problematiek in wordt toegelicht. Ook wordt uitgelegd wat men kan doen om vast te stellen of eigen apparaten kwetsbaar zijn voor misbruik vanaf het internet en worden concrete stappen beschreven waarmee eventuele kwetsbaarheden weggenomen kunnen worden. Aangeraden wordt om ervoor te zorgen dat apparatuur niet vanaf het internet bereikbaar is. Indien de bereikbaarheid van apparaten vanaf internet noodzakelijk is, dan dienen er afdoende maatregelen om deze toegang te beveiligen getroffen te worden. Dat is en blijft primair een verantwoordelijkheid voor bedrijven en consumenten zelf.

Vraag 2

Deelt u de mening van de diverse experts die in voornoemde uitzending verwoorden dat de producenten van deze apparaten de beveiliging op een juiste manier zouden moeten meeleveren of in ieder geval consumenten zouden moeten informeren over de noodzakelijkheid van beveiliging, in plaats van hopen dat alle consumenten voldoende kennis hebben van privacybeveiliging en hier ook nog de noodzaak van zien? Zo ja, ziet u mogelijkheden voor uzelf om hieraan uitvoering te geven en welke mogelijkheden zijn dat dan?

Zoals hierboven is vermeld, hebben bedrijven en consumenten als gebruikers een eigen verantwoordelijkheid om hun apparatuur en bijbehorende instellingen juist in te stellen door zichzelf goed in te laten lichten en de juiste vragen te stellen. Ik ben met u van mening dat leveranciers de verantwoordelijkheid hebben om hun klanten te wijzen op de noodzaak van adequate beveiligingsmaatregelen.
Branche organisatie ICT Nederland heeft in samenwerking met het privaat-publieke programma DigiVeilig/DigiBewust in november 2012 de website «bescherm je bedrijf» gelanceerd, waar bedrijven beveiligingsvragen kunnen doorlopen en praktische handreikingen krijgen. Dit geeft bedrijven een goed inzicht in hun beveiligingsbehoeften, en stelt hen in staat hun rol als opdrachtgever goed in te vullen. Via het programma DigiVeilig zal ook in 2013 voorlichting over veilige apparatuur worden gegeven en worden nieuwe tools en handreikingen voor het MKB en consumenten ontwikkeld.
Dit vrijwaart de leveranciers van de apparatuur echter niet om ook zelf verantwoordelijkheid op te pakken voor het ontwikkelen van intrinsiek veilige hardware en software ten behoeve van de eindgebruikers. Het Ministerie van Economische Zaken voert gesprekken in de sector om te zien of het ontwikkelen van een normenkader en certificering voor veilige software een haalbare kaart is, zodat leveranciers zich kunnen onderscheiden op dit vlak, en veilige software de aandacht krijgt die het verdient. Naar verwachting zal aan het belang van voorlichting en het gebruik van standaarden ook in de aankomende mededeling van de Europese Commissie over Cyber Security aandacht worden besteed.

Vraag 1

Kent u het bericht «Buitengebied is het wachten moe»?1

Ja.

Vraag 2

Is het waar dat 300 tot 500 duizend huishoudens en een paar honderd bedrijventerreinen in Nederland alleen een trage internetverbinding kunnen hebben? Zo ja, hoe komt dat? Zo nee, wat is daaraan dan niet waar?

Volgens TNO, die in opdracht van het Ministerie van Economische Zaken hierover twee maal per jaar in de Marktrapportage Elektronische Communctie (MEC) gegevens publiceert, heeft 99% van de huishoudens in Nederland de beschikking over breedband internet via een vaste infrastructuur. Voor 95% van de huishoudens zijn zelfs zeer snelle internetverbindingen, hoger dan 100 Mega bits per seconde (Mbps), beschikbaar. Volgens dezelfde MEC kunnen 167.000 inwoners in Nederland geen abonnement op breedband via een vaste infrastructuur krijgen. De betreffende huishoudens hebben geen kabelaansluiting of liggen zodanig ver weg van de KPN-wijkcentrales dat er geen ADSL verbinding mogelijk is. Deze huishoudens kunnen overigens wel kiezen voor een draadloze breedbandinternet verbinding via de satelliet (momenteel tot maximaal 10Mbps), of via het mobiele netwerk (momenteel tot 14 Mbps, maar met de komst van 4G kan dat oplopen tot 100 Mbps).
De 300 à 500 duizend huishoudens in de vraag corresponderen met de 5% van de huishoudens die (nog) geen zeer snelle breedbandaansluitingen (100 Mbps) beschikbaar hebben.

Vraag 3

Deelt u de mening dat voor de bevordering van de kenniseconomie het in de huidige samenleving van essentieel belang is dat burgers, onderwijsinstellingen en ondernemingen over een adequaat snelle internetverbinding kunnen beschikken? Zo ja, hoe ziet u uw rol om er voor te zorgen dat breedbandinternet voor iedereen beschikbaar komt? Zo nee, waarom niet?

Ja. De beschikbaarheid van snelle en hoogwaardige breedbandnetwerken en breedbanddiensten vormt een belangrijk concurrentievoordeel voor Nederland en zal dit in de toekomst meer dan ooit zijn om een concurrerende, innoverende en duurzame kenniseconomie te kunnen blijven.
Nederland heeft een goede uitgangspositie en staat al jaren in de top 3 van de beste breedbandnetwerken ter wereld (OESO). Die goede uitgangspositie is te danken aan de infrastructuurconcurrentie tussen de traditionele netwerkaanbieder, de kabelbedrijven en de aanbieders van glasvezelnetwerken. Bedrijven dagen elkaar op deze manier uit om continu in hun netwerken te blijven investeren. Uiteraard vormt ook de groei van de vraag naar data met 30 tot 40% per jaar, een prikkel op te investeren. De markt doet in Nederland dus goed zijn werk.
Dat betekent niet dat we rustig achterover leunen. De ontwikkelingen op de markt worden nauwlettend in de gaten gehouden en ook de toezichthouder blijft alert op het behouden van gezonde concurrentie tussen de verschillende spelers. Daarnaast ligt er een taak voor de overheid om verantwoordelijkheid te nemen voor die gebieden waar de markt niet vanzelf tot stand komt. Bijvoorbeeld omdat de markt de investering niet rendabel acht, terwijl er wel maatschappelijke en economische redenen zijn om een netwerk aan te leggen of te verbeteren (het buitengebied). In deze gebieden werk ik samen met provincies en gemeenten aan een oplossing, bijvoorbeeld door gebruik te maken van het Connecting Europe Facility, het Europese instrument voor vitale infrastructuren. Ik zie overigens in de praktijk dat marktpartijen, bewoners en bedrijven op bedrijventerreinen ook zelf de handen ineen slaan en een oplossing zoeken voor dit buitengebied bijvoorbeeld door via een coöperatieve lening. Met een dergelijke lening financiert men gezamenlijk de onrendabele kop van een investering. Ik kijk met provincies en gemeentes ook naar manieren om dit soort initiatieven te ondersteunen.

Vraag 4

Is het waar dat het ontbreken van volledige dekking van breedbandinternet «een onbedoeld gevolg [is] van de liberalisering van de telecommarkt» omdat concurrerende telecombedrijven niet de commerciële prikkel hebben om in onrendabele buitengebieden breedbandinternet aan te leggen? Zo ja, acht u dit een wenselijke ontwikkeling en waarom? Zo nee, waarom niet en hoe denkt u dan dat door middel van marktwerking ook de onrendabele buitengebieden van breedbandinternet zullen worden voorzien?

Nee, dat is geen onbedoeld gevolg van de liberalisering. Ook in de tijd dat de netwerken nog in handen waren van de overheid, waren er gebieden die niet aangesloten waren vanwege de hoge kosten die hiermee gemoeid zijn. In het vorige antwoord wees ik al op de goede initiatieven die worden genomen om gezamenlijk, met marktpartijen, naar oplossingen te zoeken. Het is overigens niet correct dat er geen volledige dekking is: via mobiel en satelliet heeft heel Nederland toegang tot een breedbandverbinding. 95% van de huishoudens kan zelfs kiezen uit twee vaste netwerken: koper of kabel.

Vraag 5

Deelt u de mening dat het maatschappelijk belang van breedbandinternet inmiddels zo groot is dat het onder de universele dienstverlening zou moeten worden gebracht zodat breedbandinternet een dienst wordt die voor een ieder onder gelijke voorwaarden en tegen een betaalbare prijs beschikbaar moet zijn? Zo ja, hoe gaat u dit bewerkstelligen? Zo nee, waarom niet?

Nee, zoals aangegeven in vraag 4: breedbandinternet is in Nederland in de praktijk al «universeel» beschikbaar. Het wijzigen van de Telecommunicatiewet op dit punt zal voor de praktijk dus niet veel opleveren. De discussie richt zich niet op de beschikbaarheid van breedband, maar op de gewenste snelheid van het netwerk. Het verbeteren van dat netwerk is aan de markt en daar waar die markt niet vanzelf tot stand komt, kan deze op andere wijze worden aangemoedigd, zoals ook aangegeven onder vraag 3.

Vraag 1

Hoe beoordeelt u het dat Google belasting ontwijkt via Nederland?1

De vraag of in bepaalde gevallen belasting ontweken wordt via Nederland laat zich niet eenvoudig beantwoorden. Het genoemde artikel geeft mij geen aanleiding te veronderstellen dat in strijd met de wet is gehandeld. Artikel 67 van de Algemene Wet inzake Rijksbelastingen staat mij verder niet toe een oordeel geven over de belastingpositie van een individueel bedrijf.

Vraag 2

Kunt u toelichten hoe de gunstige belastingverdragen die Nederland met tal van landen sluit zich verhouden tot de toenemende lastenverzwaring voor burgers de afgelopen jaren?

Belastingverdragen zijn bedoeld om dubbele belasting voor zowel bedrijven als particulieren te voorkomen en om de uitwisseling van inlichtingen tussen staten te bevorderen en daarmee ontgaan van belastingen te bestrijden. Het vermijden van dubbele belasting leidt niet tot onbedoelde vermindering van belastinginkomsten en houdt in die zin dus ook geen verband met lastenverzwaring voor burgers. Bestrijding van het ontgaan van belastingen leidt tot meer belastinginkomsten.

Vraag 3

Bent u bereid de fiscale verdragen die Nederland heeft afgesloten te herzien naar aanleiding van het toenemend aantal berichten over de belastingontwijking die Nederland hiermee faciliteert?

Mogelijke belastingontwijking door internationaal opererende ondernemingen is een ingewikkeld vraagstuk dat een zorgvuldige analyse en een bij voorkeur internationale benadering vereist. Daarom juich ik de initiatieven van de Europese Commissie en die van de OESO toe.
In mijn brief (Kamerstuk II 25 087, nr. 34) aan uw kamer van 17 januari 2013 ben ik dieper op dit vraagstuk ingegaan.

Vraag 4

Zo nee, op welke wijze gaat u dan uitvoering geven aan de motie die de regering oproept zich actief in te zetten om mogelijkheden tot belastingontwijking via Nederland weg te nemen?2

Zie antwoord vraag 3.

Vraag 1

Deelt u de mening dat de verantwoordelijkheid voor de veiligheid van internetbankieren primair bij de banken ligt en dat de consument alleen in geval van opzet, grove schuld of ernstige nalatigheid aansprakelijk kan worden gesteld voor de schade door fraude met internetbankieren?

Graag verwijs ik hier naar het antwoord op de gelijkluidende vraag in mijn eerdere brief van 26 november aan uw Kamer1.

Vraag 2

Herinnert u zich uw antwoord op eerdere vragen1 «Alleen als de consument zelf frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid de voorwaarden die zijn bank heeft gesteld aan het gebruik van internetbankieren heeft geschonden, is hij aansprakelijk voor de volledige schade.»? Momenteel is voor consumenten onduidelijk wanneer dat het geval is, deelt u de mening dat onduidelijkheid in deze onwenselijk is?

In eerder genoemde Kamerbrief is uitgelegd dat de mate waarin een consument aansprakelijk is voor frauduleuze betalingstransacties geregeld is in de richtlijn betaaldiensten3 die in de Wet op het financieel toezicht (Wft) en het Burgerlijk Wetboek (BW) en daaronder liggende regelgeving is geïmplementeerd. Dit kader draagt ook bij aan duidelijkheid voor consumenten. Uiteraard is het niet mogelijk om in een wettelijke regeling duidelijkheid te scheppen voor alle voorkomende gevallen. Uiteindelijk heeft de rechter over de uitleg van de wet- en regelgeving het laatste woord. Mocht een consument een geschil krijgen met zijn bank over de regelgeving of over de voorwaarden die de bank hanteert, dan kan dit voorgelegd worden aan het Kifid (Klachteninstituut Financiële Dienstverlening) in het kader van buitengerechtelijke geschillenbeslechting, of aan de rechter.
Binnen dit wettelijke basiskader waaraan banken zich dienen te houden, bepalen de individuele banken het door hen gehanteerde coulancebeleid zelf. Banken bestuderen – en beoordelen – hierbij elk opgetreden fraudegeval nauwkeurig. Verschil in het gehanteerde coulancebeleid kan er incidenteel voor zorgen dat de ene bank besluit om wel een bepaalde schade te vergoeden en de andere bank een soortgelijke schade niet.
In het Maatschappelijk Overleg Betalingsverkeer (MOB) is door de Consumentenbond aandacht gevraagd voor deze verschillen. In het MOB is afgesproken om te onderzoeken in hoeverre de voorwaarden van de banken onderling significant verschillen en te bezien of – en zo ja in welke mate – de verschillende veiligheidsnormen, waaraan de klant zich bij internet- (en mobiel) bankieren dient te houden, qua inhoud en formulering beter op elkaar kunnen worden afgestemd.
Inherent aan het coulancebeleid is dat er sprake kan zijn van individuele verschillen. Dat neemt niet weg dat ik het met u wenselijk vindt dat gelijke gevallen zoveel mogelijk gelijk behandeld worden binnen het ruimhartige coulancebeleid dat thans in de sector wordt gevoerd. Ik zal deze opvatting binnen (of bij) het Maatschappelijk overleg betalingsverkeer inbrengen en oproepen tot meer eenduidigheid in beleid. Graag ben ik bereid uw kamer over de uitkomsten hiervan nader te informeren.

Vraag 3

Herinnert u zich uw beantwoording van vraag 5 van genoemde vragen waarin u aangeeft dat het van belang is dat er transparantie en helderheid bestaat over de rechtspositie van consumenten? In de uitzendingen van het VARA-programma Kassa van 15 september 2012, 13 oktober 2012 en 10 november 2012 is een aantal voorbeelden gegeven waarin er geen duidelijkheid is en soms zelfs sprake lijkt van willekeur, deelt u de mening dat deze situatie ongewenst is?

Zie antwoord vraag 2.

Vraag 4

In de beantwoording van genoemde vragen en uit de voorbeelden genoemd in vraag 3 blijkt dat het kan voorkomen dat banken dezelfde gevallen verschillend behandelen, wat vindt u daarvan? Deelt u de mening dat dit met het oog op de rechtszekerheid en het vertrouwen in het online betalingsverkeer ongewenst is als vergoedingsstandaarden per bank verschillen of afhankelijk zijn van coulance?

Zie antwoord vraag 2.

Vraag 5

De Consumentenbond noemt een aantal voorbeelden van mogelijke nalatig gedrag2, wilt u bij elk van de voorbeelden aangeven of u van mening bent dat dit grove nalatigheid betreft?

Uitleg van de wet vindt plaats door de rechter of in buitengerechtelijke geschillenbeslechting. Voor de uitleg van het aan de richtlijn ontleende begrip «grove nalatigheid» is het laatste woord overigens aan het Hof van Justitie van de EU. Daarbij is van belang dat, volgens overweging 33 van preambule bij de richtlijn, bij de beoordeling of de betaaldienstgebruiker nalatig is geweest, alle omstandigheden in aanmerking moeten worden genomen. Contractuele clausules en voorwaarden die de bewijslast voor de consument vergroten of de bewijslast voor de bank verminderen moeten volgens die overweging als nietig worden beschouwd. Uit artikel 7:550, eerste lid van het Burgerlijk Wetboek, dat het dwingende karakter van de richtlijn implementeert, volgt dat dergelijke bedingen ook in Nederland niet geldig zijn.
Overigens is mijn verwachting dat banken in het overleg over hun coulancebeleid en de verschillende veiligheidsnormen, ook de voorbeelden zullen behandelen die zijn genoemd door de Consumentenbond.

Vraag 6

Deelt u de mening dat banken uniforme standaarden moeten hanteren voor het vergoeden van schade door fraude bij internetbankieren? Bent u bereid met de sector in gesprek te gaan om tot uniforme standaarden te komen en de Tweede Kamer over de uitkomsten van dat overleg te informeren?

Ik heb er vertrouwen in dat marktpartijen en betrokken maatschappelijke organisaties, verenigd in het Maatschappelijk Overleg Betalingsverkeer (MOB), in constructief overleg tot resultaten zullen komen. Ik ben graag bereid de Tweede Kamer daar te zijner tijd over te informeren.

Vraag 7

Bij wie ligt op dit moment de bewijslast voor fraude bij online bankieren? Deelt u de mening dat de bewijslast bij banken moet liggen en dat consumenten niet via bezwaarprocedures, het Klachteninstituut Financiële Dienstverlening (Kifid) en eventueel de rechter hun gelijk moeten halen? Is dat naar uw oordeel momenteel het geval?

De bewijslast voor fraude bij online bankieren ligt bij de bank. Dat volgt uit artikel 7:527 lid 1 van het Burgerlijk Wetboek. Uit artikel 7:527 lid 2 van het Burgerlijk Wetboek volgt dat ook de bewijslast dat de betaler frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid zijn verplichtingen uit art. 7:524 ter zake van het geheim houden van de codes niet is nagekomen, eveneens op de bank rust. Dat sluit overigens niet uit dat als de bank het standpunt van de consument – volgens deze ten onrechte – afwijst, de consument naar het Kifid of de rechter kan stappen om zijn gelijk te halen. Dat heeft niets met de bewijslastverdeling te maken.

Vraag 8

In de Verenigde Staten kent men wetgeving voor creditcardbetalingen, klopt het dat de (online) fraude daar door de grote aansprakelijkheid voor bancaire instellingen en daardoor veiligere systemen (nog) lager ligt dan bij online betalingen met een betaalpas?

In hoeverre banken in de Verenigde Staten bij de invoering van nieuwe beveiligingsmethoden onderscheid maken tussen creditcardbetalingen en debitcardbetalingen is mij onvoldoende bekend om er een uitspraak over te kunnen doen. In het algemeen is de mate van veiligheid van een betaalsysteem afhankelijk van een combinatie van maatregelen op de gebieden van preventie, detectie en respons. Deze maatregelen werken in samenhang met elkaar en worden ook voortdurend aangepast aan de actuele dreigingen.

Vraag 9

Bent u ermee bekend dat banken volgens de Amerikaanse wet binnen vier dagen onterecht afgeschreven middelen moeten terugstorten op de rekening, en het aan hen is om te bewijzen dat er sprake is van ernstige nalatigheid, grove schuld of opzet? Zou u willen ingaan op de voor- en nadelen van de introductie van dat beginsel in Nederland? Als niet tot overeenstemming met de sector wordt gekomen omtrent eenduidige beleidslijnen in geval van fraude, bent u dan bereid wetswijzigingen langs deze lijn te overwegen?

Ik ga ervan uit dat u doelt op de Amerikaanse Electronic Fund Transfer Act en Regulation E (Error Resolution procedures). In grote lijnen schrijft deze wet voor dat consumenten vanaf het moment van ontvangst van het betreffende (papieren of digitale) bankafschrift, 60 dagen de tijd hebben om hun bank te informeren over een foutieve (niet door hen geautoriseerde) elektronische betaling. De bank van de consument dient de melding binnen 10 werkdagen te onderzoeken en het betwiste bedrag, wanneer gerechtvaardigd, terug te storten op de rekening van de klant. Is de zaak na 10 werkdagen nog niet opgelost, dan stort de bank tenminste een deel van het betwiste bedrag terug op de rekening van de consument en zet de bank het onderzoek gedurende maximaal 45 dagen voort.
Zoals hiervoor aangegeven, is het wettelijk kader rond de consumentenaansprakelijkheid voor frauduleuze betalingstransacties in Nederland bepaald door de richtlijn betaaldiensten. Betaaldienstverleners kunnen binnen dit wettelijk kader zelf nog coulancebeleid ontwikkelen.
Wetgeving op dit punt is in mijn optiek niet nodig. Mijn verwachting is dat het overleg dat in het verband van het Maatschappelijk Overleg Betalingsverkeer is opgestart, voldoende resultaat zal opleveren. Ik ben graag bereid de Tweede Kamer daar te zijner tijd over te informeren.

Vraag 1

Kent u het bericht dat de voedingsindustrie via internet de kinderreclameregels ontloopt? 1

Ja.

Vraag 2

Kunt u uitleggen hoe dat kan? Op welke manieren kunt u hiertegen optreden?

Ten aanzien van de doelgroep kinderen is door de partijen die gezamenlijk het adverterend bedrijfsleven vormen in de Reclamecode geregeld dat reclame voor voedingsmiddelen gericht op kinderen onder de 7 jaar niet is toegestaan. Partijen die zich niet aan de afspraak houden voor deze doelgroep, kunnen via de Reclame Code Commissie ter verantwoording worden geroepen.
Jaarlijks laat de Federatie Nederlandse Levensmiddelen Industrie (FNLI) door de Stichting Reclame Code een peiling houden in hoeverre de Reclamecode voor Voedingsmiddelen (RvV) wordt nageleefd. In de rapportage van 16 november jl. wordt aangegeven dat de restrictie goed wordt nageleefd (televisie, bioscopen), maar dat er ten aanzien van reclame op websites wel kanttekeningen te plaatsen zijn. Er zijn 10 websites geïdentificeerd die zich richten op kinderen onder de 7 jaar, al dan niet via de ouders. In het bericht waar u naar verwijst, wordt door de FNLI als mogelijke reden gegeven dat veel bedrijven niet doorhebben dat ook hun eigen websites grotendeels reclame-uitingen zijn. De FNLI heeft in de rapportage aangegeven aandacht te gaan besteden aan dit onderwerp opdat er ook op websites gehandeld wordt naar de regels van de RvV. Ik verwacht van de FNLI dat zij haar leden aanspreekt op hun verantwoordelijkheid en dat in de volgende rapportage (over het jaar 2013) blijkt dat partijen, ook op digitale media, de afgesproken regels van de RvV naleven.

Vraag 3

Deelt u de mening dat kinderobesitas een zeer ernstige vorm van welvaartsziekte is en dat alles op alles gezet moet worden om die tegen te gaan?

Overgewicht, en in het bijzonder kinderobesitas, is een serieus probleem dat grote gevolgen kan hebben voor de gezondheid. Het kabinet spant zich in om overgewicht terug te dringen. Echter, overgewicht is een complex maatschappelijk probleem dat niet alleen door de overheid terug te dringen is. De inzet van mensen zelf en die van andere betrokken partijen, zoals zorgverleners, het onderwijs, private partners en (sport)verenigingen is hierbij onontbeerlijk.

Vraag 4

Bent u bereid deze manier van ontduiking van de kinderreclameregels tegen te gaan en de Kamer te laten weten hoe u dat gaat aanpakken?

Zie antwoord vraag 2.

Vraag 1

Kent u het bericht «Website Burgernet heeft enorm privacylek»?1

Ja.

Vraag 2

Is het waar dat de gegevens van burgers die zich bij Burgernet melden niet of nauwelijks beveiligd zijn? Zo ja, hoe kan dat? Zo nee, wat is er dan niet waar en waaruit blijkt dan dat de beveiliging wel op orde zou zijn?

De beveiliging van de gegevens van burgers bij Burgernet is uitermate belangrijk. Vanaf de lancering van de Burgernet website zijn alle pagina’s waar persoonlijke gegevens op kunnen worden geraadpleegd of ingevuld dan ook beveiligd geweest met een versleutelde HTTPS verbinding. De gegevens van burgers die zich bij Burgernet aanmelden zijn daarbij beveiligd opgeslagen achter het veiligheidsportaal van de Voorziening tot samenwerking Politie Nederland. Daarmee worden de gegevens van deelnemers opgeslagen in een database die zich bevindt in het beveiligde netwerk van de politie en voldoet zo aan de beveiligingseisen zoals deze gesteld zijn aan politiegegevens. Het Burgernetsysteem is daarnaast aangemeld bij het College Bescherming Persoonsgegevens.
Na de installatie van een recente update is de beveiliging specifiek voor het aanmeldformulier niet opnieuw geactiveerd. Hierdoor was de aanmeldpagina vanaf de release tot de ontdekking van de fout niet beveiligd met een HTTPS verbinding. Hierbij was geen sprake van een structurele fout in het systeem, maar van een menselijke fout. Zodra dit bekend werd, is deze beveiliging direct weer geactiveerd en is de procedure aangescherpt om een dergelijke fout in de toekomst te voorkomen. De gegevens van burgers die zich bij Burgernet aanmelden zijn dan ook vanaf dat moment weer beveiligd. Daarbij wil ik benadrukken dat noch de beveiliging van de overige pagina’s op de website van Burgernet waar persoonlijke gegevens kunnen worden geraadpleegd, noch de beveiliging van gegevens die opgeslagen zijn in de database op enig moment in het geding zijn geweest.

Vraag 3

Waarom is er niet automatisch sprake van een https-beveiliging van de site op het moment dat iemand een aanmeldingsformulier voor Burgernet ingevuld? Kan dit alsnog worden geregeld? Is de site dan wel voldoende beveiligd?

Vraag 4

Zijn er al privacygevoelige gegevens in handen van derden gekomen die daar geen recht op hebben? Zo ja, welke risico’s of nadelen kan dat voor die burgers met zich meebrengen? Zo nee, hoe weet u dat?

Er zijn mij geen signalen bekend dat er privacygevoelige gegevens in handen van derden zijn gekomen en de kans dat dit gebeurd is, is gering. Dit omdat de beveiliging van het aanmeldformulier een relatief korte periode gedeactiveerd is geweest en dit in die periode niet algemeen bekend was. Bovendien zou een persoon, om de gegevens in handen te kunnen krijgen, zich op hetzelfde moment in hetzelfde onbeveiligde netwerk moeten bevinden als de persoon die zich aanmeldt.

Vraag 5

Wat gaat u doen of hebt u inmiddels gedaan om Burgernet optimaal te beveiligen?

Vraag 6

Deelt u de mening dat een lekke website geen vertrouwen wekt en er toe kan leiden dat burgers zich niet op die site begeven? Zo ja, wat zegt dat voor het vertrouwen in Burgernet en de deelnamebereidheid van burgers? Zo nee, waarom niet?

De beveiliging van gegevens die burgers ter beschikking stellen aan Burgernet is uitermate belangrijk. Burgernet streeft dan ook naar de grootste zorgvuldigheid bij de beveiliging van deze gegevens.
Het vertrouwen en de bereidheid van burgers om mee te doen aan Burgernet is vanaf de start tot op heden hoog. Burgernet heeft momenteel ruim 1 100 000 deelnemers en elke dag melden meer burgers zich aan om deel te nemen. Bovendien zijn wekelijks in alle regio’s succesvolle bugernet-acties te melden, waarmee het vertrouwen en de bereidheid onder burgers om deel te nemen nog verder wordt versterkt.

Vraag 1

Bent u bekend met het feit dat op 1 november in Rusland een wet in werking is getreden die de digitale vrijheid van de bevolking inperkt, door systematische surveillance met DPI technologie?1

Ja.

Vraag 2

Wat is de reactie van de Nederlandse regering hierop? Welke gevolgen verwacht u dat deze wet zal hebben voor de mensenrechtensituatie in Rusland en voor de Nederlandse bedrijven die daar opereren?

De wet is primair gericht op bescherming van kinderen tegen schadelijke informatie als ook op het beperken van toegang tot in Rusland wettelijk verboden informatie. De wet zou ook gebruikt kunnen worden om de autoriteiten onwelgevallige informatie af te schermen en om het gedrag van internetgebruikers te monitoren. De Nederlandse regering koestert de vrijheid op het internet en de bescherming van de privacy van gebruikers. De vertrouwelijkheid van de bedrijfscommunicatie is bovendien in het geding. Daarom maakt de regering zich zorgen over eventueel misbruik van de op 28 juli 2012 door president Poetin bekrachtigde wet.

Vraag 3

Kan de regering uitsluiten dat er vanuit Nederland of andere EU-lidstaten technologie aan Rusland geleverd wordt die gebruikt wordt voor massasurveillance, DPI, massacensuur of andere maatregelen die mensenrechten inperken?

Nee. Veel goederen kunnen naast gebruik voor wetmatige interceptie ook voor mensenrechtenschendingen worden ingezet. Het exacte eindgebruik is niet altijd bekend.

Vraag 4

Ziet u mogelijkheden om bij te dragen aan digitale vrijheid in Rusland, bijvoorbeeld door het beschikbaar stellen van de Nederlandse ambassade voor veilig, ongecensureerd en niet gemonitord internetgebruik?

De Nederlandse regering heeft internetvrijheid hoog in het vaandel staan. Zowel in Europees kader als in de bilaterale contacten met de Russische overheid worden de ontwikkelingen van het afgelopen halve jaar in Rusland ten aanzien van de vrijheid van meningsuiting, vrijheid van informatievergaring en andere vrijheden aan de orde gesteld. Tijdens het bezoek van de Mensenrechtenambassadeur aan Rusland van 15 tot 19 oktober 2012 is dit in gesprekken met overheden en met non-gouvernementele overheden aan de orde geweest. In het verleden heeft Nederland via het Matra-programma verschillende internetinitiatieven ondersteund, zoals het verbeteren van de internet-nieuwsvoorziening van «Novaya Gazeta». Daarnaast heeft Nederland bij de Freedom Online conferenties in zowel Den Haag (2011) als Nairobi (2012) Russische bloggers (respectievelijk Gregory Shevdov en Damir Gainutdinov) de mogelijkheid geboden hun ervaringen te delen ten aanzien van de situatie van digitale rechten in Rusland.

Vraag 5

Op welke wijze zult u zich inzetten voor digitale vrijheid van mensen in Rusland?

Zie antwoord vraag 4.

Vraag 6

Bent u bereid om u op Europees niveau in te zetten voor de digitale vrijheid in Rusland? Zo ja, hoe gaat u dat doen?

De EU heeft deze en andere vrijheden tijdens de EU-RF Mensenrechtendialoog in juli 2012 reeds aan de orde gesteld. De Nederlandse regering zal er voor blijven pleiten dat dit onderwerp hoog op de agenda staat.

Vraag 7

Bent u bereid om u op Europees niveau in te zetten voor een verbod op de export van technologie vanuit de EU wanneer die gebruikt wordt of kan worden voor het schenden van mensenrechten, zoals nu gebeurt in Rusland?

Nederland zet zich reeds geruime tijd in om de EU-dual useverordening uit te breiden, zodat bedrijven een ad-hoc vergunningplicht kan worden opgelegd indien er aanwijzingen zijn dat technologie (gedeeltelijk) kan worden gebruikt voor mensenrechtenschendingen. Het Europees Parlement heeft onlangs een voorstel gedaan langs deze lijnen. Nederland zal er bij andere lidstaten op aandringen dit voorstel te omarmen.

Vraag 1

Wat is uw analyse over de aanbeveling van de Europees Commissaris voor de Digitale Agenda, mevrouw Neelie Kroes, dat lidstaten tempo moeten maken met de uitrol van 4G-netwerken?1

Vraag 2

Wat is uw analyse over het bericht dat Nederland relatief langzaam is met het uitrollen van het 4G-netwerk?

Vraag 3

Kunt u een overzicht geven van de stand van zaken van de uitrol van het 4G-netwerk in de Europese lidstaten?

Vraag 4

Wat kan het kabinet doen om het 4G-netwerk sneller over Nederland uit te rollen?

Vraag 5

Hoe garandeert het kabinet dat er een constante netkwaliteit in de 4G-infrastructuur ontstaat?