Vraag 1

Wat is uw reactie op het artikel «mobiele data het duurst in Nederland»1 waarin wordt belicht dat Nederlanders in vergelijking met andere Europeanen het meest moeten betalen voor mobiel internet?

Ik heb kennis genomen van het artikel. De vragen gaan over één van de conclusies in het rapport waar het artikel naar refereert, namelijk de prijs van mobiele data-only abonnementen. Dit betreft de gebruikers die alleen een mobiele databundel en geen andere diensten afnemen. Dit is slechts een klein gedeelte (minder dan 5%) van de markt. In het onderzoek valt op dat binnen dat segment alleen gekeken wordt naar de premium abonnementen van de Nederlandse providers en niet naar hun «second brands» die goedkoper zijn.
Het rapport spreekt de verwachting uit dat door toetreding van een nieuwe uitdager (Tele2) de prijzen voor de mobiele data-only abonnementen zullen dalen. Het merkt ook op dat waar het abonnementen voor bundels van mobiele data en bellen en sms-en betreft Nederland beter uit het onderzoek komt. Op grond van dit rapport deel ik niet de mening dat de markt onvoldoende functioneert.
Er verschijnen geregeld onderzoeken (onder andere ook de OESO) naar de tarieven van telecommunicatie met niet zelden wisselende en soms tegenstrijdige uitkomsten. Dat komt ten eerste omdat het moeilijk is uniforme vergelijkingsmaatstaven te definiëren. Zo verschillen de databundels per land. In het rapport wordt bijvoorbeeld een combinatie-bundel met 20 sms-jes gehanteerd en die komt niet in Nederland voor. Ten tweede wordt onvoldoende rekening gehouden met factoren die de prijs van telecommunicatie in een land bepalen. Het betreft factoren als de koopkracht per land, het gebruiksprofiel van consumenten en eventuele handsetsubsidies. Het maakt analyses over prijsverschillen buitengewoon lastig en vaak voor discussies vatbaar.
Ik ga onderzoeken hoe we tot een betekenisvollere internationale vergelijking kunnen komen van mobiele telecommunicatietarieven en zal u over de uitkomsten van zo’n vergelijking dit najaar informeren.

Vraag 2

Deelt u de mening dat de kosten per gigabyte in Nederland (gemiddeld 9 euro) in vergelijking met andere Europese landen (gemiddeld 1 a 2 euro) dusdanig hoog zijn dat er zeer waarschijnlijk sprake zal zijn van een onvoldoende functionerende markt? Zo ja, op welke wijze gaat u dit probleem aanpakken?

Zie antwoord vraag 1.

Vraag 3

Zijn er naast het gebrek aan concurrentie andere oorzaken voor de hoge kosten van mobiel dataverkeer in Nederland? Bent u bereid dit zo nodig nader te (laten) onderzoeken?

Zie antwoord vraag 1.

Vraag 4

Bent u bereid om deze vragen voor het verzamel algemeen overleg Telecommunicatie op 28 mei 2013 te beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het bericht «DigiD moeilijk te bereiken door een DDoS-aanval»?1

Ja.

Vraag 2

Kunt u bevestigen dat de kracht van de aanval beperkt was tot slechts 200 aanvragen per seconde?

Bij een DDoS-aanval (Distributed Denial of Service-aanval) worden grote hoeveelheden dataverkeer naar een website verstuurd waardoor deze onbereikbaar kan worden. DDoS-aanvallen bestaan in diverse varianten. Daarnaast bestaat de DoS-aanval (Denial of Service) aanval, hierbij is dus geen sprake van een netwerk aan betrokken systemen, maar van een enkele computer of server.
DigiD heeft te kampen gehad met meerdere DDoS-aanvallen die verschilden in aard en omvang. Elke aanval is met specifieke maatregelen bestreden.

Vraag 3

Klopt het dat voor een dergelijke capaciteit geen botnet nodig is en dat een dergelijke aanval in theorie door een persoon thuis vanaf zijn laptop uitgevoerd zou kunnen worden?

Zie antwoord vraag 2.

Vraag 4

Is het niet schokkend dat een kritische overheidsdienst zo eenvoudig uit de lucht gehaald kan worden en zo lang uit de lucht gehouden kan worden?2

Gedurende de DDoS aanvallen is DigiD niet uit de lucht geweest. Er was sprake van een beperkte bereikbaarheid van deze voorziening. Om ongewenst dataverkeer zo veel mogelijk tegen te houden is DigiD voor gebruikers in het buitenland in de periode van 28 april tot 2 mei geblokkeerd geweest.
Het belang van de continuïteit en beschikbaarheid van DigiD is zeer groot en hier wordt veel geld en menskracht in geïnvesteerd. De actualiteit van de beveiligingsmaatregelen (waaronder de nodige afweermechanismen) wordt continue bewaakt en waar nodig worden passende aanvullende maatregelen ten uitvoer gebracht. Dit laat onverlet dat DDoS-aanvallen helaas een wereldwijd probleem zijn dat op grote schaal plaatsvindt. Dergelijke aanvallen en de ongewenste gevolgen van deze verkeersopstoppingen, zijn daarom nu en in de toekomst niet uit te sluiten.
Ik hecht eraan te benadrukken dat bij de aanvallen geen hacks hebben plaatsgevonden. De intrinsieke veiligheid van DigiD en de betrouwbaarheid van informatie en persoonsgegevens, zijn niet in het geding geweest.

Vraag 5

Is DigiD niet dezelfde kritische overheidsdienst waarvoor Microsoft ten tijde van het DigiNotar-incident was gevraagd een update uit te stellen?

Na het opzeggen van het vertrouwen in DigiNotar heeft Microsoft een update gemaakt die DigiNotar certificaten in de lijst van onbetrouwbare certificaten plaatste. DigiD was één van de vele overheiddiensten die gebruik maakte van DigiNotar certificaten.
Het uitstel van de update was in zijn algemeenheid bedoeld om organisaties meer tijd te geven om de certificaten van DigiNotar te vervangen. Hierdoor voorkwam men dat, door een abrupte beëindiging van de mogelijkheid om van DigiNotar-certificaten gebruik te maken, het communicatieverkeer tussen bijvoorbeeld machines onderling («server-to-server») zou worden verstoord. Hierdoor zouden websites en onderliggende systemen moeilijker of in het geheel niet meer bereikbaar zijn.
Overigens, zoals beschreven in het rapport «Evaluatie van de rijkscrisisorganisatie tijdens de DigiNotar-crisis» van de Inspectie Veiligheid en Justitie, zou de update van Microsoft op dinsdag 6 september 2011 om 19:00 uur plaatsvinden. In de middag van 6 september laat de rijksoverheid via de website rijksoverheid.nl echter al weten dat DigiD weer veilig kan worden gebruikt (http://www.rijksoverheid.nl/documenten-en-publicaties/persberichten /2011/09/06/digid-weer-veilig.html ).

Vraag 6

Hoe verhouden volgens u deze incidenten zich tot elkaar? Hoe kan het belang toen zo groot zijn geweest om de boel draaiende te houden, terwijl nu vrij simpel de dienstverlening alsnog stil gelegd kan worden?

Beide incidenten illustreren de toegenomen afhankelijkheid van informatiesystemen. De incidenten zijn evenwel van een andere orde. In het geval van DigiNotar was een derde partij erin geslaagd om ongeautoriseerde toegang te krijgen tot de servers van DigiNotar en vervalste digitale certificaten te genereren. Bij een DDoS-aanval is primair sprake van het verstoren van de bereikbaarheid en niet van het binnendringen in netwerken en toegang tot servers en bestanden. Zoals bij vraag 4 is vermeld, is DigiD alleen de voor gebruikers in het buitenland in de periode van 28 april tot 2 mei geblokkeerd geweest.

Vraag 7

Welke mogelijkheden ziet u om de afhankelijkheid van enkele systemen (single points of failure) te verkleinen? Wat betekent dit voor een ontwerp van een nieuw eID?

Eén van de ontwerpcriteria die bij de ontwikkeling van het eID-stelsel als uitgangspunt zal gelden is dat het stelsel geen single points of failure kent. Daarnaast biedt het keuzevrijheid voor burgers (en bedrijven) bij het gebruik van authenticatiemiddelen. Dit betekent dat als een voorziening, zoals DigiD, door een DDoS-aanval slecht bereikbaar is, men met andere middelen alsnog overheidsdienstverlening moet kunnen bereiken.

Vraag 8

Welke acties gaat u de komende periode ondernemen om de dienstverlening te verbeteren?

Gelet op het economisch en maatschappelijk belang van DigiD heeft Logius naar aanleiding van de aanvallen additionele en verscherpte maatregelen getroffen om de continuïteit en beschikbaarheid van DigiD, te kunnen blijven bewaken en te borgen. Logius is hierbij op het technisch vlak ondersteund en geadviseerd door het Nationaal Cyber Security Centrum (NCSC). Verder verwijs ik naar de brief van mijn ambtgenoot van het ministerie van Veiligheid en Justitie aan uw Kamer van 14 mei 2013 (Kenmerk 386064), waarbij, mede namens de Ministers van Algemene Zaken, Binnenlandse Zaken en Koninkrijksrelaties, voor Wonen en de Rijksdienst en de Staatssecretaris van Financiën, een reactie is gegeven op de DDoS-aanvallen bij de Rijksoverheid en de in dat verband genomen en voorgenomen maatregelen.

Vraag 1

Heeft u kennisgenomen van de aflevering van Nieuwsuur op donderdag 14 maart 2013 over de privacyvoorwaarden bij apps?1

Ja.

Vraag 2

Deelt u de conclusie van dit item dat bedrijven hun voorwaarden bewust zo gecompliceerd maken dat gebruikers ze nooit zullen lezen?

Deze vragen betreffen de relatie tussen specifieke producenten en consumenten. Het is niet aan mij om een oordeel uit te spreken over de invulling van die relatie.
Ik kan wel aangeven dat de privacywetgeving, opgenomen in de Wet bescherming persoonsgegevens en de Telecommunicatiewet, vereist dat de privacy voorwaarden bij apps beknopt en voor iedereen leesbaar en begrijpelijk zijn. De eindgebruiker die een app afneemt waarmee persoonsgegevens worden verwerkt, moet duidelijk en volledig worden geïnformeerd over de identiteit van de partij die deze gegevens verwerkt en de doeleinden van de verwerking. Daarnaast is toestemming van de eindgebruiker vereist. Zonder duidelijke informatie kan geen sprake zijn van toestemming, aangezien die moet bestaan uit een «vrije, specifieke en op informatie berustende wilsuiting» van de eindgebruiker.
Organisaties en bedrijven dienen bij het aanbieden van een dienst, zoals een app, dan ook transparant te zijn over de verwerking van persoonsgegevens van gebruikers van die dienst.
Bij eventuele klachten over de naleving van de wettelijke (informatie)verplichtingen kunnen de consumenten zich wenden tot de Autoriteit Consument & Markt en het College Bescherming Persoonsgegevens.

Vraag 3

Wat betekent dit volgens u voor de gemaakte keuze van de consument die met deze voorwaarden instemt? Is hier sprake van een vrije keuze zoals gesteld in privacywetgeving?

Zie antwoord vraag 2.

Vraag 4

Kunt u specifiek ingaan op de gebruiksvoorwaarden van Apple waarmee je per definitie moet instemmen na aankoop van een iPhone om van relevante applicaties gebruik te kunnen maken? Is hier sprake van vrije keuze zoals gesteld in privacywetgeving?

Zie antwoord vraag 2.

Vraag 5

Heeft u tevens kennisgenomen van het artikel Unique in the Crowd: The privacy bounds of human mobility?2

Ja.

Vraag 6

Wat betekent de conclusie dat zeer ruwe locatiegegevens, namelijk viermaal een meting elk uur gemeten via mobiele zendmasten, in 95% van de gevallen zijn te herleiden tot personen en daarmee persoonsgegevens zijn voor het verzamelen van locatiegegevens door bijvoorbeeld apps of andere telefoondiensten? Wat betekent dit voor dienstverleners die gebruikmaken van locatiegegevens, de gegevens die zij hiermee verzamelen en de toestemming die zij hiervoor vragen?

In het artikel wordt verwoord dat uit grote hoeveelheden geanonimiseerde data patronen te ontdekken zijn die in combinatie met andere datasets, bijvoorbeeld apps, te herleiden zijn tot groepen of personen. Deze ontwikkeling is interessant voor het voorspellen voor de inzet van bijvoorbeeld het OV, kans op file, capaciteit op mobiele netwerken, inzet van personeel in winkels, horeca en in het verlengde daarmee de logistiek en de bevoorrading.
Ik onderken het economisch belang van de ontwikkeling van de online-diensten, waaronder apps, en het belang van het bieden van ruimte voor innovatie. Als het daarbij gaat om bijvoorbeeld het verzamelen en verwerken van persoonsgegevens, dient dat wel binnen de wettelijke kaders te gebeuren, zodat de privacy van de eindgebruiker gewaarborgd blijft (ik verwijs naar mijn antwoord op vragen 2 en 3).
Een goede bescherming van persoonsgegevens en de persoonlijke levenssfeer draagt immers bij aan het digitale vertrouwen van betrokkenen en daarmee aan de groei van digitale diensten en de economie.

Vraag 1

Wat is uw reactie op de uitzending van het VARA-programma Kanniewaarzijn waarin wordt bericht dat door het ontbreken van wetgeving telecomaanbieders van mobiel dataverkeer consumenten op onevenredig hoge kosten kunnen jagen?1

Ik vind het erg vervelend als een consument wordt geconfronteerd met zulke onverwachte, hoge rekeningen, ondanks dat maatregelen zijn en worden getroffen door aanbieders.

Vraag 2

Bent u van mening dat het zeer onwenselijk is dat consumenten geen enkele bescherming genieten tegen ongemerkt internetgebruik met torenhoge rekeningen tot gevolg?

Ja, het zou onwenselijk zijn als de consument geen enkele bescherming geniet tegen ongemerkt internetgebruik met torenhoge rekeningen tot gevolg, maar dat is niet het geval. Er zijn beschermingsmaatregelen die vooral gericht zijn op het voorkomen van zulke hoge rekeningen door de consument goed te informeren over de aangeboden diensten en de kosten daarvan en door de consument meer inzicht in en grip te geven op zijn verbruik.
Zo dient de consument op grond van grond van de Regeling universele dienstverlening en eindgebruikersbelangen (Rude)2 geïnformeerd te worden over de tarieven, zoals het buitenbundeltarief. Daarnaast hebben aanbieders medio 2012 de gedragscode «Transparantie Mobiel Datagebruik» afgesloten. De gedragscode heeft betrekking op transparantie en voorlichting zodat de consument een abonnement kan kiezen die het beste aansluit op zijn datagebruik. Zo is in de gedragscode opgenomen dat aanbieders aan de consument de mogelijkheid bieden om tussentijds de kosten te monitoren, bijvoorbeeld om via een «mijn klantomgeving» of via een door de aanbieder aangeboden applicatie na te gaan hoeveel data is verbruikt of hoeveel tegoed er nog over is. Ook worden consumenten actief door de aanbieder geïnformeerd bij het bereiken van een bepaald verbruik (bijvoorbeeld wanneer 80% van de databundel is verbruikt) via een waarschuwings-sms.
Daarnaast kan de consument kiezen voor uiteenlopende abonnementen die extra waarborgen bieden:
Mochten zich onverhoopt toch hoge rekeningen voordoen, zoals het tv-programma «Kanniewaarzijn» heeft laten zien, dan zal in het concrete geval moeten worden bekeken waar het fout is gegaan. Aanbieders hebben vaak een coulancebeleid bij hele hoge rekeningen. Indien de aanbieder en de consument er samen niet uitkomen, kan de consument bij een meningsverschil over de factuur naar de Geschillencommissie (Elektronische Communicatiediensten) stappen die dan daar een uitspraak over doet. De betrokken partijen moeten zich dan houden aan die uitspraak.

Vraag 3

Vindt u het fatsoenlijk en gewenst dat telecombedrijven het mobiel dataverkeer, dat buiten de bundel van het abonnement valt, 8600% duurder in rekening brengt bij de consument, zoals het voorbeeld in de televisie-uitzending laat zien?

Ik heb hier geen oordeel over. Bij veel abonnementen is het buitenbundeltarief hoger dan het binnenbundeltarief en het verschil kan inderdaad een veelvoud zijn. Er zijn ook abonnementen verkrijgbaar waarbij het verschil tussen binnen- en buitenbundeltarieven kleiner is of geen enkel verschil kent. Ik heb echter geen oordeel over wat het maximale verschil tussen binnen- en buitenbundeltarieven zou mogen zijn. Indien er sprake is van een hoog tarief per MB kan bij een excessief dataverbruik de rekening snel oplopen.
Daar moet de consument voor gewaarschuwd worden en dat vereist transparantie richting de consument, waarvoor het nodige is geregeld en afgesproken. Zie hiervoor ook het antwoord op vraag 2.

Vraag 4

Hoe kan het dat mensen die de provider hebben gevraagd data te blokkeren toch geconfronteerd worden met kosten?

Dat zal per concreet geval bekeken moeten worden. In algemene zin kan ik hierover niets zeggen.

Vraag 5

Wat vindt u ervan dat klanten zelfs in dit soort uitzonderlijke gevallen, vanwege het door hun providers opgevoerde «recht op privacy», geen inzage kunnen krijgen in hun dataverkeer?

Aanbieders van openbare telecommunicatienetwerken – of diensten mogen op grond van de Telecommunicatiewet (en Europese privacyrichtlijnen) verkeersgegevens in beginsel uitsluitend verwerken voor zover dat nodig is om communicatie over te brengen. Daarnaast mogen zij deze gegevens slechts verwerken voor zover dat nodig is voor een aantal in de wet omschreven doelen, zoals facturering. Voor de facturering van consumenten is slechts noodzakelijk dat het volume van het datagebruik wordt bijgehouden. Het is voor de facturering niet nodig dat er bijvoorbeeld is bijgehouden welke website of applicatie een consument gebruikt op welk tijdstip en hoe lang. Aanbieders mogen dergelijke gegevens dan ook niet verwerken en moeten die gegevens vernietigen of anonimiseren zodra de betrokken communicatie stopt. Ik vind het belangrijk dat de persoonsgegevens en privacy van consumenten goed worden beschermd.
Als een consument op een gedetailleerder niveau een beeld wil krijgen van het dataverbruik van de door hem gebruikte internettoepassingen, zou hij een datateller op zijn mobiele telefoon kunnen installeren. Daarop kan worden bijgehouden hoeveel data diverse toepassingen hebben verbruikt, zoals e-mail of geïnstalleerde applicaties.

Vraag 6

Bent u bekend met de reactie van uw voorganger, de toenmalige minister Verhagen, op de uitzending van Tros Radar2 waarin hij verklaart dat de verantwoordelijkheid bij de aanbieders ligt en dat deze aanbieders bezig zijn met verschillende initiatieven om consumenten beter te informeren? Deelt u deze mening en vindt u dat de initiatieven van de aanbieders geleid hebben tot het gewenste resultaat?

Ja, ik ben bekend met de reactie van mijn voorganger. Ik vind het allereerst de verantwoordelijkheid van de aanbieders om consumenten goed te informeren over hun producten en diensten. Dat vinden de aanbieders ook en zij hebben hiertoe medio 2012 de gedragscode «Transparantie Mobiel Datagebruik» gesloten. Daarin zijn afspraken gemaakt om de consument beter te informeren over kosten mobiel datagebruik bij het afsluiten van een abonnement en om de consument meer grip te laten krijgen op het verbruik, zoals het sturen van een waarschuwings-sms bij het bereiken van een bepaald verbruik. Hierover is de Kamer bij brief4 van 16 juli 2012 over geïnformeerd. In de tegelijkertijd met deze beantwoording meegestuurde kamerbrief over consumentenonderwerpen in de telecommarkt heb ik gemeld dat de aanbieders nog met aanvullende maatregelen zullen komen. Tevens heb ik hierbij aangegeven dat de aanbieders en mijn Ministerie de gedragscode deze zomer zullen evalueren. Dan zullen we opnieuw bekijken hoe het gaat met het voorkomen van deze zogeheten «bill shocks».

Vraag 7

Deelt u de mening dat er behoefte is aan ten eerste een verplichting voor telecombedrijven om klanten te waarschuwen als er teveel dataverbruik is en ten tweede aan een optie voor consumenten om bij het afsluiten van contracten de mogelijkheid te hebben om bij overschrijding van de bundel het dataverbruik te laten blokkeren zoals de Europese regelgeving omtrent roaming? Zo ja, op welke wijze gaat u deze oplossingen in wet- en regelgeving verwerken?

Nee, de aanbieders hebben afgesproken de consument in een vroegtijdig stadium actief te waarschuwen per sms, bijvoorbeeld wanneer de consument 75% of 90% van zijn bundel heeft verbruikt. Daarnaast zijn er allerlei toepassingen voor consumenten beschikbaar om hun verbruik continue bij te houden. Als de consument het laten blokkeren van de mobiele internetdienst bij het overschrijden van de databundel, een bepaald bedrag of datavolume erg belangrijk vindt, dan kan hij een abonnement kiezen waarbij deze dienst wordt aangeboden. Als een consument een abonnement wil zonder buitenbundelkosten, dan zijn hiervoor ook alternatieven beschikbaar. Consumenten hebben niet dezelfde behoeften. Niet alle consumenten willen van mobiel internet worden afgesloten zodra zij hun bundel hebben overschreden.

Vraag 1

Kunt u beschrijven hoe de exacte overdracht van de operationele bevoegdheden van DigiNotar heeft plaatsgevonden?1

Deze beschrijving vindt u in mijn besluiten op Wob-verzoeken over dit onderwerp. Deze zijn met bijlagen te vinden op de website rijksoverheid.nl onder Wob-verzoeken.
Kortheidshalve verwijs ik u daarnaar.

Vraag 2

Op welke manier is tijdens het intensieve telefooncontact op de avond van 2 september 2011 DigiNotar en moederbedrijf VASCO overtuigd dat het overdragen van alle verantwoordelijkheden wenselijk was?

Blijkbaar was ook VASCO van mening, dat het inschakelen van een medewerker van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) voor het operationeel management voor het algemeen maatschappelijk belang de beste oplossing was om de klanten van DigiNotar te ondersteunen om op een beheerste wijze over te stappen naar andere leveranciers van certificaten. Op 3 september 2011 heeft VASCO een volmacht afgegeven, waarin de overname van het operationele management geregeld werd. Anders dan u stelt, zijn niet alle verantwoordelijkheden overgedragen, maar uitsluitend het operationeel management zoals omschreven in de volmacht.

Vraag 3

Kunt u uitleggen op basis van welke wettelijke grondslag is overgegaan tot het de facto overnemen van DigiNotar en kunt u de juridische onderbouwing toelichten?

DigiNotar is niet de facto overgenomen. Alleen het operationeel management is overgenomen na goed overleg met VASCO. Hieraan ligt geen specifieke wettelijke bepaling ten grondslag.

Vraag 4

Kunt u toelichten waarom ervoor is gekozen om de volmacht breder te maken dan de eigen overheidscertificaten en er is gekozen voor alle certificaten van DigiNotar?

Beperking tot de PKI-overheid certificaten zou niet voldoende zijn geweest voor de continuïteit van de dienstverlening door overheidsorganen en enkele vitale sectoren.
Overheidsorganisaties gebruikten voor hun online dienstverlening niet alleen certificaten van PKI-overheid, maar ook grote(re) aantallen certificaten van DigiNotar zelf («eigen merk»). Daarnaast gebruikten enkele sectoren met een publieke taak grote aantallen certificaten van DigiNotar zelf (notariaat, gerechtsdeurwaarders) evenals de advocatuur (met een eigen productieomgeving voor certificaten van DigiNotar), de energiesector, de financiële sector en de belastingdienst.

Vraag 5

Kunt u een toelichting geven op het specifiek uitlichten van de gebruikerslijst in deze volmacht en het belang van deze gebruikerslijst beschrijven?

In de volmacht is een trits van specifieke bevoegdheden opgesomd, waaronder de toegang tot de gebruikerslijsten, zodat over deze bevoegdheden in de praktijk geen discussies zou kunnen ontstaan of ze wel behoorden tot de operationele bevoegdheid van de gemachtigde bestuurder.

Vraag 6

Kunt u bevestigen dat een belangrijke reden voor de overname van DigiNotar het in bezit krijgen van de zogenaamde gebruikerslijsten was?

Aangezien externe partijen, zoals de browserleveranciers Mozilla en Microsoft het vertrouwen in alle door DigiNotar geleverde certificaten hadden opgezegd liepen op heel korte termijn veel belangrijke processen risico op verstoring of zelfs stilvallen.
De gebruikerslijsten waren daarom belangrijk om alle gebruikers van door DigiNotar geleverde certificaten snel te kunnen informeren over de status van hun certificaten en hen te ondersteunen bij de overstap naar een andere certificatenleverancier, zodat hun dienstverlening ongestoord zou kunnen blijven doorgaan met gebruik van een nieuw, vertrouwd certificaat.

Vraag 7

Kunt u bevestigen dat de overheid had kunnen en had moeten beschikken over haar eigen gedeelte van de gebruikerslijst, aangezien het hier ging om diensten door haarzelf afgenomen?

Nee. Elke afnemer van certificaten houdt een registratie bij van de eigen certificaten. Er is geen overheidsbrede administratie van certificaten, noch van certificaten van PKI-overheid noch van certificaten van andere leveranciers van certificaten. «De overheid» zelf is geen juridische entiteit, maar bestaat uit vele zelfstandige bestuursorganen en organisaties, die zelf verantwoordelijk zijn voor het beheer van de door hen aangeschafte ICT-middelen.
De leveranciers van certificaten hebben uiteraard een sluitende administratie van alle uitgegeven certificaten, maar geen verplichting om een lijst met hun afnemers aan derden te geven. Dit is ook niet gewenst vanwege onnodige regeldruk en concurrentieoverwegingen.

Vraag 8

Kunt u toelichten wat het zelf in bezit hebben van deze gebruikerslijst had uitgemaakt voor de urgentie en de noodzaak van het overnemen van DigiNotar?

Zie antwoord op vraag 7. De gebruikerslijsten vormden slechts een onderdeel van de aspecten die onderdeel uitmaakten van het operationele management.

Vraag 9

Kunt u ingaan op de huidige situatie met betrekking tot gebruikerslijsten? Beschikt de overheid nu wel accurate lijsten van op welke plekken welke diensten afgenomen worden?

Zie het antwoord op vraag 7.

Vraag 10

Kunt u aangeven op welke voorwaarden Microsoft akkoord is gegaan met het uitstel van een update voor de Nederlandse markt van een week?

Microsoft heeft geen voorwaarden gesteld aan het uitstel.

Vraag 11

Kunt u uitsluiten dat er voor het maken van deze afspraak enige koppeling is gelegd met andere afspraken of contracten tussen de overheid en Microsoft in het verleden, heden of toekomst?

Ja.

Vraag 12

Wordt er gewerkt aan alternatieven voor SSL waar de overheid voor haar dienstverlening van gebruik zou kunnen maken? Welke rol speelt de overheid hier zelf in?

Er bestaan ideeën over alternatieven voor SSL-certificaten. Enkele bedrijven ontwikkelen deze verder in overleg met relevante partijen. Wanneer dit onderwerp in EU verband wordt besproken, spreekt Nederland mee. Deze alternatieven zullen op de korte en middellange termijn (3–5 jaar) nog geen vervanger zijn voor de SSL-certificaten.
In opdracht van het Ministerie van EZ en BZK heeft de Leverancier Logica (thans bekend onder de naam CGI) op 8 maart 2012 een rapport gepubliceerd met als titel «Evaluatie PKI». In dit rapport is ook gekeken naar alternatieven voor SSL. Conclusie van de onderzoekers was dat alternatieven enerzijds nog niet goed zijn uitgekristalliseerd en anderzijds nog niet volwassen genoeg zijn voor brede toepassing.

Vraag 1

Bent u bekend met het bericht «VS zuchten al langer onder cyberaanvallen»?1

Ja.

Vraag 2

Is het waar dat een radicale hackactivistengroep genaamd «Cyber Fighters of Izz ad-Din al-Qassam» verantwoordelijk is voor cyberaanvallen op financiële instellingen in de VS?

Een groep die zichzelf Cyber Fighters of Izz ad-Din al-Qassam noemt, heeft de verantwoordelijkheid voor meerdere grootschalige aanvallen op de financiële sector in de Verenigde Staten opgeëist. Deze groepering staat niet op de EU- of een nationale terrorismelijst. In de media is gesuggereerd dat de Iraanse overheid een relatie heeft met de Cyber Fighters of Izz ad-Din al-Qassam. De Iraanse overheid heeft publiekelijk ontkend betrokken te zijn bij de cyberaanvallen op de Amerikaanse banken. Bij het Nationaal Cyber Security Centrum en de inlichtingen- en veiligheidsdiensten is bekend dat statelijke actoren of aan staten gelieerde actoren zich in toenemende mate in het digitale domein begeven. De AIVD onderzoekt de herkomst van dergelijke cyberaanvallen, maar kan in het openbaar geen mededelingen doen over de uitkomst van deze onderzoeken.

Vraag 3

Welke informatie is bekend over deze groepering? Staat deze groepering op een terreurlijst, bijvoorbeeld de terreurlijst van de EU?

Zie antwoord vraag 2.

Vraag 4

Worden de banktegoeden van deze groepering of daaraan gelieerde personen bevroren? Zo nee, bent u bereid u (al dan niet in internationaal verband) ervoor in te zetten dat dit zal gaan gebeuren?

Aangezien de groepering niet op een sanctielijst voorkomt, zijn eventuele tegoeden niet bevroren. Nederland beschikt niet over informatie die als basis zou kunnen voor een voorstel tot het bevriezen van tegoeden. Ik zie voor nu dan ook geen aanknopingspunten om hier in internationaal verband voor te pleiten.

Vraag 5

Kunt u aangeven of deze groepering feitelijk door een staat wordt aangestuurd, in die zin dat de staat verantwoordelijk is voor de cyberaanvallen? Zo ja, om welke staat gaat het?

Zie antwoord vraag 2.

Vraag 6

Door wie of wat wordt deze groepering gefinancierd? Kunnen deze financiers strafrechtelijk worden vervolgd?

Informatie over de financieringsbronnen van de groep die de verantwoordelijkheid heeft opgeëist is niet beschikbaar. Generiek kan ik aangeven dat het financieren van cybercriminaliteit in de vorm van een DDos-aanval in Nederland, in voorkomende gevallen, strafbaar is als deelneming aan het misdrijf belemmeren van de toegang of het gebruik van geautomatiseerde werken (artikel 138b Sr).

Vraag 7

Zijn de recente DDos-aanvallen op Nederlandse financiële instellingen ook afkomstig van deze groepering? Zo nee, kunt u aangeven welke groepering dan wel verantwoordelijk is voor deze aanvallen en of dit eveneens een groepering is met een ideologische inslag?

Op dit moment voert het Team High Tech Crime van de politie op last van het Openbaar Ministerie een onderzoek uit naar de DDos-aanvallen. Dit onderzoek is in volle gang, daarmee is het onmogelijk om nu al uitspraken te doen over mogelijke daders en/of motieven. Er zijn vooralsnog geen aanwijzingen dat de genoemde groepering verantwoordelijk is voor de cyberaanvallen op de Nederlandse banken. Bij DDos-aanvallen is de website van een bank tijdelijk onbereikbaar doordat grote hoeveelheden verkeer worden verstuurd naar de website. Daardoor is het uitvoeren van transacties onmogelijk. Er is echter nadrukkelijk geen sprake van het ontvreemden van tegoeden van klanten. Daardoor wordt dus geen schade geleden. Wel is het mogelijk dat klanten tijdelijk geen transactie hebben kunnen uitvoeren. De schade van het niet op dat moment uit kunnen voeren van transacties valt moeilijk in te schatten.

Vraag 8

Wat is de omvang van de schade van deze cyberaanvallen op Nederlandse banken? Vinden deze aanvallen plaats om financiële fraude te verhullen of wordt hiermee een ideologisch doel gediend?

Zie antwoord vraag 7.

Vraag 9

Is er al contact geweest met de VS over de cyberaanvallen? Zo nee, waarom niet? Zo ja, welke afspraken zijn er gemaakt?

Ondermeer het NCSC en de AIVD hebben regelmatig contact met enerzijds het onder het Department of Homeland Security ressorterende US-Cert (Computer Emergency Response Team), en anderzijds de Amerikaanse Inlichtingen en Veiligheidsdiensten. In deze contacten wisselen het centrum en de diensten onder meer kennis en informatie uit. Ook gerubriceerde informatie over digitale aanvallen kan daarbij worden gedeeld. Over internationale samenwerking met deze diensten in concrete gevallen doen wij in het openbaar geen uitspraken.

Vraag 10

Is de Algemene Inlichtingen en Veiligheidsdienst (AIVD) in voldoende mate toegerust om met betrekking tot deze nieuwe vormen van terrorisme de veiligheid van Nederland te waarborgen en inlichtingen daaromtrent te vergaren?

Contraterrorisme en cyber security zijn, zowel afzonderlijk als in samenhang, prioriteiten van de AIVD. Om de technologische ontwikkelingen op dit gebied bij te houden zal daarin de komende jaren verder geïnvesteerd moeten worden.

Vraag 11

Welke concrete acties gaat u naar aanleiding van deze aanvallen nemen dan wel heeft u reeds genomen?

In onze brief d.d. 16 april heb ik samen met de Minister van Financiën de Tweede Kamer ingelicht over de ondernomen acties. In het kader van de actieve informatie-uitwisseling met de banken is het belangrijk dat met hen is afgesproken dat een liaison in het NCSC wordt geplaatst om de intensieve samenwerking te bestendigen. Daarnaast heb ik de Kamer geïnformeerd over het nog dit jaar actualiseren van de Nationale Cyber Security Strategie met als belangrijk onderdeel het samen met de AIVD en de MIVD op- en uitbouwen van een Nationaal Detectie en Response Netwerk. Daarnaast zal de aanpak van «Botnets» (netwerken van geïnfecteerde computers die gebruikt kunnen worden bij een (DDos) aanval) worden geïntensiveerd en zal het juridisch instrumentarium worden aangepast aan de ontwikkelingen in het digitale domein.

Vraag 1

Heeft u kennisgenomen van het bericht «Middenstand boos op KPN»?1

Ja.

Vraag 2

In hoeverre is het toegestaan om extra kosten te vragen voor storingen die door telecombedrijven zelf en buiten de schuld van de afnemer worden veroorzaakt?

Partijen zijn vrij om aanvullende service-afspraken te maken die verder gaan dan het standaardniveau van serviceverlening. Hierbij kan bijvoorbeeld worden gedacht aan een gegarandeerde hersteltijd van de storing of het verhelpen van de storing buiten kantooruren. Hiervoor kunnen door de aanbieder extra kosten in rekening worden gebracht. Bedrijven die hier geen gebruik van wensen te maken kunnen kiezen voor de standaard serviceverlening tegen een lager tarief. Dit laat uiteraard onverlet dat aanbieders van openbare telefoondiensten moeten voldoen aan de in de Telecommunicatiewet opgenomen vereisten omtrent beschikbaarheid van de dienst (zie antwoord vraag 3).

Vraag 3

Hebben telecombedrijven, waaronder KPN, niet de wettelijk plicht om standaard storingen te verhelpen en hier geen voorkeurseisen aan te verbinden?

Vanuit de Telecommunicatiewet (artikel 11a.1, tweede lid) geldt een zorgplicht voor aanbieders van openbare telefoondiensten om op netwerkniveau alle noodzakelijke maatregelen te nemen om de beschikbaarheid van de openbare telefoondienst zo volledig mogelijk te waarborgen. Onderbrekingen zijn nooit helemaal te voorkomen omdat technische systemen nu eenmaal (kunnen) falen. Een mate van risico-aanvaarding is hier aan de orde. Agentschap Telecom ziet toe op de naleving van deze verplichting en kan bij niet-naleving middelen inzetten om de aanbieder aan de wettelijke eisen te laten voldoen. Naast deze zorgplicht geldt wat partijen op contractuele basis hebben afgesproken over het gewenste serviceniveau van de dienst.

Vraag 4

Heeft u zicht op de totale extra kosten die het midden- en kleinbedrijf (MKB) moet maken door dergelijke aanvullende service eisen?

KPN heeft mij hierover cijfers verstrekt. Daaruit is gebleken dat 20.000 zakelijke klanten voor een aanvullend servicecontract hebben gekozen. De meerderheid van deze klanten (15.000) heeft een servicecontract die inhoudt dat ook buiten kantooruren aan de storing wordt gewerkt. Een dergelijk contract kost 6,68 euro per maand. In totaal gaat het om ongeveer 100.000 euro aan extra kosten per maand. Dit betreft dan alleen de zakelijke klanten van KPN. De overige 5.000 klanten hebben uitgebreidere servicecontracten waarin ook andere faciliteiten zijn opgenomen, zoals een bereikbaarheids- of een monitoringsonderzoek. De kosten van dergelijke contracten variëren tussen de 35 euro en 800 euro per maand.

Vraag 5

Bent u van plan om het MKB te beschermen tegen aanvullende kosten voor service die standaard geleverd moet worden?

Ik vind dat partijen de vrijheid moeten hebben om aanvullende afspraken te maken over verdergaande serviceverlening.
Daarnaast heeft KPN toegezegd dat naar aanleiding van deze kamervragen en de van zakelijke afnemers ontvangen signalen wordt bekeken of een kortere hersteltermijn zal worden gecommuniceerd. In de praktijk blijkt namelijk dat 75% van de incidenten in de zakelijke markt binnen 8 kantooruren wordt afgehandeld. Dit is aanzienlijk sneller dan de maximale hersteltermijn van vijf werkdagen die KPN nu communiceert met haar klanten (in deze specifieke kwestie bedroeg de hersteltermijn overigens 5 uur). Ik ben verheugd over deze praktijk van snelle storingsafhandeling. Als deze kortere hersteltermijn ook wordt gecommuniceerd naar de klanten van KPN, kunnen zij veel beter inschatten of een aanvullend servicecontract met snellere hersteltijden wel nodig is. Ook bekijkt KPN of zij aanvullende servicecontracten op een andere manier zullen aanbieden dan bij het melden van de storing door de klant.
De timing van het aanbieden van extra service lijkt mij relevant, omdat dit bij een storing niet goed kan vallen bij de ondernemer.
Tot slot bekijk ik momenteel of voor zakelijke gebruikers verdergaande bescherming nodig is. Dit naar aanleiding van uw vragen tijdens het Algemeen Overleg in de Tweede Kamer van 21 november vorig jaar, waarin u aangaf dat het voor mkb-bedrijven lastig is om over te stappen. Binnenkort wordt de Tweede Kamer hierover nader geïnformeerd.

Vraag 1

Bent u bekend met het bericht «EU, US go separate ways on cybersecurity»?1

Ja.

Vraag 2

Hoeveel schade wordt er jaarlijks geleden als gevolg van cybersecurity-incidenten?

De schade die jaarlijks in landen wordt geleden als gevolg van cybersecurity incidenten is niet goed vast te stellen omdat de schade bij veel verschillende partijen wordt geleden, niet eenduidig en volledig wordt gemeld, en naast economische schade ook imagoschade behelst.

Vraag 3

Is het waar dat de Verenigde Staten overwegen een regeling te introduceren, of deze al geïntroduceerd hebben, waarin de keuze cybersecurity-incidenten te melden, zoals bijvoorbeeld een lek in de beveiliging van data, aan bedrijven en instellingen wordt overgelaten op vrijwillige basis?

Op 12 februari 2013 stelde president Barack Obama een «executive order» vast waarin federale autoriteiten verplicht worden de informatiedeling over cybersecurity dreigingen met private bedrijven die kritieke infrastructuur ondersteunen te verbeteren. Vitale organisaties worden opgeroepen om op vrijwillige basis informatie over incidenten te delen. De uitwerking van de verschillende onderdelen van de «executive order» vindt in de komende maanden plaats.

Vraag 4

Is het waar dat de door de Europese Commissie voorgestelde richtlijn voorziet in een meldplicht van dit soort incidenten? Wat is uw oordeel over dit onderdeel van deze richtlijn?

Ja. Voor het standpunt van de regering over dit voorstel verwijs ik u naar het BNC-fiche dat op 15 maart 2013 naar uw Kamer is gezonden (Kamerstukken II 2012/2013, 22 112, nr. 1587).

Vraag 5

Hoe groot is de bereidwilligheid onder bedrijven tot het op vrijwillige basis melden van cybersecurity-incidenten, zoals bijvoorbeeld datalekken? Hoeveel meer incidenten zouden worden gemeld indien er sprake zou zijn van een verplichting?

De bereidheid onder organisaties tot het vrijwillig melden van cybersecurity incidenten neemt toe. In 2012 zijn er 364 incidenten gemeld bij het Nationaal Cyber Security Centrum. In 2011 waren dit er nog 236. Het aantal gemelde cybersecurity breaches is echter nog relatief beperkt. Het betreft hier inbreuken op de veiligheid en of integriteit van informatiesystemen die potentieel kunnen leiden tot maatschappelijke ontwrichting. Om deze reden wordt naar aanleiding van de motie Hennis-Plasschaert c.s. (Kamerstukken II 2011/2012, 26 643, nr. 202) door de minister van VenJ ontwerp-wetgeving voorbereid, die strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. In geval van datalekken gaat het om een inbreuk op beveiligingsmaatregelen voor persoonsgegevens, die leidt tot het verlies van persoonsgegevens. Ook voor datalekken geldt dat de bereidheid tot het vrijwillig melden ervan aan de toezichthouder of aan de betrokkene wiens persoonsgegevens het betreft, gering is. Bij het College bescherming persoonsgegevens zijn de afgelopen twee jaar drie datalekken door verantwoordelijken gemeld. De verwachting is dat een wettelijke verplichting het aantal meldingen zal doen toenemen.

Vraag 6

Wat is de invloed van de voorgestelde Amerikaanse regelgeving op de internetveiligheid van Nederlandse burgers, bedrijven en overheid? Leidt dit per saldo ertoe dat hun persoonlijke gegevens minder goed kunnen worden beschermd?

Elke maatregel die er op is gericht de bereidheid van organisaties tot het melden van cybersecurity incidenten te vergroten zal in principe bij kunnen dragen aan het verbeteren van de internetveiligheid. Het valt echter niet op voorhand te zeggen wat de gevolgen van de door de Verenigde Staten gemaakte keuzes zullen zijn.

Vraag 7

Deelt u de mening dat het uiteenlopen van deze regelgeving er niet toe zou moeten leiden dat de gegevens van Nederlandse burgers, bedrijven of zelfs staatsgevoelige informatie op straat komt te liggen? Hoe kan dat worden voorkomen?

Ik deel uw mening dat het onwenselijk is als gevoelige informatie op straat komt te liggen. In de «executive order» wordt ook specifiek gesteld dat de grondrechten (privacy en civil liberties) geborgd moeten worden bij het uitwerken van de maatregelen.

Vraag 8

Wat is de invloed van de voorgestelde regelgeving voor het handelsverkeer tussen de Verenigde Staten en Nederland? Leidt dit ertoe dat er handelsrestricties, al dan niet feitelijk, ontstaan waardoor het intercontinentale handelsverkeer wordt belemmerd?

De zowel in de VS als in de EU aangekondigde maatregelen met betrekking tot het melden van cybersecurity-incidenten hebben geen directe betrekking op het intercontinentale handelsverkeer. Het gaat om het al dan niet vrijwillig melden van incidenten vanuit de door de VS en de EU gedeelde noodzaak om tot een hoger niveau van netwerk- en informatiebeveiliging te komen. De meeste bedrijven nemen vanuit oogpunt van bedrijfszekerheid ook zelf al de nodige maatregelen. De eigen verantwoordelijkheid wordt door de in de VS en de EU aangekondigde maatregelen expliciet gemaakt.

Vraag 9

In hoeverre schaadt het uiteenlopen van de regelgeving de belangen van Nederlandse bedrijven? Bestaat hier verschil tussen bedrijven die wel en bedrijven die niet in de Verenigde Staten zijn gevestigd?

De manier waarop de maatregelen zijn opgesteld verschilt maar lijkt vanwege het beoogde materiële effect geen wezenlijk verschil te maken voor de positie van in de VS gevestigde Nederlandse bedrijven ten opzichte van de in de EU actief zijnde Nederlandse bedrijven. Niettemin zal het kabinet dit punt meenemen in de komende besprekingen van de ontwerprichtlijn van de EU.

Vraag 10

Welke risico’s ziet u voor de Europese ambitie cloud computing te stimuleren nu de regeling van de Verenigde Staten en de Europese Unie zo van elkaar verschillen?

Net als de VS heeft ook Europa ambities om cloud computing te stimuleren. Cloud computing is een relatief nieuwe ontwikkeling die kansen biedt voor efficienter en flexibeler werken. De globalisering van de opslag en het beheer van data, de juridische kaders die gelden en de wijze waarop eigenaar en beheerder van persoonsgegevens hun verantwoordelijkheden kunnen nemen, vraagt ook om om een goede borging van de privacy.
In de op 27 september 2012 gepubliceerde EU Cloud Strategie benoemt de Commissie de economische kansen maar ook de acties die nodig zijn in het kader van dataprotectie en de standaardisatie van privacy-aspecten in internationaal verband. De internationale dialoog over deze aspecten is van belang om zo ook buiten de EU de privacy te beschermen.

Vraag 11

Welke acties gaat u ondernemen naar aanleiding van deze informatie?

Het standpunt van de regering over voorstel voor richtlijn COM(2013)48 van de Europese Commissie is in een BNC-fiche naar uw Kamer gezonden op 15 maart 2013 (Kamerstukken II 2012/2013, 22 112, nr. 1587). Tevens bereidt het Ministerie van VenJ ontwerp-wetgeving voor, die zoals eerder gemeld strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. Op grond van de definitieve tekst van de EU richtlijn zal moeten worden bezien of en in welke mate deze nationale (ontwerp) wetgeving hiermee in overeenstemming is.
Hiernaast zal de staatssecretaris van VenJ, samen met de ministers van BZK en EZ, binnenkort een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens indienen dat strekt tot invoering van een wettelijke meldplicht voor datalekken. Daarnaast streeft het kabinet nationaal en internationaal naar een adequate balans tussen veiligheid, vrijheid en (economische) groei. In de nieuwe nationale cybersecuritystrategie en in de internationale arena is er aandacht voor deze balans en de genoemde risico’s.

Vraag 1

Bent u bekend met het nieuwsbericht dat journalist Brenno de Winter gevraagd is te getuigen over de hack op Groene Hart Ziekenhuis, waar documenten op een publiek toegankelijke internetserver stonden? Kunt u dit uitleggen hoe dit mogelijk is?1

De heer de Winter is door de politie uitgenodigd als getuige om in het kader van een strafrechtelijk onderzoek naar een hack bij het Groene Hart Ziekenhuis een aantal vragen van de politie te beantwoorden.
Een ieder waarvan wordt vermoed dat diens getuigenverklaringen kunnen bijdragen aan het oplossen van (ernstige) strafbare feiten, kan worden uitgenodigd voor een getuigenverhoor bij de politie. Zo’n getuigenis in de opsporingsfase gebeurt op basis van vrijwilligheid. Daarnaast geldt voor journalisten onverminderd het recht op bronbescherming waar zij zich op kunnen beroepen.

Vraag 2

Bent u bekent met de uitspraak van het Europese Hof voor de Rechten van de Mens van 2007 over de zaak Koen Voskuil?

Ja. In deze zaak werd een journalist tijdens de behandeling van een strafzaak in hoger beroep op vordering van de verdediging gegijzeld door het Hof Amsterdam omdat hij zijn bron niet bekend wilde maken. Het Hof in Straatsburg oordeelde dat de gijzeling een disproportionele schending had opgeleverd van het recht op bronbescherming van de journalist.
Ik zie geen samenhang met de kwestie waarop deze Kamervragen betrekking hebben, namelijk de uitnodiging aan de journalist Brenno de Winter om vragen van de politie te beantwoorden in een lopend strafrechtelijk onderzoek. Van inbreuk op de bronbescherming van de journalist is in dit geval geen sprake. Dit geldt in het bijzonder nu de aangehouden hacker zichzelf reeds aan de politie kenbaar had gemaakt als bron van de journalist.

Vraag 3

Hoe staat het in Nederland met het verschoningsrecht van journalisten als gevolg van onder andere deze uitspraak? In hoeverre is de betreffende uitspraak in wetgeving omgezet?

De diverse uitspraken van het EHRM over de bronbescherming en het verschoningsrecht van journalisten worden als leidend beschouwd bij het opsporings- en vervolgingsbeleid van de politie en justitie in Nederland voor zover hierbij een journalist betrokken is. Zo is in 2012 de Aanwijzing toepassing dwangmiddelen tegen journalisten van het College van procureurs-generaal aangepast mede naar aanleiding van het Sanoma-arrest van het EHRM van 14 september 2010.
Eveneens naar aanleiding van het Sanoma-arrest is een aanvulling van het wetsvoorstel Bronbescherming in voorbereiding genomen, waarin voorafgaande rechterlijke toetsing van dwangmiddelen tegen verschoningsgerechtigden is opgenomen. Zoals in de brief van 7 december 2012 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, mede namens mij, is aangekondigd, is inmiddels een aanvullend advies gevraagd aan de Raad van State (Kamerstukken II, vergaderjaar 2012–2013, 30977, nr.2. De voorbereiding van het wetsvoorstel is aangehouden omdat wij de uitspraak van het EHRM in de zaak van De Telegraaf tegen de Staat wilden afwachten teneinde met de resultaten daarvan tijdig rekening te kunnen houden. In dezelfde brief treft u de conclusies die wij aan het arrest hebben verbonden.

Vraag 4

Weet u dat in een korte tijd meerdere kwetsbaarheden bij zorggerelateerde instellingen aan het licht zijn gebracht? Is het beleid om iedereen die een misstand aan het licht brengt te vervolgen? Zijn er ook omstandigheden denkbaar waarbij u samenwerkt met deze personen met als hoger doel kwetsbaarheden in de beveiliging van computersystemen te voorkomen en bestrijden?

Ja, dat is bekend. Het is goed wanneer kwetsbaarheden bij zorggerelateerde instellingen aan het licht worden gebracht. Dat neemt niet weg dat, indien het aantonen van kwetsbaarheden gepaard gaat met een strafbaar feit, dit strafrechtelijk kan worden onderzocht door het openbaar ministerie. Dit vloeit voort uit het zeer zwaarwegend maatschappelijk belang dat gemoeid is met de bescherming van gevoelige persoonsgegevens zoals medische informatie.
Bij een hack uit «ethische» motieven kan sprake zijn van het ontbreken van de materiële wederrechtelijkheid, dat wil zeggen dat de verdachte het feit bewijsbaar heeft begaan maar dat hij hiervoor niet strafbaar is. Er moet dan wel zijn gebleken dat er voor de hacker geen andere (minder ingrijpende) methoden voorhanden waren om de kwetsbaarheden aan te tonen en dat hij hierbij de nodige zorgvuldigheid heeft betracht; belangen van derden mogen niet onnodig zijn geschonden. In deze zaak waren er redenen om te twijfelen aan de zorgvuldigheid en de ethische motieven van de verdachte.
Bij het Team High Tech Crime van de Nederlandse Politie werken personen die over dezelfde vaardigheden beschikken als hackers. Zij spelen een belangrijke rol in de opsporing van ernstigere vormen van cybercrime.

Vraag 5

Bent u bekend met het richtsnoer van het College bescherming persoonsgegevens met betrekking tot de NEN-7510 norm (de door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland)? Deelt u de visie van experts dat de NEN-norm de minimale basis voor beveiliging in de zorg vormt? Zo nee, waarom niet?

Ik ben bekend met de Richtsnoeren Beveiliging van het College bescherming persoonsgegevens (CBP). Zorgaanbieders zijn verantwoordelijk voor de juistheid, actualiteit en beveiliging van de zorginhoudelijke gegevens. In artikel 13 van de Wet bescherming persoonsgegevens (Wbp) staat deze verplichting tot beveiliging in algemene zin opgenomen. Specifiek voor informatiebeveiliging in de zorg zijn normen beschikbaar van het Nederlands Normalisatie-instituut, te weten NEN-normen 7510 tot en met 7513. Op 21 december 2012 is het wetsvoorstel inzake cliëntenrechten bij elektronische verwerking van gegevens aangeboden aan uw Kamer (Kamerstukken II, vergaderjaar 2012–2013, 33509, nr.3. Naar de genoemde NEN-normen zal in de algemene maatregel van bestuur op grond van artikel 26 Wbp dwingend worden verwezen.
De Inspectie voor de gezondheidszorg (IGZ) houdt zorgbreed risicogericht toezicht. Er worden geen lijsten bijgehouden van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm. Uiteraard wordt wel een overzicht bijgehouden van zorgaanbieders waar de IGZ inspecties heeft uitgevoerd. In haar toezicht op de informatiebeveiliging door zorginstellingen betrekt de IGZ ook de NEN-normen. In 2003 en in 2007 heeft de IGZ telkens bij 20 Nederlandse ziekenhuizen een onderzoek uitgevoerd naar de mate van informatiebeveiliging. Het onderzoek in 2007 heeft de IGZ overigens samen met het CBP uitgevoerd. De onderzoeksresultaten waren voor de IGZ aanleiding om vervolgens aan alle ziekenhuizen te vragen zich in 2010 extern te laten auditen op de mate van informatiebeveiliging. Alle ziekenhuizen hebben hieraan gehoor gegeven en hebben toen uiteindelijk een voldoende score laten zien.
Voorwaarde voor aansluiting op de zorginfrastructuur (voorheen het Landelijk Schakelpunt) is dat het zorginformatiesysteem van de zorgaanbieder, en het gebruik daarvan, voldoet aan de eisen van een goed beheerd zorgsysteem (GBZ). Deze GBZ-eisen zijn onder andere gebaseerd op relevante onderdelen van de NEN-norm 7510. Op sommige onderdelen zijn specifiekere eisen gesteld. Het is aan de zorgaanbieder om aan deze eisen te voldoen.
Het is overigens aan de verantwoordelijke van het informatiesysteem om te borgen dat de informatie-uitwisseling tussen zorgaanbieders voldoet aan geldende wet- en regelgeving. Hier wordt ook strikt op toegezien; enerzijds ziet het CBP toe op de naleving van de Wbp en aanverwante wetten, anderzijds ziet de IGZ erop toe dat er verantwoorde zorg wordt geleverd en dat de beveiliging van medische dossiers op orde is. Het toezicht op de informatiebeveiliging is momenteel voldoende belegd bij de IGZ en het CBP en de huidige wettelijke bepalingen en bestaande veldnormen bieden voldoende aanknopingspunten voor toezicht op de beveiliging van medische dossiers.

Vraag 6

Kunt u een actuele lijst samenstellen van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm, waar deze toetsing niet heeft plaatsgevonden en wat de resultaten van de toetsing is geweest? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 7

Bent u van mening dat het mogelijk is te beginnen met een Landelijk elektronisch patiëntendossier (EPD) of een Landelijk Schakelpunt op het moment dat een aangesloten zorgverlener of zorginstelling niet aan de NEN-norm voldoet? Kunt u uw antwoord toelichten?

Zie antwoord vraag 5.

Vraag 8

Welke capaciteit wordt door de overheid ingezet voor het afdwingen van deze NEN-norm en het verlenen ondersteuning daarbij?

Zie antwoord vraag 5.

Vraag 9

Welk prioritering geeft de overheid aan het naleven van beveiligingsnormen binnen het zorgdomein in relatie tot het aanpakken van hackers die actief lekken kenbaar maken?

Dit onderwerp krijgt momenteel nadrukkelijk de aandacht van de overheid en van het veld. Zoals ik reeds heb aangegeven in de «Leidraad om te komen tot een praktijk van responsible disclosure» (Kamerstukken II, vergaderjaar 2012–2013, 26 643, nr. 264) kan responsible disclosure een belangrijk middel zijn om bij te dragen aan ICT-beveiliging. Door een kwetsbaarheid op een meer besloten wijze en in samenwerking met de getroffen organisatie kenbaar te maken (de verantwoorde of «responsible» disclosure) kunnen de gevolgen voor deze organisatie beperkt worden terwijl ook het publieke belang wordt gediend. Dit heeft nadrukkelijk de voorkeur boven het direct volledig publiekelijk bekend maken van een kwetsbaarheid (full disclosure). De door het Nationaal Cyber Security Centrum (NCSC) opgestelde leidraad dient dan ook om het toepassen van responsible disclosure bij alle partijen te stimuleren. Deze zal in de Zorg Information Sharing and Analysis Center (ISAC) onder de aandacht worden gebracht van het zorgveld.
Overigens wordt er gewerkt aan een meldplicht voor datalekken die inhoudt dat datalekken onder meer moeten worden gemeld bij het CBP. Dit is verwerkt in het wetsvoorstel «Gebruik camerabeelden en meldplicht datalekken» van de Staatssecretaris van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

Vraag 10

Hoeveel opsporingscapaciteit is ingezet bij het opsporen van hackers die kwetsbaarheden bij het Groene Hart Ziekenhuis hebben aangetoond?

Het onderzoek naar de hack op het Groene Hartziekenhuis is nog niet afgerond. Om die reden kan ik geen uitspraken doen over de hoeveelheid opsporingscapaciteit die is ingezet bij het opsporen van de hackers.

Vraag 1

Herinnert u zich de nog niet beantwoorde eerdere vragen over de aanpak van illegale aanbieders van kansspelen op internet en vooral de activiteiten van 7Red.com?1 Kent u ook het bericht «Gokreclames 7Red.com verboden»?2

Ja.

Vraag 2

Kent u de reclame van het online gokbedrijf Royaalcasino.com zoals uitgezonden op de op Nederland gerichte tv-zender van National Geographic en de websites?3 Zo ja, voldoen deze websites aan de prioriteringscriteria, te weten het hebben van een nl.site of het aanbieden van de site in de Nederlandse taal of reclame maken op radio, televisie en in geprinte media op grond waarvan de Kansspelautoriteit online goksites zegt aan te pakken? Zo nee, zou u zich dan op de hoogte willen stellen van deze reclame en websites?

Het is sinds 1 april 2012 aan de kansspelautoriteit (ksa) om toe te zien op de naleving van de Wet op de kansspelen (Wok), waaronder de regels ten aanzien van werving en reclame. De ksa laat mij weten de betreffende reclame te kennen. Het is aan de ksa om te bepalen hoe zij omgaat met de handhaving van de Wok.

Vraag 3

Over welke mogelijkheden beschikt de Kansspelautoriteit om illegale gokreclames op te sporen?

De medewerkers van de ksa houden via internet actief zicht op reclame-uitingen. Daarnaast ontvangen zij meldingen van burgers, bedrijven en organisaties over gokreclames.

Vraag 4

Op welke wijze kan de Kansspelautoriteit daadwerkelijk boetes opleggen en vooral ook innen bij gokbedrijven die gevestigd zijn in andere landen zoals Costa Rica, Malta of Curaçao? Hoe werken dergelijke inningsprocedures in de praktijk?

De ksa beschikt over een bestuurlijk handhavingsinstrumentarium, waaronder het opleggen van bestuurlijke boetes. Indien buitenlandse illegale aanbieders weigeren een bestuurlijke boete te betalen, is – zonder verhaalsmogelijkheden in Nederland – bestuursrechtelijke handhaving minder effectief. De ksa kan niet in het buitenland de betaling van bestuurlijke boetes afdwingen. Inzetten van het strafrecht is grensoverschrijdend mogelijk, maar wordt gezien als ultimum remedium (in die gevallen waarin sprake is van meervoudige of herhaalde overtredingen, van verwevenheid met andere criminele activiteiten en/of waarin de behoefte bestaat aan de toepassing van strafvorderlijke dwangmiddelen en bevoegdheden of het opleggen van specifiek strafrechtelijke sancties). Bij de ontwikkeling van het wetsvoorstel kansspelen op afstand bekijk ik welke aanvullende bevoegdheden de effectiviteit van de handhaving van de ksa verder kunnen versterken.

Vraag 1

Bent u bekend met het bericht «IJsland wil porno blokkeren»?1

Ja.

Vraag 2

Wat is uw reactie op het besluit van de IJslandse regering om op internet pornografie te blokkeren, om schadelijke effecten voor kinderen die porno zien te voorkomen?

Er zijn nu nog geen vastomlijnde plannen in IJsland om pornografie op internet te blokkeren. Op dit moment worden alleen de mogelijkheden daartoe onderzocht.

Vraag 3

Hoe zit de beoogde maatregel in IJsland in elkaar? Wat is de achterliggende gedachte achter deze maatregel? Welk doel dient de blokkade? Op welke wijze kan er een blokkade worden bewerkstelligd?

De IJslandse minister van Binnenlandse Zaken heeft een werkgroep gevormd die hem moet adviseren hoe de verspreiding van pornografie op internet kan worden tegengegaan. Volgens het IJslandse «Commissariaat voor de Media» wordt onder meer gedacht aan media-educatie, aanpassing van de definitie van porno in de bestaande wetgeving, het filteren van websites, het blokkeren van IP-adressen van pornosites en een verbod op het gebruik van IJslandse creditcards voor de toegang tot bepaalde websites. Een eventueel verbod op pornografie op internet zou de huidige IJslandse wet tegen het importeren, publiceren en distribueren van pornografisch materiaal in de fysieke wereld complementeren. In IJsland is veel discussie over de mogelijk schadelijke effecten van gewelddadige vormen van pornografie, met name voor jonge jongens. Uit de nationale consultatie van politici, in zedenzaken gespecialiseerde advocaten en professionals op het gebied van onderwijs en gezondheid is gebleken dat in IJsland draagvlak bestaat voor het blokkeren van porno op internet. Of het blokkeren van pornografie op internet ook technisch waterdicht te realiseren is, zal nog worden bezien.

Vraag 4

Bent u bereid het onderzoek waar de IJslandse regering naar verwijst, voorzien van uw reactie, naar de Kamer te sturen? In hoeverre is dit onderzoek van toepassing op de Nederlandse situatie?

De IJslandse regering verwijst naar het boek Pornland. How porn has hijacked our sexuality. Volgens de auteur dr. Gail Dines vertonen kinderen die op jonge leeftijd geconfronteerd worden met gewelddadige porno, dezelfde tekenen van trauma als kinderen die seksueel misbruikt zijn. De betreffende publicatie vormt echter geen weerslag van eigen wetenschappelijk onderzoek, maar biedt een interpretatie van visies op de rol van porno en erotiek vanuit een feministische grondslag. Ons is ook geen ander onderzoek bekend waaruit een vergelijkbaar traumatische effect van gewelddadige porno zou blijken als bij kinderen die seksueel misbruikt zijn. Ook de door ons geraadpleegde experts op het gebied van jeugd en media geven aan dergelijk onderzoek niet te kennen.

Vraag 5

Wat is er bekend over de invloed van porno op kinderen in Nederland?

Vanwege ethische bezwaren is in Nederland, noch in het buitenland ooit experimenteel onderzoek gedaan naar de directe invloed van pornografische beelden op kinderen. Wel zijn de statistische verbanden – ook longitudinaal – onderzocht bij vooral jongeren ouder dan 12 jaar die pornografische beelden hebben gezien. Uit onderzoek in 2011 van het kenniscentrum Rutgers WPF en het Nederlands Jeugd Instituut blijkt onder meer een wederkerig verband tussen het kijken naar porno enerzijds en seksuele belangstelling en seksueel gedrag anderzijds: jongens die meer in seks geïnteresseerd zijn en meer ervaring hebben, kijken meer naar porno en het kijken naar porno stimuleert vervolgens ook hun seksuele interesse. Bij meisjes wordt in deze studie nauwelijks een verband met kijken naar pornografische beelden gevonden. Onderzoek van de Universiteit van Amsterdam uit 2008 en 2009 toont longitudinale verbanden aan tussen het kijken naar porno en een positievere attitude tegenover seks buiten een relatie, minder tevredenheid over het eigen seksleven, meer onzekerheid over seksualiteit en de perceptie van vrouwen als lustobject. Daarbij moet wel de kanttekening geplaatst worden dat er naast het kijken naar porno veel andere factoren zijn die de seksuele ontwikkeling van jongeren beïnvloeden.

Vraag 6

Wat is er bekend over de omvang van het aantal kinderen in Nederland dat porno op hun mobiele telefoons bekijkt?

Er zijn wel cijfers over het percentage Nederlandse kinderen dat wel eens porno heeft gezien, maar niet specifiek voor het medium mobiele telefoons. Rutgers WPF en SOA Aids Nederland vonden in hun onderzoek Seks onder je 25ste (2012) dat twee derde van de 12- tot 14-jarige jongens en een vijfde van de meisjes in deze leeftijdscategorie het afgelopen half jaar porno heeft gezien, meestal op het internet. Het Sociaal en Cultureel Planbureau concludeerde op basis van het EU Kids Online onderzoek in 2011 dat ongeveer twee vijfde van de 9- tot 16-jarige internetgebruikers in aanraking komt met pornografische beelden (39%), zowel via internet (22%) als via televisie en film. Van deze jongeren blijkt 5% van streek te raken door het zien van seksueel getinte beelden. Nog lopend onderzoek van het lectoraat Cybersafety van de NHL Hogeschool onder kinderen en jongeren liet in 2012 zien dat 19% van de kinderen op de basisschool wel eens seksueel expliciet beeldmateriaal op internet heeft gezien.

Vraag 7

In hoeverre wordt er in Nederland bij hulpverleningsinstanties om hulp gevraagd als het gaat om de schadelijke gevolgen voor kinderen die porno te zien krijgen? In hoeverre is er op dit gebied hulpaanbod?

Er zijn geen cijfers beschikbaar over dit specifieke beroep op hulpverleningsinstanties. De digitale wereld kent niet alleen veel kansen; aan (verkeerd) gebruik zijn ook risico’s verbonden. Om jongeren op het terrein van seksualiteit meer bewust te maken van de risico’s van social media en internet is er in het lespakket «Lang leve de liefde» een module mediawijsheid «Jij en de media» opgenomen. Dit lespakket wordt op veel middelbare scholen en ROC’s gebruikt. Het is van belang dat jongeren en hun ouders mediawijs zijn. Dit wil zeggen dat jongeren en hun ouders over kennis, vaardigheden en een mentaliteit moeten beschikken, waarmee zij zich bewust, kritisch en actief kunnen bewegen in de digitale wereld. Verschillende ministeries zetten zich in om de mediawijsheid te vergroten. Op initiatief van het ministerie van Onderwijs, Cultuur en Wetenschap en het toenmalige ministerie voor Jeugd en Gezin is in 2008 het expertisecentrum Mediawijzer.net opgezet, dat de mediawijsheid van Nederlandse burgers en organisaties beoogt te bevorderen. Het is van belang dat mediawijsheid ook een onderdeel vormt van de opvoeding. Daarom onderhoudt Mediawijzer.net relaties met organisaties die ouders en opvoeders voorzien van informatie over allerlei thema’s, waaronder seksuele beelden en seksueel gedrag via het internet.

Vraag 8

Wordt er in Nederland onderzoek gedaan naar de schadelijke effecten voor kinderen die porno te zien krijgen? Zo nee, bent u bereid hier onderzoek naar te doen? Zo, ja bent u bereid dit onderzoek naar de Kamer te sturen?

Zoals aangeven in antwoord op vraag 5 wordt geen direct experimenteel onderzoek gedaan, maar worden wel de statistische verbanden onderzocht bij kinderen en jongeren die naar pornografische beelden hebben gekeken. Op dit moment loopt het onderzoek van de NHL Hogeschool, die met een tweede meting gestart is. De resultaten van dit onderzoek worden in september 2013 verwacht. Het entameren van aanvullend onderzoek achten de staatssecretaris van Volksgezondheid, Welzijn en Sport en ik niet noodzakelijk.

Vraag 1

Wat is uw reactie op het artikel «Overheid laks na aanval door botnet» waarin wordt belicht dat de overheid niet adequaat heeft opgetreden nadat zij was ingelicht dat duizenden bedrijven en overheidsinstellingen slachtoffer zijn geworden van cybercriminelen?1

Het artikel «Overheid laks na aanval door botnet» suggereert dat er door de overheid niets is en wordt gedaan aan de aanval door een botnet. Deze suggestie is onjuist.
Het NCSC heeft Digital Investigation verzocht om het gedeelte van de dataset te leveren dat nodig is om respons naar zijn achterban van overheid en vitale sectoren mogelijk te maken. Deze gegevens zijn op 8 december 2012 aangeleverd. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden, het NCSC heeft geen rechtsbasis om deze inhoudelijke en mogelijk gevoelige gegevens in te zien en te verwerken. De informatie was immers oorspronkelijk afkomstig van een misdrijf en bevatte persoonlijke gegevens en informatie waarvan de betrouwbaarheid en herkomst niet kon worden vastgesteld. Tevens stond niet vast stond hoe Digital Investigation deze informatie had verkregen.
De van Digital Investigation ontvangen IP-adressen zijn in december 2012 gecontroleerd op aanwezigheid in de bij het NCSC bekende IP-ranges (reeksen van door het departement of de instelling gebruikte IP-adressen) van departementen en instellingen binnen de doelgroep van het NCSC: de overheid en de vitale sectoren. Naar aanleiding van de resultaten hiervan zijn een zestiental departementen en instellingen actief geïnformeerd over een mogelijke besmetting omdat een match met mogelijk besmette IP-adressen werd vastgesteld in de IP-range.

Vraag 2

Wat zijn de risico’s nu blijkt dat cybercriminelen informatie hebben buitgemaakt van instellingen die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen? Hoe treedt u op tegen deze gevaren?

Zie antwoord 8

Vraag 3

Waarom heeft de politie besloten geen verder onderzoek te doen naar de melding van deze aanval? Waarom heeft de politie niet gevraagd om een leesbare kopie van de harddisk met de gestolen informatie? Deelt u de mening dat het verloop van deze kwestie niet bijdraagt aan het vergroten van het besef bij bedrijven en instellingen dat het melden van cybercrime van groot belang is?

Door de Politie wordt permanent onderzoek gedaan naar botnets. Begin augustus 2012 werd een groot aantal, voornamelijk Nederlandse bedrijven en (overheids)-instellingen getroffen door de uitbraak van een computervirus met de naam Dorifel. Gelet op de impact van de virusuitbraak, werd daar een onderzoek naar ingesteld door het Team High Tech Crime (THTC) van de Landelijke Eenheid van de Politie.
In dit onderzoek bleek dat het Dorifel-virus werd verspreid middels een botnet dat gebruik maakt van de zogenaamde Citadel-malware. Het onderzoek richt zich (tevens) op de identificatie van het criminele samenwerkingsverband achter het specifieke Citadel-botnet waarmee het Dorifel-virus werd verspreid.
In oktober 2012 kreeg het IT-beveiligingsbedrijf Digital Investigation via Leaseweb de beschikking over de inhoud van een command & controlserver van een Citadel-botnet (met de naam Pobelka). Omdat vermoed werd dat deze command & controlserver gerelateerd was aan de uitbraak van het Dorifel-virus, werd door Digital Investigation contact opgenomen met THTC en werd aangeboden om de gegevens van de command & control-server aan THTC te verstrekken. Op 16 oktober 2012 is door medewerkers van THTC een bezoek gebracht aan Digital Investigation. Door Digital Investigation is een kopie van de data op een harde schijf aan THTC overhandigd. Naar later bleek was deze schijf niet leesbaar. Daarna is op 20 november 2012 door medewerkers van THTC wederom een bezoek gebracht aan Digital Investigations. In dat gesprek kwam naar voren dat er geen directe relatie gelegd kon worden met de uitbraak van het Dorifel-virus. Derhalve is door THTC niet om een nieuwe kopie van de data verzocht. Wel bleek uit het onderzoek van Digital Investigation dat een groot aantal Nederlandse bedrijven besmet was met de Citadel-malware, hierop is door het THTC geadviseerd om contact op te nemen met het NCSC.
Ik ben met u van mening dat het melden van cybercrime van groot belang is. Naar mijn oordeel doet deze casus geen afbreuk aan het besef bij bedrijven dat het melden van cybercrime van groot belang is.

Vraag 4

Deelt u de mening dat met de gestolen gegevens heel Nederland platgelegd kan worden? Kunt u uw antwoord toelichten?

Zie antwoord 8

Vraag 5

Wat is de reden dat besmette bedrijven niet actief zijn gealarmeerd? Zijn inmiddels alle getroffen bedrijven ingelicht?

Het NCSC heeft op 8 december direct actie ondernomen door na overleg met Digital Investigation dat gedeelte van de dataset in ontvangst te nemen dat noodzakelijk is voor de respons. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden. Op basis van deze gegevens heeft het NCSC voor de partijen waar zij verantwoordelijk voor is, de Rijksoverheid en de vitale sectoren, onderzocht of er, in de bij het NCSC bekende IP-ranges, IP-adressen aanwezig waren. Zo konden deze, wanneer zij getroffen waren, gericht worden geïnformeerd. Het NCSC heeft daarnaast partners als Internet Service Providers (ISP) gewezen op de informatie over het botnet, zodat zij konden nagaan of klanten en andere partijen waar zij een vertrouwensrelatie mee hebben uit hun achterban getroffen waren. In 16 gevallen is er door het NCSC gericht gealerteerd; dit betrof partijen waarvan de zogeheten IP-ranges (de reeksen van IP-adressen die door deze partijen worden gebruikt) bekend waren bij het NCSC. Indien deze IP-adressen niet bekend zijn bij het NCSC, is het onmogelijk om gericht te kunnen alerteren.

Vraag 6

Hoe kan het dat het Nationaal Cyber Security Centrum (NCSC) zegt dat de organisaties uit de vitale infrastructuur door hen zijn gewaarschuwd, terwijl uit de steekproef van de NOS blijkt dat dit niet het geval is?

Zie antwoord 5

Vraag 7

Op basis waarvan heeft het NCSC besloten de gestolen informatie niet aan te mogen nemen? Bent u van mening dat bij directe dreiging de NCSC de bevoegdheid moet hebben om informatie te kunnen inzien? Zo ja, bent u voornemens dit mogelijk te maken?

In zijn algemeenheid ben ik van mening dat de overheid op terughoudende wijze dient om te gaan met onrechtmatig verkregen informatie, zeker als dit informatie betreft die de persoonlijke levenssfeer raakt. Het NCSC kon op grond van haar bestaande taken en bevoegdheden de informatie niet in ontvangst nemen en heeft daar ook geen rechtsbasis voor. Daarbij stond niet vast hoe Digital Investigation deze informatie had verkregen. Om dit belangrijke werk nu en in de toekomst effectief te kunnen blijven doen, zal nog dit jaar gewerkt worden aan het helder duiden van de taken en bevoegdheden van het NCSC. Juridisch verkend zal worden hoe het NCSC op een zorgvuldige wijze kan omgaan met de informatie die het NCSC vanuit de ICT-community bereikt. Daarbij zal worden gekeken hoe en op welke rechtsbasis het NCSC gegevens kan verwerken om de impact van dreigingen in het digitale domein op de nationale veiligheid te beperken. Hiermee wil ik er onder meer voor zorgen dat het NCSC haar rol als Computer Emergency Response Team (CERT) blijvend adequaat kan invullen.

Vraag 8

Bestaat het risico dat de verkregen gegevens gebruikt kunnen worden voor het afpersen van bij kritieke bedrijfsprocessen betrokken personen? Kunt u uw antwoord toelichten?

Nu onderdelen van de dataset in de openbaarheid zijn gekomen en daarmee het risico van misbruik groter is geworden, is door een aantal partijen de suggestie gewekt dat hierbij mogelijk grote belangen geschaad zouden zijn. Om deze reden is het van belang om de dataset in een brede context te analyseren en de potentiële impact van gegevens in de dataset in te schatten. Vanuit zijn coördinerende rol heeft de NCTV partijen die, vanuit eigen mandaat en verantwoordelijkheid, aan de analyse meedoen bij elkaar gebracht. De eerste resultaten van dit onderzoek zullen naar verwachting in de 2e helft van maart beschikbaar zijn. In afwachting van de resultaten van het onderzoek is het niet mogelijk om een gefundeerd antwoord te geven op vragen over de potentiële impact van de gegevens en de handelingen die actoren hiermee zouden kunnen verrichten. Ook is een strafrechtelijk onderzoek opgestart. De doelstelling van dit onderzoek is om tot een identificatie te komen van de beheerders van het Pobelka-botnet, die tevens verantwoordelijk moeten worden gehouden door het wegnemen van de 750 GB aan data.

Vraag 1

Kent u het bericht «Spoorvervoerders maken opnieuw bezwaar tegen uitrol 4G»?1

Vraag 2

Herinnert u zich uw antwoorden op eerdere schriftelijke Kamervragen van het lid Slob over dit onderwerp?2

Vraag 3

Wat is de stand van zaken van het overleg over het interferentieprobleem tussen beide betrokken ministeries, de publieke mobiele netwerkbeheerders, ProRail en de vervoerders?

Vraag 4

Klopt het dat ambtenaren van uw ministeries tegen de vervoerders hebben gezegd dat ook zij water bij de wijn moeten doen en dat zij dus mee moeten betalen aan een oplossing voor het interferentieprobleem? Staat dat niet op gespannen voet met de Europese interoperabiliteitseisen die een vrije toegang voor goederentreinen tot het Nederlandse spoorwegnet garanderen? Deelt u de mening dat dit de toegankelijkheid van Nederland voor Europese vervoerders kan beperken?

Vraag 5

Is inmiddels duidelijk of het noodzakelijk is om de reisinformatieborden van infoplus te voorzien van andere filters of bekabelde oplossingen wanneer gebruik gemaakt gaat worden van nieuwe breedbrand-technologieën zoals UMTS? Wat zijn indicatief de kosten hiervan?

Vraag 6

Deelt u de mening dat de kosten die gemoeid zijn met het nemen van maatregelen om de interferentieproblematiek te voorkomen, zullen moeten worden betaald door de veroorzakers, of uit de opbrengsten van de geveilde GSM-frequenties? Kunt u betaling door de veroorzakers, te weten de telecomoperators, juridisch afdwingen?

Vraag 7

Wat zijn de resultaten van het onderzoek naar de juridische mogelijkheden om plaatsing van verbeterde GSM-R-treinradioapparatuur in treinen voor te schrijven aan vervoerders en materieel-eigenaren?

Vraag 8

Wordt er onderzocht of nieuwe belemmeringen voor toegang van Europese vervoerders tot het Nederlandse net onder de bestaande Europese wetgeving mogelijk zijn? Of wordt er onderzocht of er bij andere EU lidstaten draagvlak is om de Europese regelgeving inzake GSM-R aan te passen vanwege de Nederlandse problemen?

Vraag 9

Is het begrip «passende bescherming» uit de vergunningsvoorwaarden zoals aangekondigd in uw eerdere antwoorden inmiddels geconcretiseerd? Zo nee, waarom niet en wanneer gaat dit wel gebeuren? Wat is uw mening over de voorstellen van Koninklijk Nederlands Vervoer op dit punt?

Vraag 10

Is het onderzoek naar haalbaarheid en doelmatigheid van generieke plafonds voor de signaalsterkte van publieke mobiele netwerkbeheerders in publiekrechtelijke regelgeving inmiddels afgerond? Is in dit onderzoek ook gekeken naar de mogelijkheid om de maximale zendniveaus van de publieke mobiele netwerkbeheerders in de buurt van het spoor (dus niet landelijk maar locatiespecifiek) te beperken tot een dusdanig niveau dat interferentie wordt voorkomen?

Vraag 11

Heeft het in uw eerdere antwoorden genoemde Europese overleg over het interferentieprobleem tussen de spoorsector, de Europese Commissie en het Europese Spoorwegagentschap al tot resultaten geleid? Zo nee, wanneer verwacht u dat er conclusies worden getrokken?

Vraag 12

Wanneer zullen de 4G-frequenties in gebruik genomen worden? Kunt u toezeggen dat er ruim voor die tijd een oplossing is voor de interferentieproblemen?

Vraag 1

Wat is uw reactie op het artikel «CBP tikt publieke omroep op vingers om cookiemuur» waarin Het College Bescherming Persoonsgegevens (CBP) de publieke omroep op de vingers tikt vanwege de cookiemuur die op alle publieke sites te vinden is?1

OPTA is belast met het toezicht op naleving van de cookiebepaling. Het is dus aan OPTA om een oordeel te vellen over de rechtmatigheid van de handelwijze van de NPO in het licht van de cookiebepaling. OPTA ziet daarbij toe op de eisen die volgen uit artikel 11.7a van de Telecommunicatiewet dat een ieder die cookies wenst te plaatsen hierover de gebruiker moet informeren en daartoe toestemming moet hebben verkregen.
In het geval er tevens sprake is van de verwerking van persoonsgegevens is daarnaast het CBP als toezichthouder bevoegd, omdat dan ook de Wet bescherming persoonsgegevens van toepassing is. Hierbij speelt het in artikel 11.7a, eerste lid, van de Telecommunicatiewet opgenomen rechtsvermoeden een rol. Het CBP mag aannemen dat er bij de door de Ster geplaatste tracking cookies sprake is van de verwerking van persoonsgegevens, tenzij de NPO, respectievelijk de Ster aantoont dat er in dit geval geen sprake is van de verwerking van persoonsgegevens. Het rechtsvermoeden in de cookiebepaling brengt niet met zich mee dat er bij tracking cookies per definitie sprake behoeft te zijn van verwerking van persoonsgegevens. Het rechtsvermoeden blijft weerlegbaar, het legt alleen de bewijslast bij de cookieplaatser. Alleen als de NPO niet kan aantonen dat de verzamelde gegevens niet herleidbaar zijn tot een identificeerbaar natuurlijk persoon is sprake van verwerking van persoonsgegevens die aan de eisen van de Wet bescherming persoonsgegevens moet voldoen.

Vraag 2

Hoe kijkt u naar de reactie van de NPO2 die schetst dat in eerste instantie het probleem in de cookiewet zit en dat daarnaast de verschillende instanties (CBP en Opta) diverse standpunten innemen op dit onderwerp?

Het is duidelijk dat er in de praktijk enige knelpunten zijn met de cookiebepaling. Daarom heb ik de Kamer ook toegezegd te bekijken welke mogelijkheden er zijn om tot een structurele oplossing van deze knelpunten te komen. Ik heb daarbij aangegeven binnen een maand meer duidelijkheid te verschaffen. De discussie over de manier waarop de NPO de wettelijke verplichting om toestemming te vragen heeft geïmplementeerd, ziet echter vooral op de keuze van de NPO om bezoekers geen toegang te verlenen tot de site indien zij geen toestemming geven voor het gebruik van (tracking) cookies. De cookiebepaling dwingt geenszins tot een dergelijke keuze.
OPTA en CBP hebben laten weten intensief onderling overleg te hebben gevoerd ten aanzien van dit onderwerp. Ook hebben zij aangegeven ten aanzien van dit onderwerp intensief te hebben samengewerkt en dat te zullen blijven doen. Van diverse (uiteenlopende) standpunten ten aanzien van dit onderwerp is, aldus OPTA en CBP, geen sprake.

Vraag 3

Welke stappen gaat u ondernemen nu het CBP stelt dat er opties zijn om de sites van de NPO wel beschikbaar te maken voor bezoekers zonder cookies in te stellen en gezien de monopoliepositie van de NPO dit door het CBP ook wenselijk wordt geacht?

Het is belangrijk dat de websites van de NPO voor een breed publiek toegankelijk zijn. Daarnaast is het belangrijk dat de NPO voldoende inkomsten kan genereren om een interessant (digitaal) aanbod te kunnen doen zeker in tijden van bezuinigingen. Er zal daarom de komende maand met de NPO worden overlegd of een andere aanpak mogelijk is. Dit doet niet af aan het feit dat het aan de beide toezichthouders is, OPTA en CBP, om te beoordelen in hoeverre de Telecommunicatiewet, respectievelijk de Wet bescherming persoonsgegevens door de NPO wordt overtreden.

Vraag 4

Deelt u de mening dat voor de basisfunctionaliteiten van de NPO-sites alsook het vastleggen van generieke gebruiks- en gebruikersgegevens geen tracking cookies nodig zijn en dat voor mensen die hun privacy niet aangetast willen zien de site gewoon bruikbaar moet zijn?

Ja, voor de basisfunctionaliteiten en het vastleggen van gegevens over het gebruik zijn geen tracking cookies nodig. Verder is het ook nadrukkelijk niet de bedoeling van de NPO om mensen in hun privacy aan te tasten. De NPO stelt dan ook dat de door de NPO en Ster gebruikte tracking cookies niet herleidbaar zijn tot individueel identificeerbare personen, en dat het gestelde rechtsvermoeden aldus kan worden weerlegd. De NPO heeft getracht bij de toepassing en het gebruik van cookies een goede balans te vinden tussen toegankelijkheid van publieke audiovisueel materiaal, privacy van gebruikers, de mediawettelijke verplichtingen en de commerciële exploitatie van de Ster op het internet. Gelet op de daaropvolgende maatschappelijke discussie en de verschillende methoden die in het mediaveld worden gebruikt, heeft de NPO na overleg aangegeven de mogelijkheden voor een gedifferentieerde toestemming uitgebreid te zullen onderzoeken.

Vraag 5

Bent u bereid deze vragen voor het algemeen overleg Digitale Agenda op 13 februari 2013 te beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «US free to grab EU data on American clouds»?1

Ja.

Vraag 2

Bent u bekend met de genoemde Foreign Intelligence Amendments Act (FISAA) op basis waarvan de Amerikaanse overheid data kan opvragen van bijvoorbeeld Nederlanders die zij in de cloud hebben opgeslagen, zoals bijvoorbeeld Dropbox of Google?

Ik ben bekend met de desbetreffende wet. Deze wet, die door President Obama op 30 december 2012 is ondertekend, verleent geen nieuwe bevoegdheden, maar verlengt de termijn waarbinnen bestaande bevoegdheden op grond van de Foreign Intelligence and Surveillance Amendment Act van 2008 kunnen worden uitgeoefend. Indien gegevens van om het even welke persoon zich bevinden in de Verenigde Staten kunnen de Amerikaanse autoriteiten met toepassing van hun bevoegdheden die gegevens vorderen.

Vraag 3

Bent u op de hoogte van het feit dat de Amerikaanse autoriteiten zich met beroep op de FISAA toegang verschaffen tot persoonsgegevens opgeslagen in de Europese Unie (EU) door bedrijven met hoofdzetel in de Verenigde Staten?

In algemene zin is het zo dat het Amerikaanse recht diverse mogelijkheden biedt tot het vorderen van gegevens die zich buiten het grondgebied van de Verenigde Staten bevinden en waarbij sprake is van een zodanig aanknopingspunt met het Amerikaanse rechtsstelsel dat een vordering tot het verstrekken van die gegevens naar Amerikaans recht rechtmatig is. Er zijn mij evenwel geen concrete gevallen bekend van vorderingen van de Amerikaanse autoriteiten gebaseerd op de in antwoord 2 genoemde wetgeving waarin de desbetreffende gegevens zich in de Europese Unie bevinden. De Amerikaanse autoriteiten hebben mij desgevraagd laten weten dat het opvragen van gegevens bij dergelijke banken en providers altijd middels een rechtshulpverzoek geschiedt.

Vraag 4

Bent u van mening dat op deze wijze feitelijk de EU-wetgeving betreffende bescherming persoonsgegevens wordt uitgeschakeld door extraterritoriale werking van de wetgeving van een derde land?

Het gehoor geven aan een vordering als bedoeld in antwoord 3 door in de Europese Unie gevestigde belanghebbenden moet plaatsvinden in overeenstemming met het geldende recht, de EU-privacyrichtlijn en het desbetreffende nationale recht. Dat recht biedt daarvoor enige grondslagen. Het is afhankelijk van de omstandigheden van het concrete geval welke grondslag daarvoor kan worden ingeroepen.

Vraag 5

Wat zijn volgens u de exacte consequenties voor clouddiensten? Bent u bereid hierover met aanbieders van clouddiensten in gesprek te gaan?

Aanbieders van clouddiensten die gevestigd zijn in de Verenigde Staten hebben in feite weinig andere keuze dan gehoor geven aan vorderingen tot het verstrekken van gegevens, wanneer deze vorderingen rechtmatig worden gedaan. Ik verwacht niet dat het recht in de Verenigde Staten in dit opzicht zal veranderen en verwacht daarom geen concrete resultaten van het organiseren van gesprekken daarover. Ik merk nog op dat het College bescherming persoonsgegevens in zijn zienswijze over cloudcomputing van 10 september 2012 het uitgangspunt hanteert dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbieder, zelf eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens.

Vraag 6

Welke stappen gaat u verder ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Er wordt in Brussel onderhandeld over een Algemene verordening gegevensbescherming. Die verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgiftes op grond van eenzijdige verplichtingen op grond van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma's waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.

Vraag 1

Kent u het bericht «OmgevingsAlert wint Nationale App-prijs»?1

Ja. Om bezwaren en bedenkingen te kunnen uiten tegen een (voorgenomen) besluit, is bekendheid van het besluit vereist. Een besluit treedt niet in werking voordat het is bekendgemaakt. De Algemene wet bestuursrecht regelt de bekendmaking (artikel 3:42 Awb.). De bekendmaking door decentrale overheden van besluiten die niet tot een of meer belanghebbenden zijn gericht, geschiedt door kennisgeving van het besluit of van de zakelijke inhoud ervan in een van overheidswege uitgegeven blad of een dag-, nieuws- of huis-aan-huisblad, dan wel op een andere geschikte wijze. Ook kan de bekendmaking elektronisch geschieden, mits in een van overheidswege uitgegeven blad. Aan de tot de decentrale overheden behorende bestuursorganen wordt de ruimte gelaten om over te gaan op elektronische publicatie op een moment dat zij daartoe geëigend achten.2
De opkomst van de elektronische media, in het bijzonder internet, biedt mogelijkheden om burgers snel, goedkoop en volledig te informeren. Nu het merendeel van de huishoudens toegang heeft tot internet, groeit de vraag om digitaal toegankelijke informatie. De Wet elektronische bekendmaking biedt overheden de mogelijkheid tot elektronisch bekendmaken. Het gaat daarbij ook om bekendmakingen vergunningsbesluiten. Op termijn worden gemeenten en andere overheden verplicht om officiële bekendmakingen elektronisch beschikbaar te maken.

Vraag 2

Deelt u de mening dat de wettelijke mogelijkheden om bezwaar te maken tegen vergunningen beter benut kunnen worden als de bewoners op de hoogte zijn van de vergunningen die worden aangevraagd? Zo ja, op welke wijze kunnen bewoners zich van vergunningaanvragen op de hoogte stellen? Zo nee, waarom niet?

Zie antwoord vraag 1.

Vraag 3

Deelt u de indruk dat het aantal gemeenten dat via huis-aan-huisbladen vergunningaanvragen publiceert, afneemt?

Ja. Digitale bekendmaking heeft de toekomst.

Vraag 4

Deelt u de mening dat het via digitale weg verspreiden van vergunningaanvragen een bijdrage kan leveren aan het beter bekend worden van vergunningaanvragen bij bewoners? Zo ja, wat kunt en gaat u doen om gemeenten aan te zetten deze digitale wegen (meer) te benutten? Zo nee, waarom niet?

Voor het formeel-juridisch kader voor bekendmaking en digitale bekendmaking wil ik verwijzen naar de antwoorden onder 1 en 2. De OmgevingsAlert biedt een faciliteit om in kennis te worden gesteld van vergunningsprocedures in de nabije omgeving. Het spreekt dat dit een bijdrage levert aan het bij omwoners beter bekend worden van vergunningaanvragen. De app laat zien welke vergunningaanvragen er in een bepaald gebied lopen, bijvoorbeeld op het gebied van slopen, bouwen, kappen of milieukwesties. Voor het verkrijgen van de informatie behoeft men dan niet het huis-aan-huis-blad of de gemeentelijke website te raadplegen. Gemeenten kunnen aansluiten en hun vergunninginformatie ter beschikking stellen. Van veel gemeenten is de informatie beschikbaar. Met een vooralsnog beperkt aantal gemeenten heeft OmgevingsAlert een vaste samenwerking.
Gemeenten kunnen zelf besluiten om bij het initiatief aan te sluiten. Ik beschouw de app als een goede ontwikkeling die ik dan ook toejuich. Volgens de jury is OmgevingsAlert de beste Nederlandse bestaande toepassing (app) waarbij gebruik gemaakt wordt van een databron van de overheid.3

Vraag 5

Deelt u de mening dat de genoemde app bij uitstek geschikt kan zijn om bewoners die daar prijs op stellen gericht te informeren over vergunningaanvragen? Zo ja, gaat u dan ook gemeenten aansporen om zich aan te sluiten bij dit systeem en hoe gaat u dat doen? Zo nee, waarom niet?

Zie antwoord vraag 4.

Vraag 1

Heeft u kennisgenomen van het bericht «ICT-aardbeving door vonnis Oracle vs. Staat»?1 Hoe beoordeelt u de gevolgen van het vonnis van de rechtbank Den Haag voor het aanbestedingsbeleid van de Rijksoverheid, in het bijzonder ten aanzien van ICT?

Ja. De uitspraak in deze zaak geeft geen aanleiding het huidige aanbestedingsbeleid van de Rijksoverheid, al dan niet ten aanzien van ICT, te herzien.

Vraag 2

Is het waar dat bij deze aanbesteding uitsluitend gevraagd werd naar SAP-licenties om één ondersteunend ICT-systeem voor meerdere ministeries te maken? Welk systeem werd hiervoor als basis gebruikt en hoe lang is dat in gebruik? Op welke basis is de keuze gemaakt dat gebruik van het SAP-systeem de technisch en bedrijfsmatig beste keuze is?

De aanbesteding bestond uit twee percelen: één voor de ICT-werkzaamheden die nodig waren voor aanpassing van een bestaand systeem, en één voor SAP-licenties. Beide percelen zijn conform de daarvoor geldende regels aanbesteed.
Basis voor de aanbesteding betrof het ERP systeem (SAP Business Suite) zoals dat in 2003 door het ministerie van SZW door middel van een Europese aanbestedingsprocedure is verworven. Dit systeem is ingericht op basis van het kernmodel financiële informatievoorziening en kan daardoor als basis dienen voor de deelnemende departementen. Gebruik van het systeem door meerdere ministeries past in het beleid van samenwerking in de financiële kolom. Daarnaast was gebruik door meerdere ministeries in dit geval wenselijk op bedrijfseconomische gronden. Voor het gebruik door de samenwerkingspartners moesten vooral de departementspecifieke instellingen nog worden ingericht. Dit alles natuurlijk met inachtneming van de bestaande wet- en regelgeving.
De uitspraak past in het beleid van hergebruik van ICT systemen zoals vastgelegd in de I-strategie.

Vraag 3

In hoeverre is het gebruik van de SAP-licenties voor andere ministeries te beoordelen als het hergebruik van licenties? Waren de licenties oorspronkelijk afgegeven voor gebruik door uitsluitend het ministerie van SZW, of voor de gehele Rijksoverheid? Wat betekent deze manier van omgaan met softwarelicenties voor andere licenties die door een onderdeel van de Rijksoverheid zijn afgenomen?

Er is geen sprake van hergebruik van licenties, maar van hergebruik van een systeem. De noodzakelijke licenties voor het gebruik van dit systeem door SZW zijn destijds door de Staat verworven. Vanwege de kwantitatieve uitbreiding voor gebruik van het systeem door de samenwerkingspartners waren extra licenties nodig. De deelnemende departementen hebben deze benodigde licenties verworven via bovengenoemde aanbesteding.

Vraag 4

Hoe kijkt u aan tegen de juridische eenheid van de Rijksoverheid bij aanbestedingen? Herkent u zich in de uitspraak dat de Staat de aanbestedingsregels volledig naar zijn hand zet door, afhankelijk van de belangen, te opereren als één aanbestedende dienst of als aparte ministeries? Zo nee, welke consistente keus wordt hierin gemaakt?

De rechtbank heeft in haar uitspraak aansluiting gezocht bij de indeling van aanbestedende diensten in Richtlijn 2004/18/EG en het daarop gebaseerde Besluit aanbestedingsregels overheidsopdrachten (Bao). Dat is in lijn met het feit dat de Staat, die anders dan de departementen rechtspersoonlijkheid bezit, als enige lichaam naar buiten toe civielrechtelijk bindend kan optreden en bijvoorbeeld, zoals in het onderhavige geval, partij kan zijn bij een licentiecontract.
Rechtspersoonlijkheid kan inderdaad samenvallen met de kwalificatie aanbestedende dienst. Dat is echter niet altijd het geval. Als sprake is van een afgescheiden operationele eenheid binnen een rechtspersoon, kan dit onderdeel ook zelfstandig als aanbestedende dienst worden aangemerkt. De Europese Commissie heeft hiervoor criteria opgesteld, die zijn neergelegd in de zogenoemde «policy guideline» uit 1993. Deze criteria worden binnen de Staat gehanteerd bij de vraag of de Staat als geheel of op een onderdeel van de Staat – en zo ja, welk onderdeel – als aanbestedende dienst moet worden aangemerkt. De vraag op welk niveau een inkoopbevoegdheid is neergelegd, moet voor iedere aanbestedingsplichtige opdracht per productgroep worden bepaald.
Er is derhalve geen sprake van een ad hoc keuze voor de Staat, een departement of een onderdeel van het departement als aanbestedende dienst.

Vraag 5

Hoe wordt, in het kader van de integratie van de bedrijfsvoering van het Rijk, omgegaan met de aanbesteding van ICT-diensten? Zal hierbij vaker het systeem van één samenwerkingspartner als uitgangspunt genomen worden of zal er in de aanbesteding een open procedure gevoerd worden, waarin de technische oplossing nog niet vastligt? Hoe wordt deze keus gemaakt?

De overheid streeft naar harmonisatie en vereenvoudiging van processen met als uitkomst een compactere en goedkopere overheid. Daarin past hergebruik van voor rekening van de (rijks-)overheid ingerichte administratieve systemen en/of software als uitgangspunt. Hergebruik geschiedt evenwel altijd op basis van een zorgvuldige afweging en met inachtneming van het aanbestedingsrecht.
De keuze voor de aanbestedingsprocedure die wordt gevolgd is afhankelijk van veel factoren. Waar het gaat om de primaire keuze voor een softwaresysteem spelen kwalitatieve aspecten als flexibiliteit en innovativiteit een belangrijke rol. Het is van groot belang efficiënt en effectief in te kunnen spelen op zich wijzigende wensen en behoeften. Van een algemeen beleid tot uitvraag van specifieke technische oplossingen is geen sprake.

Vraag 6

Bent u van plan om in de toekomst meer aanbestedingen op ICT-gebied uit te schrijven, waarbij het type software of hardware al vastligt?

In het algemeen is het aanbestedingsbeleid er op gericht zo veel als mogelijk functioneel aan te besteden. Uitzonderingen kunnen voorkomen, mits deze passen binnen het aanbestedingsrecht.

Vraag 7

Bent u ook van mening dat de overheid moet voorkomen dat ze afhankelijk wordt van één aanbieder van software, zogenaamde vendor lock-in? Welke rol ziet u bij het voorkomen van dergelijke afhankelijkheid van het gebruik van open standaarden en open source-software? Is bij deze aanbesteding ook overwogen om gebruik te maken van open source ERP-software? Zo nee, waarom niet?

Ja, de overheid moet er voor waken afhankelijk te worden van een leverancier.
Toepassing van open standaarden is onomstreden. Deze worden toegepast tenzij het echt niet anders kan. Daarnaast wordt de mogelijkheid voor toepassing van open source software wordt bij aanbestedingen van software standaard in de beschouwingen betrokken.
Overigens kan een lock-in bij een leverancier ontstaan zowel bij het gebruik van open als bij het gebruik van closed software.
Toepassing van open source software was bij de onderhavige aanbesteding niet opportuun, gegeven de afweging om van een bestaand systeem gebruik te maken.

Vraag 8

Deelt u de mening dat de werkwijze bij deze aanbesteding de positie van grote softwareleveranciers, waar de overheid al klant van is, bevordert en kleine vernieuwende aanbieders geen kans meer maken? Zo ja, waarom vindt u dit wenselijk? Zo nee, op welke manier maken ook vernieuwende leveranciers, waarmee de overheid nog geen klantrelatie heeft, kans op ICT-opdrachten?

Nee. Het betrof hier een opdracht voor een verbouwing van een systeem, die niet op voorhand voorbehouden was aan de grote ICT-leveranciers.
Uitgangspunt bij aanbestedingen is dat in principe elke leverancier kans heeft op verkrijging van overheidsopdrachten.

Vraag 9

Op welke wijze gaat u er voor zorgen dat de Rijksoverheid bij ICT-aanbestedingen zorgt voor kennis over alternatieven en nieuwe oplossingen naast de eerder gebruikte en bekende systemen, zodat de kansen worden benut die de innovatie in de ICT-branche bieden?

De rijksoverheid richt zich erop om – ook in ICT aanbestedingen – innovatieve ondernemers een kans te geven.
Om innovaties mogelijk te maken, is het van belang om vanuit de overheid een goede verkenning van wensen en mogelijkheden te maken. Aan ieder informatiseringsproject gaat een zorgvuldige informatie- en technische analyse vooraf, die ook gedeeld kan worden met het bedrijfsleven. In grote ICT trajecten wordt zo al ruim voor de daadwerkelijke aanbesteding samengewerkt met de markt om een uitvraag te realiseren die ruimte biedt aan haalbare innovaties. Dat kan bijvoorbeeld via een haalbaarheids- en wensentoets in combinatie met een marktverkenning en een marktconsultatie of een concurrentiegerichte dialoog.

Vraag 1

Wat is uw reactie op het bericht «Storing UWV duurt voort»?1

UWV is getroffen door een verstoring in haar digitale dienstverlening doordat het onderdeel «mijnUWV» van de website uwv.nl van 7 januari 2013 tot en met 17 januari 2013 niet bereikbaar is geweest.
Bij het optreden van een dergelijke storing spant UWV zich maximaal in om de klant hierdoor zo min mogelijk te raken. Desondanks blijft het vervelend dat de storing lang heeft voortgeduurd.

Vraag 2

Kunt u aangeven hoelang de storing nog zal duren?

De ernstige verstoring van de afgelopen weken is thans onder controle. UWV zal gefaseerd en gecontroleerd teruggaan naar de geheel digitale werkwijze van voorheen. Er kunnen nog kortstondige verstoringen van de dienstverlening optreden. Deze verstoringen zijn qua oorzaak niet gerelateerd aan de grote verstoring in januari.

Vraag 3

Hoeveel mensen hebben sinds de storing gebruik gemaakt van het UWV-callcenter om zaken te regelen?

In de periode van 7 januari tot en met 23 januari 2013 is het UWV callcenter circa 43.000 geraadpleegd over zaken die normaal ook via mijnUWV kunnen verlopen. Dit betreft:
(normaal: minder dan 50 per dag)
(normaal: circa 300 per dag)
(normaal: circa 150 per dag)
(normaal: circa 500 per dag)
(normaal: minder dag 50 per dag)

Vraag 4

Met welk percentage is het aantal gesprekken van het callcenter toegenomen in vergelijking met dezelfde periode, zonder storing, de maand ervoor?

In de laatste 2 volle weken (week 50 en 51) van het jaar hebben de UWV-callcenters totaal 287.308 aangeboden gesprekken gehad. In week 2 en 3, de periode waarin de storing plaatsvond, heeft UWV totaal 356.520 aangeboden gesprekken gehad. De toename van 287.308 gesprekken naar 356.520 gesprekken bedraagt 24%.

Vraag 5

Hoe lang zijn de wachttijden voor het UWV-callcenter?

De storing trof voornamelijk klanten die WW zaken willen regelen. De wachttijden zijn dan ook bekeken voor het onderwerp WW in het UWV Klantcontactcentrum. In 2012 bedroeg de gemiddelde wachttijd 30 seconden. Het invoeren van BSN en het maken van een eventuele keuze in het menu (15% van de gevallen) is hier niet bij inbegrepen. In week 2 en 3 was de gemiddelde wachttijd 1 minuut en 46 seconden. Op een aantal momenten bedroeg de wachttijd meer dan 10 minuten. Dit was vooral het geval op 7, 11, 13 en 14 januari. Vanaf 15 januari is de gemiddelde wachttijd over een hele dag niet hoger geweest dan 67 seconden.
Vanaf week 4 zijn de wachttijden weer op het niveau van 2012.

Vraag 6

Hoe zorgt u ervoor dat het UWV zo snel mogelijk zijn klanten kan bedienen?

Voor alle dienstverlening die UWV-klanten via het digitale kanaal kunnen uitvoeren heeft UWV alternatieve dienstverlening ingezet. Het gaat daarbij om schriftelijke of telefonische dienstverlening. UWV heeft op uwv.nl en mijnoverheid.nl een bericht geplaatst over deze alternatieve dienstverlening. Ook zijn klanten middels (social) media geïnformeerd.
Het Klantcontactcentrum kende tijdens de storing langere openingstijden. De capaciteit bij het Klantcontactcentrum en de divisie die belast is met de verwerking van de post is vergroot om hier geen achterstanden te laten ontstaan.

Vraag 7

Hoe gaat het UWV in de tussentijd om met de problematiek?

Zie antwoord vraag 6.

Vraag 8

Bent u bereid om gedupeerden te compenseren? Zo ja, hoe en zo nee, waarom niet?

De alternatieve dienstverlening is zodanig ingericht dat dupering van klanten wordt voorkomen door voor alle dienstverlening die digitaal verloopt een alternatief te bieden. Indien een klant door het onbeschikbaar zijn van de website van UWV niet op tijd een wijziging doorgeeft die gevolgen heeft voor de uitkering, zal UWV geen sanctie opleggen. Een compensatieregeling is derhalve niet aan de orde.

Vraag 9

Daar er inmiddels meer klachten zijn over de dienstverlening van het UWV, waaronder ook de uitvoering van de nieuwe Wajong, wilt u het UWV hier op korte termijn op aanspreken?

Het aantal klachten over dienstverlening van UWV heeft mijn constante aandacht. Via onder andere de tertaal- en jaarverslagen word ik met regelmaat door UWV geïnformeerd over de ontwikkeling van het aantal klachten. Vooralsnog constateer ik dat het aantal klachten jaarlijks afneemt, getuige het onderstaande overzicht.
Daarnaast treft u ook een overzicht van de klachten die UWV heeft geregistreerd naar aanleiding van de storing. In 21 gevallen heeft een klachtsignaal niet tot een klacht geleid. Het signaal is dan zodanig afgehandeld door de medewerker van UWV dat dit niet tot een klacht komt.
Jaar
# 1ste 4 mnd
# 2de 4 mnd
# 3de 4 mnd
# Jaar
2010
3.831
3.197
3.521
10.549
2011
3.399
2.769
2.918
9.086
2012
2.934
2.707
–
–
Aard klacht
# klacht of klachtsignaal
website niet bereikbaar
98
inkomstenformulier WW niet bereikbaar
14
betaalspecificatie WW niet bereikbaar
10
wijzigingsformulier niet bereikbaar
5
digitaal formulier op internet niet bereikbaar
1
Jaaropgave niet bereikbaar
1
verzenden van het inkomstenformulier lukt niet
1
Klantonvriendelijk
1
Totaal
131

Vraag 10

Hoe zorgt u ervoor dat de problemen in de dienstverlening van het UWV structureel worden opgelost?

Zie het antwoord op vraag 5 van lid Ulenbelt (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr.1302).

Vraag 1

Wat is uw reactie op het bericht «Storing UWV duurt voort»?1

Zie het antwoord op vraag 1 van leden Schut-Welkzijn en Potters (2013Z00932).

Vraag 2

Hoeveel mensen hebben sinds de storing gebruik gemaakt van het UWV-callcenter om zaken te regelen?

Zie het antwoord op vraag 3 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 3

Met welk percentage is het aantal gesprekken met het UWV-callcenter toegenomen in vergelijking met dezelfde periode, zonder storing, vorige maand?

Zie het antwoord op vraag 4 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 4

Hoe lang zijn de wachttijden voor het UWV-callcenter?

Zie het antwoord op vraag 5 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 5

Bent u bereid om het telefoonverkeer naar het UWV-callcenter gratis te maken voor alle personen, die door de storing geen gebruik kunnen maken van de UWV-website? Zo nee, waarom niet?

Hoewel ik tevreden ben over de wijze waarop UWV de recente calamiteiten heeft opgevangen, heb ik UWV gevraagd te bezien op welke wijze kan worden voorkomen dat klanten zo min mogelijk hinder ondervinden van mogelijke toekomstige verstoringen.
Uit onderzoek van UWV blijkt dat het grootste gedeelte van de klanten dat in het kader van de storing op de website telefonisch contact heeft opgenomen, met maximaal 7 cent aan kosten is geconfronteerd. Dit uitgaande van lokaal tarief van 3,5 cent (verschilt per provider en vaste of mobiele telefonie) en de gemiddelde wachttijd van 1 minuut 46. Een minderheid van de klanten is geconfronteerd met een wachttijd van 10 minuten en daarmee 35 cent aan kosten.
Ik ben mij ervan bewust dat betrokkenen als gevolg van de recente verstoringen, alhoewel in veruit de meeste gevallen geringe, kosten hebben gemaakt. Niettemin ben ik van mening dat compensatie van deze kosten door UWV aan betrokkenen, los van de vraag of dit feitelijk mogelijk is, niet reëel is. De geringe kosten die de klant worden toegerekend staan niet in verhouding tot de uitvoeringskosten die gemaakt moeten worden om de klant in deze kosten tegemoet te komen.

Vraag 6

Wilt u de gedupeerden op een andere wijze compenseren? Zo ja, hoe en zo nee, waarom niet?

Zie het antwoord op vraag 8 van leden Schut-Welkzijn en Potters (Aanhangsel Handelingen, vergaderjaar 2012–2013, nr. 1300).

Vraag 7

Bent u bereid om ook bij toekomstige storingen het telefoonverkeer naar het UWV-callcenter gratis te maken voor alle personen, die door de storing geen gebruik kunnen maken van de UWV-website? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 1

Wat is uw reactie op de uitzending «Zo lek als een mandje» van het programma Reporter waaruit blijkt dat door een gebrek aan beveiliging tienduizenden harddisks, scanners, netwerkschijven en printers toegankelijk zijn via het internet?1

Ik heb kennis genomen van de uitzending van het programma Reporter. In deze uitzending wordt ingegaan op het feit dat veel burgers en bedrijven naast computers ook andere apparaten aan hun eigen netwerk gekoppeld hebben. Het blijkt dat dergelijke apparatuur in een aantal gevallen vanaf het internet bereikbaar is. Deze apparatuur moet, net als computers, afdoende beveiligd worden tegen misbruik door kwaadwillenden. Het Nationaal Cyber Security Centrum (NCSC) heeft op de eigen website een factsheet2 geplaatst waar de problematiek in wordt toegelicht. Ook wordt uitgelegd wat men kan doen om vast te stellen of eigen apparaten kwetsbaar zijn voor misbruik vanaf het internet en worden concrete stappen beschreven waarmee eventuele kwetsbaarheden weggenomen kunnen worden. Aangeraden wordt om ervoor te zorgen dat apparatuur niet vanaf het internet bereikbaar is. Indien de bereikbaarheid van apparaten vanaf internet noodzakelijk is, dan dienen er afdoende maatregelen om deze toegang te beveiligen getroffen te worden. Dat is en blijft primair een verantwoordelijkheid voor bedrijven en consumenten zelf.

Vraag 2

Deelt u de mening van de diverse experts die in voornoemde uitzending verwoorden dat de producenten van deze apparaten de beveiliging op een juiste manier zouden moeten meeleveren of in ieder geval consumenten zouden moeten informeren over de noodzakelijkheid van beveiliging, in plaats van hopen dat alle consumenten voldoende kennis hebben van privacybeveiliging en hier ook nog de noodzaak van zien? Zo ja, ziet u mogelijkheden voor uzelf om hieraan uitvoering te geven en welke mogelijkheden zijn dat dan?

Zoals hierboven is vermeld, hebben bedrijven en consumenten als gebruikers een eigen verantwoordelijkheid om hun apparatuur en bijbehorende instellingen juist in te stellen door zichzelf goed in te laten lichten en de juiste vragen te stellen. Ik ben met u van mening dat leveranciers de verantwoordelijkheid hebben om hun klanten te wijzen op de noodzaak van adequate beveiligingsmaatregelen.
Branche organisatie ICT Nederland heeft in samenwerking met het privaat-publieke programma DigiVeilig/DigiBewust in november 2012 de website «bescherm je bedrijf» gelanceerd, waar bedrijven beveiligingsvragen kunnen doorlopen en praktische handreikingen krijgen. Dit geeft bedrijven een goed inzicht in hun beveiligingsbehoeften, en stelt hen in staat hun rol als opdrachtgever goed in te vullen. Via het programma DigiVeilig zal ook in 2013 voorlichting over veilige apparatuur worden gegeven en worden nieuwe tools en handreikingen voor het MKB en consumenten ontwikkeld.
Dit vrijwaart de leveranciers van de apparatuur echter niet om ook zelf verantwoordelijkheid op te pakken voor het ontwikkelen van intrinsiek veilige hardware en software ten behoeve van de eindgebruikers. Het Ministerie van Economische Zaken voert gesprekken in de sector om te zien of het ontwikkelen van een normenkader en certificering voor veilige software een haalbare kaart is, zodat leveranciers zich kunnen onderscheiden op dit vlak, en veilige software de aandacht krijgt die het verdient. Naar verwachting zal aan het belang van voorlichting en het gebruik van standaarden ook in de aankomende mededeling van de Europese Commissie over Cyber Security aandacht worden besteed.