Vraag 1

Bent u op de hoogte van de berichten over de voorgenomen overname van KPN door een Mexicaans bedrijf?1, 2

Ja, daar ben ik van op de hoogte.

Vraag 2

Wat kunnen hiervan de gevolgen zijn, op korte, middellange en lange termijn, voor de publieke belangen, waaronder de kwaliteit van de dienstverlening, de belangen van de werknemers en de samenstelling en hoogte van de investeringen?

Er zijn verschillende publieke belangen die spelen, zoals aangegeven in mijn brief van 12 september jongstleden (TK 2012–2013, 24 095, nr. 356). De door u genoemde economische belangen, zoals een kwalitatief goede dienstverlening en voldoende investeringen, worden het best geborgd in een goed werkende telecommarkt met goed presterende bedrijven. Dit komt tot stand via effectieve mededinging die geborgd wordt door wetgeving en toezicht.
De concurrentie zorgt voor prikkels bij bedrijven om te investeren in (blijvend) kwalitatief goede diensten tegen concurrerende prijzen. De belangen van de werknemers zijn geborgd conform Nederlandse wetgeving.

Vraag 3

Bent u bereid een Markt Effectentoets voor deze overname uit te voeren, waarin op de 24 door de SER geformuleerde punten alle effecten van de overname in kaart worden gebracht?

Nee. De SER adviseert een Markt Effecttoets uit te voeren in gevallen waar de introductie van marktwerking wordt overwogen. Dat is in onderhavige kwestie niet aan de orde; de privatisering van KPN en de marktwerking in de telecommunicatiesector zijn reeds lang geleden in gang gezet en gerealiseerd. Daarover zijn overigens gedegen discussies met de Tweede Kamer gevoerd, waarbij vele punten uit de door SER voorgestelde effectanalyse aan de orde zijn geweest.

Vraag 4

Klopt het dat een aantal publieke belangen in de Telecommunicatiewet is vastgelegd, zoals de universele dienstverlening, het recht op een aansluiting, de tarieven en de toegang tot het vaste net voor concurrenten, en dat met voldoende toezicht van de Autoriteit Consument en Markt (ACM) deze publieke belangen, ondanks het vele juridische getouwtrek vanuit KPN, tot op zekere hoogte gewaarborgd kunnen worden?

Ja, dat klopt.

Vraag 5

Klopt het dat het publieke belang niet gewaarborgd is voor wat betreft de investeringsbeslissing (o.a. (glasvezel)netwerk, buitenlandse overnames), omdat dit publieke belang niet goed te regelen is via wetgeving, o.a. omdat dit in strijd zou zijn met de vrijheid van kapitaalverkeer en art. 1 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM)?

De minister van Economische Zaken heeft geen inhoudelijke bemoeienis met het investeringsbeleid van een volledig privaat bedrijf als KPN dat op een concurrerende markt opereert. Investeringsbeslissingen zijn aan het bestuur en de aandeelhouders van KPN. Directe bemoeienis met het investeringsbeleid van een onderneming zonder dat de Staat substantieel deelneemt in de betreffende onderneming staat inderdaad op gespannen voet met het vrij verkeer van kapitaal en het eigendomsrecht. Zoals bij vraag 2 aangegeven zorgt de concurrentie voor afdoende prikkels bij bedrijven om te investeren in (blijvend) kwalitatief goede diensten tegen concurrerende prijzen. KPN heeft er zelf alle belang bij een krachtige speler op de Nederlandse markt te blijven.

Vraag 6

Klopt het dat KPN bijvoorbeeld zou kunnen stoppen met investeren in glasvezelkabel, middelen zou kunnen overhevelen van Nederland naar Duitsland (E-Plus) of België, of met geld van KPN andere buitenlandse telecomaanbieders zou kunnen opkopen, etc.?

Zie antwoord vraag 5.

Vraag 7

Klopt het dat KPN onderdeel wordt van een wereldwijde investeringsafweging, zoals NedCar in het recente verleden als onderdeel van Mitsubishi? Klopt het dat dit goed kan uitpakken, maar ook helemaal verkeerd kan uitpakken?

Zie antwoord vraag 5.

Vraag 8

Wanneer is het Biedingsdocument van América Móvil te verwachten? Zal daarin duidelijkheid geboden worden over de investeringsplannen en de andere publieke belangen, op korte, middellange en lange termijn? Zo nee, hoe kunt u ervoor zorgen dat deze duidelijkheid er wél komt voor de eerstvolgende aandeelhoudersvergadering?

Het Biedingdocument is 18 oktober 2013 gepubliceerd door de Autoriteit Financiële Markten. In het Biedingdocument is ook ingegaan op investeringsplannen en enkele publieke belangen.

Vraag 9

Klopt het dat er weliswaar op papier weinig verandert, maar in de praktijk natuurlijk wel; namelijk dat een min of meer onafhankelijk bedrijf met een versnipperd aandeelhouderschap, waarin de Raad van Bestuur het voor het zeggen heeft, verandert in een bedrijf dat een (afhankelijke) dochteronderneming wordt van een Mexicaans bedrijf?

Ja, die mogelijkheid bestaat bij een overname.

Vraag 10

Klopt het dat u de overname kunt tegenhouden? Zo ja, op basis van welke bepaling c.q. welke wet?

Neen, er bestaan geen wettelijke bepalingen die het mogelijk maken een dergelijke overname tegen te houden door de Staat.
Het is aan de aandeelhouders van KPN om te beslissen over een verkoop van hun aandelen. Het ministerie van Economische Zaken (EZ) heeft zich gericht op het maken van bindende afspraken met América Móvil over een extra borging van publieke belangen, naast hetgeen al wettelijk en contractueel is geborgd. De gesprekken met América Móvil liepen vanaf het eerste contact hierover, 28 augustus jl., constructief en gaven vertrouwen dat bindende afspraken gemaakt konden worden.
Meer structureel gezien wil het kabinet bezien of in het kader van de effectieve borging van publieke belangen, in het bijzonder de nationale veiligheid, bestaande maatregelen effectiever kunnen worden toegepast en of aanvullende voorzieningen nodig zijn bij een overname. Ik heb dit in mijn brief van 12 september jl. ook aangegeven. Dit traject loopt nog. Ik zal u over de uitkomst daarvan begin 2014 informeren.

Vraag 11

Klopt het dat de Stichting Preferente Aandelen B KPN de overname in de praktijk kan tegenhouden door uitgifte van preferente aandelen? Wat is uw oordeel over het wel of niet gebruik maken van dit middel?

Door het uitoefenen van haar optie op het nemen van preferente aandelen heeft de bedoelde Stichting op 29 augustus jl. een belang genomen van nagenoeg 50% van het aantal aandelen van KPN. Afgaande op het persbericht van América Móvil van 16 oktober jl. heeft deze beschermingswal er mede toe geleid dat América Móvil af zag van het bod. Het is aan het onafhankelijk oordeel van de Stichting of zij gebruik denkt te moeten maken van dit middel om de belangen van KPN en de met haar verbonden stakeholders zeker te stellen. EZ heeft geen rol in deze besluitvorming van de Stichting.

Vraag 12

Wat bedoelt de Raad van Bestuur precies, wanneer hij zegt dat «alle strategische opties die beschikbaar zijn, worden onderzocht»? Hoort daar ook het ingrijpen van de bovengenoemde stichting bij? Welke «strategische opties» nog meer?

De Raad van Bestuur van KPN respectievelijk de Centrale Ondernemingsraad van KPN zijn de aangewezen instanties om deze vragen te kunnen beantwoorden.

Vraag 13

Wat bedoelt de Centrale Ondernemingsraad precies als hij stelt ««alle invloed» te zullen aanwenden» om KPN als «zelfstandige Nederlandse onderneming» te kunnen laten bestaan?

Zie antwoord vraag 12.

Vraag 14

Klopt het dat de voorgenomen verkoop van E-Plus de trigger was voor het nu voorliggende voorgenomen bod? Is hier een verschil van mening tussen de Raad van Bestuur en zijn grootaandeelhouder América Móvil, of is de verkoop van E-Plus niet goed afgestemd tussen deze twee? Hoe vaak vindt overleg plaats tussen de heren Blok (CEO KPN) en Carlos Slim (eigenaar América Móvil)?

Het is mij niet bekend of de voorgenomen verkoop van E-Plus de trigger was voor het bod op KPN of dat de verkoop niet goed is afgestemd tussen KPN en América Móvil. Ook is mij niet bekend hoe vaak er overleg plaats vindt tussen de heren Blok en Slim. América Móvil geeft in een persbericht van 26 augustus jl. aan dat zij instemt met de verkoop van E-Plus na een verbetering van de verkoopcondities. De aandeelhouders hebben begin oktober de verkoop van E-Plus tijdens een speciaal belegde aandeelhoudersvergadering goedgekeurd.

Vraag 1

Weet u dat leden van de Tweede Kamer gebruik maken van telecombedrijf Vodafone?

Ja.

Vraag 2

Is het waar dat de geheime diensten van Groot-Brittannië en van de Verenigde Staten via Vodafone op enigerlei wijze toegang hebben tot de telefoons van leden van de Tweede Kamer?1

Vanzelfsprekend mag Vodafone geen gegevens van gebruikers doorspelen aan derden, tenzij hieraan Nederlandse wet- en regelgeving ten grondslag ligt. Naar aanleiding van de berichtgeving zoals die in het artikel van de Volkskrant, heb ik Vodafone ter zake om informatie gevraagd. Vodafone heeft mij bevestigd dat gegevens alleen na formeel verzoek daartoe binnen de kaders van Nederlandse wet- en regelgeving aan Nederlandse opsporings- en veiligheidsdiensten worden versterkt.

Vraag 3

Kan de Tweede Kamer nog veilig gebruik maken van de diensten van Vodafone, zonder het gevaar te lopen dat informatie wordt doorgespeeld naar buitenlandse geheime diensten?

Zie antwoord vraag 2.

Vraag 4

Hoe gaat u verzekeren dat Vodafone informatie van telefoongesprekken van Nederlandse kamerleden niet doorspeelt aan buitenlandse geheime diensten?

Zie antwoord vraag 2.

Vraag 5

Wanneer gaat u eindelijk opheldering vragen bij de regering van de verenigde Staten over het massaal afluisteren van Nederlandse burgers?

De EU heeft de Amerikaanse autoriteiten reeds op hoog niveau en via verscheidene kanalen aangesproken. Zo heeft de EU Hoge Vertegenwoordiger de Amerikaanse minister van Buitenlandse Zaken om opheldering gevraagd naar aanleiding van de berichtgeving. Europese en Amerikaanse experts buigen zich gezamenlijk over de problematiek van inlichtingenvergaring en dataprotectie. Nederland steunt deze aanpak.

Vraag 1

Wat is uw reactie op het artikel «Providers bewaren gegevens over gebruik websites en apps», waarin staat dat Nederlandse providers niet-geanonimiseerde gegevens over het gebruik van websites en applicaties (apps) van klanten hebben opgeslagen?1

Ik heb kennis genomen van het artikel.
Het College bescherming persoonsgegevens (CBP) heeft onderzoek gedaan naar de inzet van data-analysetechnieken door telecomaanbieders KPN, Tele2, T-Mobile en Vodafone. Tijdens het onderzoek constateerde het CBP bij alle bedrijven overtredingen van de Wet bescherming persoonsgegevens (Wbp). De bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de bezochte websites en gebruikte apps. Dergelijke gegevens moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd. Het CBP heeft mij meegedeeld dat het verzamelen en bewaren van deze gegevens gebeurde voor verschillende doeleinden waaronder voor marktonderzoeksdoeleinden. Het CBP constateerde verder dat klanten niet of onjuist worden geïnformeerd over het feit dat de telecomaanbieders deze gedetailleerde informatie over hen verzamelen en met welk doel zij dat doen. Het CBP heeft aangegeven dat een deel van de geconstateerde overtredingen naar aanleiding van het onderzoek is beëindigd en dat het zal gaan controleren in hoeverre de geconstateerde overtredingen van de Wbp voortduren.2 Op basis daarvan zal het CBP, in afstemming met Agentschap Telecom (AT), beslissen of het handhavende maatregelen zal nemen. Deze kunnen bestaan uit het opleggen van een last onder dwangsom.

Vraag 2

Met welk doel hebben de genoemde providers de persoonsgegevens opgeslagen? Hebben de providers de opgeslagen gegevens gebruikt voor commerciële doeleinden? Bent u van mening dat de providers door hun handelen de wet hebben overtreden? Zo ja, welke consequenties heeft het overtreden van de wet voor de genoemde providers?

Zie antwoord vraag 1.

Vraag 3

Deelt u de mening dat er een breder en diepgaand onderzoek noodzakelijk is, waarbij de werkwijze van telecomaanbieders, adverteerders en «payment processors» wordt onderzocht om te kunnen komen met adequate wet- en regelgeving ter bescherming van de privacy van de Nederlandse burger?

Het CBP heeft mij meegedeeld dat het betreffende onderzoek uitgebreid en diepgaand was.
Voorafgaand aan het CBP-onderzoek heeft OPTA in 2011 een quick scan uitgevoerd naar eventuele overtreding van de bepalingen uit de Telecommunicatiewet (Tw) waar OPTA (thans ACM) op toeziet. OPTA concludeerde dat er in dat stadium op basis van de Tw geen aanleiding was voor handhavend optreden. De resultaten uit dat onderzoek zijn overhandigd aan het CBP ten behoeve van het onderzoek door het CBP.
AT is ondertussen gestart met een onderzoek naar de naleving van de Tw waar AT op toeziet. De Tw geeft de operators kaders waarbinnen en doelen waarvoor deze gegevens verwerkt mogen worden. In dit onderzoek zullen de bevindingen van het CBP worden meegenomen. Indien nodig zal door AT op basis van de bevindingen uit het onderzoek handhavend worden opgetreden.
Ik deel niet de kennelijke gevolgtrekking dat het feit dat een aantal overtredingen is geconstateerd noopt tot nieuwe wet- en regelgeving. Het CBP laat zien dat het eraan werkt om met behulp van het bestaande instrumentarium naleving van de Wbp te bewerkstelligen.

Vraag 4

Bent u voornemens nieuwe wet- en regelgeving op te stellen om dergelijke misstanden verder te kunnen indammen? Zo ja, op welke wijze gaat u dit organiseren? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 1

Wat is uw reactie op het artikel «Online zoeken naar herpes is privacyrisico», waarin wordt belicht dat het online zoeken naar gezondheidsgerelateerde informatie privacyrisico’s met zich meebrengt?1

Uit de onlangs aan uw Kamer verzonden brief met de Kabinetsvisie op e-privacy, moge blijken dat het kabinet sterk hecht aan een doeltreffende bescherming van persoonsgegevens en de persoonlijke levenssfeer van internetgebruikers. Controle, transparantie en verantwoordelijkheid van bedrijven zijn essentiële randvoorwaarden en zijn bovendien bepalend voor de mate waarin bedrijven, organisaties en instellingen bijdragen aan het digitale vertrouwen van betrokkenen in online diensten.
Het in het artikel besproken onderzoek van de Universiteit van Zuid-Californië over «tracking» cookies heeft betrekking op Amerikaanse websites en de daar geldende wet- en regelgeving.
In Nederland zijn gegevens die kunnen worden herleid tot een identificeerbaar persoon (persoonsgegevens) beschermd door de Wet bescherming persoonsgegevens (hierna Wbp). Gezondheidsgerelateerde persoonsgegevens worden in artikel 16 van deze wet aangemerkt als bijzondere persoonsgegevens en extra beschermd vanwege hun grotere privacygevoeligheid. Als gegevens over het zoeken van gezondheidsgerelateerde informatie op internet kunnen worden gekoppeld aan de persoon die naar deze informatie heeft gezocht, kan er sprake zijn van een persoonsgegeven betreffende iemands gezondheid. Dergelijke persoonsgegevens mogen alleen onder de voorwaarden uit artikel 21 of 23 van de Wbp worden verwerkt. Voor de in het artikel beschreven situatie houdt dit voor zover ik kan beoordelen in dat dergelijke gegevens, indien deze herleid kunnen worden tot een identificeerbaar persoon, alleen met uitdrukkelijke toestemming van de betrokkene mogen worden verwerkt.
De zogenaamde cookiebepaling (artikel 11.7a Telecommunicatiewet (Tw)) bepaalt dat voor het plaatsen en lezen van cookies toestemming nodig is van de internetter en dat deze toestemming moet worden verkregen nadat de internetter hierover duidelijk en volledig is geïnformeerd. Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers kan worden gevolgd, geldt per januari 2013 het bij amendement Van Bemmel/Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.

Vraag 2

Deelt u de mening van de onderzoeker dat de vertrouwelijkheid van het zoeken naar gezondheidsgerelateerde informatie wordt bedreigd door het lekken van informatie aan derde partijen? Zo nee, waarom niet?

De vertrouwelijkheid wordt inderdaad geschonden wanneer een site, waarop een internetgebruiker zoekt naar gezondheidsgerelateerde informatie, tot de gebruiker herleidbare informatie over dit zoekgedrag met derden deelt zonder dat aan de in antwoord 1 genoemde voorwaarden is voldaan.

Vraag 3

Zijn er Nederlandse providers, adverteerders en websites die met behulp van «tracking» codes persoonsgevoelige informatie van de internetgebruiker achterhalen om deze vervolgens te lekken of te verkopen aan een derde partij? Zo ja, welke risico’s lopen de Nederlandse internetgebruikers?

Het College bescherming persoonsgegevens (CBP) en de Autoriteit Consument en Markt (ACM) werken sinds 1 januari 2013 nauw samen in onderzoeken naar tracking cookies. Het CBP heeft op dit moment een aantal onderzoeken onderhanden waarin (ook) de (eventuele) verwerking van persoonsgegevens bij het gebruik van tracking cookies wordt beoordeeld. Over deze lopende onderzoeken kan het CBP geen nadere mededelingen doen.
Via tracking cookies verkregen informatie over het surfgedrag kan inzicht bieden in de interesses en (afgeleide) belangstelling van mensen. Dergelijke informatie raakt aan de inhoud van hun communicatiegedrag en kan gebruikt worden om mensen anders te behandelen dan anderen. Verder zijn bij het gebruik van tracking codes op websites of apps veelal derde partijen betrokken, zoals advertentienetwerken. In zijn algemeenheid geldt dat hoe meer partijen toegang hebben tot de genoemde informatie, hoe groter het risico wordt op een datalek of een andere vorm van onrechtmatige gegevensverwerking.

Vraag 4

Bent u, indien ook in Nederland gezondheidsgerelateerde informatie wordt gelekt, voornemens hier tegen op te treden? Zo ja, welke middelen kunt u inzetten om dit te voorkomen? Bent u daarnaast voornemens de Nederlandse internetgebruiker te informeren over deze handelwijze?

De ACM ziet toe op de naleving van de Tw. Het CBP ziet toe op de verwerking van persoonsgegevens overeenkomstig het bepaalde bij de Wbp en andere wet- en regelgeving op grond waarvan persoonsgegevens worden verwerkt. Zij beschikken daartoe over diverse bevoegdheden, waaronder het opleggen van een last onder dwangsom of een sanctie. ACM informeert op http://www.consuwijzer.nl/telecom-post/internet/privacy/uitleg-cookies over het gebruik van cookies. Het CBP informeert op www.mijnprivacy.nl over het gebruik van (bijzondere) persoonsgegevens.

Vraag 1

Wat is het project «Argo 2» en wie is de opdrachtgever van dit project? Wat is het project «Symbolon» en wat is de toekomst van dit project? Wat is «AMS-IX» (Amsterdam Information Exchange)?

Argo II is een project van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) om de bestaande systemen om informatie uit communicatiemiddelen te verwerken tot inlichtingen (Signal Intelligence of Sigint) te vernieuwen. De opdrachtgever is het Ministerie van Defensie. Inlichtingen afkomstig uit Sigint leveren een significante bijdrage aan de bescherming van de troepen in uitzendgebieden. De AIVD is naar aanleiding van de geïntensiveerde samenwerking met de MIVD gaan deelnemen aan het project als medebehoeftesteller.
Het project maakt deel uit van het ICT-Rijksdashboard. Zie ook: https://www.rijksictdashboard.nl/
Het project Symbolon heeft tot doel de sigint- en cyber-capaciteiten van de AIVD en de MIVD te bundelen in een gezamenlijke Sigint-Cyber-eenheid van en voor de beide diensten. Ook de Nationale Sigint Organisatie (NSO) gaat in deze eenheid op. Deze samenvoeging is de meest vergaande vorm van samenwerking tussen de beide diensten tot dusver. Zij is in het belang van de doelmatigheid en de doeltreffendheid van de inspanningen van de inlichtingenen veiligheidsdiensten. Eind 2012 is een kwartiermakerorganisatie ingesteld, die is samengesteld uit AIVD- en MIVD-medewerkers. Een kwartiermaker van Defensie geeft leiding aan de oprichting van de nieuwe eenheid. U bent hierover geïnformeerd met het jaarverslag van de MIVD (Kamerstuk 29 924, nr. 96) en het jaarverslag van de AIVD (Kamerstuk 30 997 nr. 52).
De Amsterdam Information Exchange (AMS-IX) is het belangrijkste internetknooppunt van Nederland en het op één na grootste ter wereld. Een zeer groot deel van het internetverkeer met het buitenland en het dataverkeer tussen Nederlandse internetproviders wordt afgehandeld via het netwerk van de AMS-IX. De AMS-IX is een onafhankelijke organisatie zonder winstoogmerk. Zie ook: https://ams-ix.net

Vraag 2

Waarom is het bedrijf NICE Systems, samen met het Amerikaanse Accenture, na een geheime aanbesteding aangesteld om – middels Nederlandse dochterondernemingen – het internetknooppunt AMS-IX af te tappen? Waarom is het afluisteren van gevoelige informatie uitbesteed aan een commercieel bedrijf, waarvan de aandelen vrij verhandelbaar zijn? Waarom is gekozen voor een bedrijf dat nauwe banden heeft met de Israëlisch geheime dienst?

De Wet in de inlichtingen- en veiligheidsdiensten 2002 staat het ongericht aftappen van de AMS-IX niet toe. Er is geen betrokkenheid van een leverancier, rechtstreeks of via dochterondernemingen, bij de verwerving van Sigint.
Het aantal potentiële leveranciers voor het Sigint-platform is beperkt. De functionele specificaties voor het nieuwe platform geven inzage in de modus operandi van de MIVD en zijn derhalve staatsgeheim gerubriceerd. Alle potentiële leveranciers werken gezien de aard van de gevraagde dienstverlening veel met overheden samen. De leverancier die het beste voldeed aan de voor de aanbesteding relevante criteria kreeg de opdracht gegund.
De aard van de gebruikte technieken, de relaties, de herkomst en de met het systeem te verwerken informatie maakt dat de omgang met deze bedrijven altijd terughoudend en waakzaam verloopt. In de implementatiefase zijn diverse maatregelen genomen om de veiligheid, vertrouwelijkheid en de integriteit van de informatie te waarborgen. Deze maatregelen gelden voor vele systemen waarmee inlichtingen worden verworven en verwerkt, alsmede voor de daarbij behorende leveranciers.
Over de modus operandi van de AIVD en de MIVD worden in het openbaar geen mededelingen gedaan.

Vraag 3

Klopt het dat bij het aftappen van het internetknooppunt AMS-IX gebruik wordt gemaakt van datamining, een middel waarvan u tot nu toe afstand heeft genomen?

Zie antwoord vraag 2.

Vraag 4

Klopt het dat deze geheime aanbesteding is uitgegaan van de Nationale Sigint Organisatie (NSO)? Hoeveel geld is met deze aanbesteding gemoeid?

Nee. Zie ook het antwoord op vraag 1. De opdrachtgever is het Ministerie van Defensie. Met de aanbesteding is € 17 miljoen gemoeid.

Vraag 5

Wat voor soort informatie stond in de aanvullende briefing die bedrijven kregen die serieuze interesse toonden voor deze aanbesteding? Bent u bereid de Kamer inzage te geven in deze aanvullende briefing?

Het betrof een toelichting en verdieping op de functionele specificaties waar het systeem aan dient te voldoen. De functionele specificaties zijn staatsgeheim.

Vraag 1

Wat is uw reactie op het artikel «mobiele data het duurst in Nederland»1 waarin wordt belicht dat Nederlanders in vergelijking met andere Europeanen het meest moeten betalen voor mobiel internet?

Ik heb kennis genomen van het artikel. De vragen gaan over één van de conclusies in het rapport waar het artikel naar refereert, namelijk de prijs van mobiele data-only abonnementen. Dit betreft de gebruikers die alleen een mobiele databundel en geen andere diensten afnemen. Dit is slechts een klein gedeelte (minder dan 5%) van de markt. In het onderzoek valt op dat binnen dat segment alleen gekeken wordt naar de premium abonnementen van de Nederlandse providers en niet naar hun «second brands» die goedkoper zijn.
Het rapport spreekt de verwachting uit dat door toetreding van een nieuwe uitdager (Tele2) de prijzen voor de mobiele data-only abonnementen zullen dalen. Het merkt ook op dat waar het abonnementen voor bundels van mobiele data en bellen en sms-en betreft Nederland beter uit het onderzoek komt. Op grond van dit rapport deel ik niet de mening dat de markt onvoldoende functioneert.
Er verschijnen geregeld onderzoeken (onder andere ook de OESO) naar de tarieven van telecommunicatie met niet zelden wisselende en soms tegenstrijdige uitkomsten. Dat komt ten eerste omdat het moeilijk is uniforme vergelijkingsmaatstaven te definiëren. Zo verschillen de databundels per land. In het rapport wordt bijvoorbeeld een combinatie-bundel met 20 sms-jes gehanteerd en die komt niet in Nederland voor. Ten tweede wordt onvoldoende rekening gehouden met factoren die de prijs van telecommunicatie in een land bepalen. Het betreft factoren als de koopkracht per land, het gebruiksprofiel van consumenten en eventuele handsetsubsidies. Het maakt analyses over prijsverschillen buitengewoon lastig en vaak voor discussies vatbaar.
Ik ga onderzoeken hoe we tot een betekenisvollere internationale vergelijking kunnen komen van mobiele telecommunicatietarieven en zal u over de uitkomsten van zo’n vergelijking dit najaar informeren.

Vraag 2

Deelt u de mening dat de kosten per gigabyte in Nederland (gemiddeld 9 euro) in vergelijking met andere Europese landen (gemiddeld 1 a 2 euro) dusdanig hoog zijn dat er zeer waarschijnlijk sprake zal zijn van een onvoldoende functionerende markt? Zo ja, op welke wijze gaat u dit probleem aanpakken?

Zie antwoord vraag 1.

Vraag 3

Zijn er naast het gebrek aan concurrentie andere oorzaken voor de hoge kosten van mobiel dataverkeer in Nederland? Bent u bereid dit zo nodig nader te (laten) onderzoeken?

Zie antwoord vraag 1.

Vraag 4

Bent u bereid om deze vragen voor het verzamel algemeen overleg Telecommunicatie op 28 mei 2013 te beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het bericht «DigiD moeilijk te bereiken door een DDoS-aanval»?1

Ja.

Vraag 2

Kunt u bevestigen dat de kracht van de aanval beperkt was tot slechts 200 aanvragen per seconde?

Bij een DDoS-aanval (Distributed Denial of Service-aanval) worden grote hoeveelheden dataverkeer naar een website verstuurd waardoor deze onbereikbaar kan worden. DDoS-aanvallen bestaan in diverse varianten. Daarnaast bestaat de DoS-aanval (Denial of Service) aanval, hierbij is dus geen sprake van een netwerk aan betrokken systemen, maar van een enkele computer of server.
DigiD heeft te kampen gehad met meerdere DDoS-aanvallen die verschilden in aard en omvang. Elke aanval is met specifieke maatregelen bestreden.

Vraag 3

Klopt het dat voor een dergelijke capaciteit geen botnet nodig is en dat een dergelijke aanval in theorie door een persoon thuis vanaf zijn laptop uitgevoerd zou kunnen worden?

Zie antwoord vraag 2.

Vraag 4

Is het niet schokkend dat een kritische overheidsdienst zo eenvoudig uit de lucht gehaald kan worden en zo lang uit de lucht gehouden kan worden?2

Gedurende de DDoS aanvallen is DigiD niet uit de lucht geweest. Er was sprake van een beperkte bereikbaarheid van deze voorziening. Om ongewenst dataverkeer zo veel mogelijk tegen te houden is DigiD voor gebruikers in het buitenland in de periode van 28 april tot 2 mei geblokkeerd geweest.
Het belang van de continuïteit en beschikbaarheid van DigiD is zeer groot en hier wordt veel geld en menskracht in geïnvesteerd. De actualiteit van de beveiligingsmaatregelen (waaronder de nodige afweermechanismen) wordt continue bewaakt en waar nodig worden passende aanvullende maatregelen ten uitvoer gebracht. Dit laat onverlet dat DDoS-aanvallen helaas een wereldwijd probleem zijn dat op grote schaal plaatsvindt. Dergelijke aanvallen en de ongewenste gevolgen van deze verkeersopstoppingen, zijn daarom nu en in de toekomst niet uit te sluiten.
Ik hecht eraan te benadrukken dat bij de aanvallen geen hacks hebben plaatsgevonden. De intrinsieke veiligheid van DigiD en de betrouwbaarheid van informatie en persoonsgegevens, zijn niet in het geding geweest.

Vraag 5

Is DigiD niet dezelfde kritische overheidsdienst waarvoor Microsoft ten tijde van het DigiNotar-incident was gevraagd een update uit te stellen?

Na het opzeggen van het vertrouwen in DigiNotar heeft Microsoft een update gemaakt die DigiNotar certificaten in de lijst van onbetrouwbare certificaten plaatste. DigiD was één van de vele overheiddiensten die gebruik maakte van DigiNotar certificaten.
Het uitstel van de update was in zijn algemeenheid bedoeld om organisaties meer tijd te geven om de certificaten van DigiNotar te vervangen. Hierdoor voorkwam men dat, door een abrupte beëindiging van de mogelijkheid om van DigiNotar-certificaten gebruik te maken, het communicatieverkeer tussen bijvoorbeeld machines onderling («server-to-server») zou worden verstoord. Hierdoor zouden websites en onderliggende systemen moeilijker of in het geheel niet meer bereikbaar zijn.
Overigens, zoals beschreven in het rapport «Evaluatie van de rijkscrisisorganisatie tijdens de DigiNotar-crisis» van de Inspectie Veiligheid en Justitie, zou de update van Microsoft op dinsdag 6 september 2011 om 19:00 uur plaatsvinden. In de middag van 6 september laat de rijksoverheid via de website rijksoverheid.nl echter al weten dat DigiD weer veilig kan worden gebruikt (http://www.rijksoverheid.nl/documenten-en-publicaties/persberichten /2011/09/06/digid-weer-veilig.html ).

Vraag 6

Hoe verhouden volgens u deze incidenten zich tot elkaar? Hoe kan het belang toen zo groot zijn geweest om de boel draaiende te houden, terwijl nu vrij simpel de dienstverlening alsnog stil gelegd kan worden?

Beide incidenten illustreren de toegenomen afhankelijkheid van informatiesystemen. De incidenten zijn evenwel van een andere orde. In het geval van DigiNotar was een derde partij erin geslaagd om ongeautoriseerde toegang te krijgen tot de servers van DigiNotar en vervalste digitale certificaten te genereren. Bij een DDoS-aanval is primair sprake van het verstoren van de bereikbaarheid en niet van het binnendringen in netwerken en toegang tot servers en bestanden. Zoals bij vraag 4 is vermeld, is DigiD alleen de voor gebruikers in het buitenland in de periode van 28 april tot 2 mei geblokkeerd geweest.

Vraag 7

Welke mogelijkheden ziet u om de afhankelijkheid van enkele systemen (single points of failure) te verkleinen? Wat betekent dit voor een ontwerp van een nieuw eID?

Eén van de ontwerpcriteria die bij de ontwikkeling van het eID-stelsel als uitgangspunt zal gelden is dat het stelsel geen single points of failure kent. Daarnaast biedt het keuzevrijheid voor burgers (en bedrijven) bij het gebruik van authenticatiemiddelen. Dit betekent dat als een voorziening, zoals DigiD, door een DDoS-aanval slecht bereikbaar is, men met andere middelen alsnog overheidsdienstverlening moet kunnen bereiken.

Vraag 8

Welke acties gaat u de komende periode ondernemen om de dienstverlening te verbeteren?

Gelet op het economisch en maatschappelijk belang van DigiD heeft Logius naar aanleiding van de aanvallen additionele en verscherpte maatregelen getroffen om de continuïteit en beschikbaarheid van DigiD, te kunnen blijven bewaken en te borgen. Logius is hierbij op het technisch vlak ondersteund en geadviseerd door het Nationaal Cyber Security Centrum (NCSC). Verder verwijs ik naar de brief van mijn ambtgenoot van het ministerie van Veiligheid en Justitie aan uw Kamer van 14 mei 2013 (Kenmerk 386064), waarbij, mede namens de Ministers van Algemene Zaken, Binnenlandse Zaken en Koninkrijksrelaties, voor Wonen en de Rijksdienst en de Staatssecretaris van Financiën, een reactie is gegeven op de DDoS-aanvallen bij de Rijksoverheid en de in dat verband genomen en voorgenomen maatregelen.

Vraag 1

Heeft u kennisgenomen van de aflevering van Nieuwsuur op donderdag 14 maart 2013 over de privacyvoorwaarden bij apps?1

Ja.

Vraag 2

Deelt u de conclusie van dit item dat bedrijven hun voorwaarden bewust zo gecompliceerd maken dat gebruikers ze nooit zullen lezen?

Deze vragen betreffen de relatie tussen specifieke producenten en consumenten. Het is niet aan mij om een oordeel uit te spreken over de invulling van die relatie.
Ik kan wel aangeven dat de privacywetgeving, opgenomen in de Wet bescherming persoonsgegevens en de Telecommunicatiewet, vereist dat de privacy voorwaarden bij apps beknopt en voor iedereen leesbaar en begrijpelijk zijn. De eindgebruiker die een app afneemt waarmee persoonsgegevens worden verwerkt, moet duidelijk en volledig worden geïnformeerd over de identiteit van de partij die deze gegevens verwerkt en de doeleinden van de verwerking. Daarnaast is toestemming van de eindgebruiker vereist. Zonder duidelijke informatie kan geen sprake zijn van toestemming, aangezien die moet bestaan uit een «vrije, specifieke en op informatie berustende wilsuiting» van de eindgebruiker.
Organisaties en bedrijven dienen bij het aanbieden van een dienst, zoals een app, dan ook transparant te zijn over de verwerking van persoonsgegevens van gebruikers van die dienst.
Bij eventuele klachten over de naleving van de wettelijke (informatie)verplichtingen kunnen de consumenten zich wenden tot de Autoriteit Consument & Markt en het College Bescherming Persoonsgegevens.

Vraag 3

Wat betekent dit volgens u voor de gemaakte keuze van de consument die met deze voorwaarden instemt? Is hier sprake van een vrije keuze zoals gesteld in privacywetgeving?

Zie antwoord vraag 2.

Vraag 4

Kunt u specifiek ingaan op de gebruiksvoorwaarden van Apple waarmee je per definitie moet instemmen na aankoop van een iPhone om van relevante applicaties gebruik te kunnen maken? Is hier sprake van vrije keuze zoals gesteld in privacywetgeving?

Zie antwoord vraag 2.

Vraag 5

Heeft u tevens kennisgenomen van het artikel Unique in the Crowd: The privacy bounds of human mobility?2

Ja.

Vraag 6

Wat betekent de conclusie dat zeer ruwe locatiegegevens, namelijk viermaal een meting elk uur gemeten via mobiele zendmasten, in 95% van de gevallen zijn te herleiden tot personen en daarmee persoonsgegevens zijn voor het verzamelen van locatiegegevens door bijvoorbeeld apps of andere telefoondiensten? Wat betekent dit voor dienstverleners die gebruikmaken van locatiegegevens, de gegevens die zij hiermee verzamelen en de toestemming die zij hiervoor vragen?

In het artikel wordt verwoord dat uit grote hoeveelheden geanonimiseerde data patronen te ontdekken zijn die in combinatie met andere datasets, bijvoorbeeld apps, te herleiden zijn tot groepen of personen. Deze ontwikkeling is interessant voor het voorspellen voor de inzet van bijvoorbeeld het OV, kans op file, capaciteit op mobiele netwerken, inzet van personeel in winkels, horeca en in het verlengde daarmee de logistiek en de bevoorrading.
Ik onderken het economisch belang van de ontwikkeling van de online-diensten, waaronder apps, en het belang van het bieden van ruimte voor innovatie. Als het daarbij gaat om bijvoorbeeld het verzamelen en verwerken van persoonsgegevens, dient dat wel binnen de wettelijke kaders te gebeuren, zodat de privacy van de eindgebruiker gewaarborgd blijft (ik verwijs naar mijn antwoord op vragen 2 en 3).
Een goede bescherming van persoonsgegevens en de persoonlijke levenssfeer draagt immers bij aan het digitale vertrouwen van betrokkenen en daarmee aan de groei van digitale diensten en de economie.

Vraag 1

Wat is uw reactie op de uitzending van het VARA-programma Kanniewaarzijn waarin wordt bericht dat door het ontbreken van wetgeving telecomaanbieders van mobiel dataverkeer consumenten op onevenredig hoge kosten kunnen jagen?1

Ik vind het erg vervelend als een consument wordt geconfronteerd met zulke onverwachte, hoge rekeningen, ondanks dat maatregelen zijn en worden getroffen door aanbieders.

Vraag 2

Bent u van mening dat het zeer onwenselijk is dat consumenten geen enkele bescherming genieten tegen ongemerkt internetgebruik met torenhoge rekeningen tot gevolg?

Ja, het zou onwenselijk zijn als de consument geen enkele bescherming geniet tegen ongemerkt internetgebruik met torenhoge rekeningen tot gevolg, maar dat is niet het geval. Er zijn beschermingsmaatregelen die vooral gericht zijn op het voorkomen van zulke hoge rekeningen door de consument goed te informeren over de aangeboden diensten en de kosten daarvan en door de consument meer inzicht in en grip te geven op zijn verbruik.
Zo dient de consument op grond van grond van de Regeling universele dienstverlening en eindgebruikersbelangen (Rude)2 geïnformeerd te worden over de tarieven, zoals het buitenbundeltarief. Daarnaast hebben aanbieders medio 2012 de gedragscode «Transparantie Mobiel Datagebruik» afgesloten. De gedragscode heeft betrekking op transparantie en voorlichting zodat de consument een abonnement kan kiezen die het beste aansluit op zijn datagebruik. Zo is in de gedragscode opgenomen dat aanbieders aan de consument de mogelijkheid bieden om tussentijds de kosten te monitoren, bijvoorbeeld om via een «mijn klantomgeving» of via een door de aanbieder aangeboden applicatie na te gaan hoeveel data is verbruikt of hoeveel tegoed er nog over is. Ook worden consumenten actief door de aanbieder geïnformeerd bij het bereiken van een bepaald verbruik (bijvoorbeeld wanneer 80% van de databundel is verbruikt) via een waarschuwings-sms.
Daarnaast kan de consument kiezen voor uiteenlopende abonnementen die extra waarborgen bieden:
Mochten zich onverhoopt toch hoge rekeningen voordoen, zoals het tv-programma «Kanniewaarzijn» heeft laten zien, dan zal in het concrete geval moeten worden bekeken waar het fout is gegaan. Aanbieders hebben vaak een coulancebeleid bij hele hoge rekeningen. Indien de aanbieder en de consument er samen niet uitkomen, kan de consument bij een meningsverschil over de factuur naar de Geschillencommissie (Elektronische Communicatiediensten) stappen die dan daar een uitspraak over doet. De betrokken partijen moeten zich dan houden aan die uitspraak.

Vraag 3

Vindt u het fatsoenlijk en gewenst dat telecombedrijven het mobiel dataverkeer, dat buiten de bundel van het abonnement valt, 8600% duurder in rekening brengt bij de consument, zoals het voorbeeld in de televisie-uitzending laat zien?

Ik heb hier geen oordeel over. Bij veel abonnementen is het buitenbundeltarief hoger dan het binnenbundeltarief en het verschil kan inderdaad een veelvoud zijn. Er zijn ook abonnementen verkrijgbaar waarbij het verschil tussen binnen- en buitenbundeltarieven kleiner is of geen enkel verschil kent. Ik heb echter geen oordeel over wat het maximale verschil tussen binnen- en buitenbundeltarieven zou mogen zijn. Indien er sprake is van een hoog tarief per MB kan bij een excessief dataverbruik de rekening snel oplopen.
Daar moet de consument voor gewaarschuwd worden en dat vereist transparantie richting de consument, waarvoor het nodige is geregeld en afgesproken. Zie hiervoor ook het antwoord op vraag 2.

Vraag 4

Hoe kan het dat mensen die de provider hebben gevraagd data te blokkeren toch geconfronteerd worden met kosten?

Dat zal per concreet geval bekeken moeten worden. In algemene zin kan ik hierover niets zeggen.

Vraag 5

Wat vindt u ervan dat klanten zelfs in dit soort uitzonderlijke gevallen, vanwege het door hun providers opgevoerde «recht op privacy», geen inzage kunnen krijgen in hun dataverkeer?

Aanbieders van openbare telecommunicatienetwerken – of diensten mogen op grond van de Telecommunicatiewet (en Europese privacyrichtlijnen) verkeersgegevens in beginsel uitsluitend verwerken voor zover dat nodig is om communicatie over te brengen. Daarnaast mogen zij deze gegevens slechts verwerken voor zover dat nodig is voor een aantal in de wet omschreven doelen, zoals facturering. Voor de facturering van consumenten is slechts noodzakelijk dat het volume van het datagebruik wordt bijgehouden. Het is voor de facturering niet nodig dat er bijvoorbeeld is bijgehouden welke website of applicatie een consument gebruikt op welk tijdstip en hoe lang. Aanbieders mogen dergelijke gegevens dan ook niet verwerken en moeten die gegevens vernietigen of anonimiseren zodra de betrokken communicatie stopt. Ik vind het belangrijk dat de persoonsgegevens en privacy van consumenten goed worden beschermd.
Als een consument op een gedetailleerder niveau een beeld wil krijgen van het dataverbruik van de door hem gebruikte internettoepassingen, zou hij een datateller op zijn mobiele telefoon kunnen installeren. Daarop kan worden bijgehouden hoeveel data diverse toepassingen hebben verbruikt, zoals e-mail of geïnstalleerde applicaties.

Vraag 6

Bent u bekend met de reactie van uw voorganger, de toenmalige minister Verhagen, op de uitzending van Tros Radar2 waarin hij verklaart dat de verantwoordelijkheid bij de aanbieders ligt en dat deze aanbieders bezig zijn met verschillende initiatieven om consumenten beter te informeren? Deelt u deze mening en vindt u dat de initiatieven van de aanbieders geleid hebben tot het gewenste resultaat?

Ja, ik ben bekend met de reactie van mijn voorganger. Ik vind het allereerst de verantwoordelijkheid van de aanbieders om consumenten goed te informeren over hun producten en diensten. Dat vinden de aanbieders ook en zij hebben hiertoe medio 2012 de gedragscode «Transparantie Mobiel Datagebruik» gesloten. Daarin zijn afspraken gemaakt om de consument beter te informeren over kosten mobiel datagebruik bij het afsluiten van een abonnement en om de consument meer grip te laten krijgen op het verbruik, zoals het sturen van een waarschuwings-sms bij het bereiken van een bepaald verbruik. Hierover is de Kamer bij brief4 van 16 juli 2012 over geïnformeerd. In de tegelijkertijd met deze beantwoording meegestuurde kamerbrief over consumentenonderwerpen in de telecommarkt heb ik gemeld dat de aanbieders nog met aanvullende maatregelen zullen komen. Tevens heb ik hierbij aangegeven dat de aanbieders en mijn Ministerie de gedragscode deze zomer zullen evalueren. Dan zullen we opnieuw bekijken hoe het gaat met het voorkomen van deze zogeheten «bill shocks».

Vraag 7

Deelt u de mening dat er behoefte is aan ten eerste een verplichting voor telecombedrijven om klanten te waarschuwen als er teveel dataverbruik is en ten tweede aan een optie voor consumenten om bij het afsluiten van contracten de mogelijkheid te hebben om bij overschrijding van de bundel het dataverbruik te laten blokkeren zoals de Europese regelgeving omtrent roaming? Zo ja, op welke wijze gaat u deze oplossingen in wet- en regelgeving verwerken?

Nee, de aanbieders hebben afgesproken de consument in een vroegtijdig stadium actief te waarschuwen per sms, bijvoorbeeld wanneer de consument 75% of 90% van zijn bundel heeft verbruikt. Daarnaast zijn er allerlei toepassingen voor consumenten beschikbaar om hun verbruik continue bij te houden. Als de consument het laten blokkeren van de mobiele internetdienst bij het overschrijden van de databundel, een bepaald bedrag of datavolume erg belangrijk vindt, dan kan hij een abonnement kiezen waarbij deze dienst wordt aangeboden. Als een consument een abonnement wil zonder buitenbundelkosten, dan zijn hiervoor ook alternatieven beschikbaar. Consumenten hebben niet dezelfde behoeften. Niet alle consumenten willen van mobiel internet worden afgesloten zodra zij hun bundel hebben overschreden.

Vraag 1

Kunt u beschrijven hoe de exacte overdracht van de operationele bevoegdheden van DigiNotar heeft plaatsgevonden?1

Deze beschrijving vindt u in mijn besluiten op Wob-verzoeken over dit onderwerp. Deze zijn met bijlagen te vinden op de website rijksoverheid.nl onder Wob-verzoeken.
Kortheidshalve verwijs ik u daarnaar.

Vraag 2

Op welke manier is tijdens het intensieve telefooncontact op de avond van 2 september 2011 DigiNotar en moederbedrijf VASCO overtuigd dat het overdragen van alle verantwoordelijkheden wenselijk was?

Blijkbaar was ook VASCO van mening, dat het inschakelen van een medewerker van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) voor het operationeel management voor het algemeen maatschappelijk belang de beste oplossing was om de klanten van DigiNotar te ondersteunen om op een beheerste wijze over te stappen naar andere leveranciers van certificaten. Op 3 september 2011 heeft VASCO een volmacht afgegeven, waarin de overname van het operationele management geregeld werd. Anders dan u stelt, zijn niet alle verantwoordelijkheden overgedragen, maar uitsluitend het operationeel management zoals omschreven in de volmacht.

Vraag 3

Kunt u uitleggen op basis van welke wettelijke grondslag is overgegaan tot het de facto overnemen van DigiNotar en kunt u de juridische onderbouwing toelichten?

DigiNotar is niet de facto overgenomen. Alleen het operationeel management is overgenomen na goed overleg met VASCO. Hieraan ligt geen specifieke wettelijke bepaling ten grondslag.

Vraag 4

Kunt u toelichten waarom ervoor is gekozen om de volmacht breder te maken dan de eigen overheidscertificaten en er is gekozen voor alle certificaten van DigiNotar?

Beperking tot de PKI-overheid certificaten zou niet voldoende zijn geweest voor de continuïteit van de dienstverlening door overheidsorganen en enkele vitale sectoren.
Overheidsorganisaties gebruikten voor hun online dienstverlening niet alleen certificaten van PKI-overheid, maar ook grote(re) aantallen certificaten van DigiNotar zelf («eigen merk»). Daarnaast gebruikten enkele sectoren met een publieke taak grote aantallen certificaten van DigiNotar zelf (notariaat, gerechtsdeurwaarders) evenals de advocatuur (met een eigen productieomgeving voor certificaten van DigiNotar), de energiesector, de financiële sector en de belastingdienst.

Vraag 5

Kunt u een toelichting geven op het specifiek uitlichten van de gebruikerslijst in deze volmacht en het belang van deze gebruikerslijst beschrijven?

In de volmacht is een trits van specifieke bevoegdheden opgesomd, waaronder de toegang tot de gebruikerslijsten, zodat over deze bevoegdheden in de praktijk geen discussies zou kunnen ontstaan of ze wel behoorden tot de operationele bevoegdheid van de gemachtigde bestuurder.

Vraag 6

Kunt u bevestigen dat een belangrijke reden voor de overname van DigiNotar het in bezit krijgen van de zogenaamde gebruikerslijsten was?

Aangezien externe partijen, zoals de browserleveranciers Mozilla en Microsoft het vertrouwen in alle door DigiNotar geleverde certificaten hadden opgezegd liepen op heel korte termijn veel belangrijke processen risico op verstoring of zelfs stilvallen.
De gebruikerslijsten waren daarom belangrijk om alle gebruikers van door DigiNotar geleverde certificaten snel te kunnen informeren over de status van hun certificaten en hen te ondersteunen bij de overstap naar een andere certificatenleverancier, zodat hun dienstverlening ongestoord zou kunnen blijven doorgaan met gebruik van een nieuw, vertrouwd certificaat.

Vraag 7

Kunt u bevestigen dat de overheid had kunnen en had moeten beschikken over haar eigen gedeelte van de gebruikerslijst, aangezien het hier ging om diensten door haarzelf afgenomen?

Nee. Elke afnemer van certificaten houdt een registratie bij van de eigen certificaten. Er is geen overheidsbrede administratie van certificaten, noch van certificaten van PKI-overheid noch van certificaten van andere leveranciers van certificaten. «De overheid» zelf is geen juridische entiteit, maar bestaat uit vele zelfstandige bestuursorganen en organisaties, die zelf verantwoordelijk zijn voor het beheer van de door hen aangeschafte ICT-middelen.
De leveranciers van certificaten hebben uiteraard een sluitende administratie van alle uitgegeven certificaten, maar geen verplichting om een lijst met hun afnemers aan derden te geven. Dit is ook niet gewenst vanwege onnodige regeldruk en concurrentieoverwegingen.

Vraag 8

Kunt u toelichten wat het zelf in bezit hebben van deze gebruikerslijst had uitgemaakt voor de urgentie en de noodzaak van het overnemen van DigiNotar?

Zie antwoord op vraag 7. De gebruikerslijsten vormden slechts een onderdeel van de aspecten die onderdeel uitmaakten van het operationele management.

Vraag 9

Kunt u ingaan op de huidige situatie met betrekking tot gebruikerslijsten? Beschikt de overheid nu wel accurate lijsten van op welke plekken welke diensten afgenomen worden?

Zie het antwoord op vraag 7.

Vraag 10

Kunt u aangeven op welke voorwaarden Microsoft akkoord is gegaan met het uitstel van een update voor de Nederlandse markt van een week?

Microsoft heeft geen voorwaarden gesteld aan het uitstel.

Vraag 11

Kunt u uitsluiten dat er voor het maken van deze afspraak enige koppeling is gelegd met andere afspraken of contracten tussen de overheid en Microsoft in het verleden, heden of toekomst?

Ja.

Vraag 12

Wordt er gewerkt aan alternatieven voor SSL waar de overheid voor haar dienstverlening van gebruik zou kunnen maken? Welke rol speelt de overheid hier zelf in?

Er bestaan ideeën over alternatieven voor SSL-certificaten. Enkele bedrijven ontwikkelen deze verder in overleg met relevante partijen. Wanneer dit onderwerp in EU verband wordt besproken, spreekt Nederland mee. Deze alternatieven zullen op de korte en middellange termijn (3–5 jaar) nog geen vervanger zijn voor de SSL-certificaten.
In opdracht van het Ministerie van EZ en BZK heeft de Leverancier Logica (thans bekend onder de naam CGI) op 8 maart 2012 een rapport gepubliceerd met als titel «Evaluatie PKI». In dit rapport is ook gekeken naar alternatieven voor SSL. Conclusie van de onderzoekers was dat alternatieven enerzijds nog niet goed zijn uitgekristalliseerd en anderzijds nog niet volwassen genoeg zijn voor brede toepassing.

Vraag 1

Bent u bekend met het bericht «VS zuchten al langer onder cyberaanvallen»?1

Ja.

Vraag 2

Is het waar dat een radicale hackactivistengroep genaamd «Cyber Fighters of Izz ad-Din al-Qassam» verantwoordelijk is voor cyberaanvallen op financiële instellingen in de VS?

Een groep die zichzelf Cyber Fighters of Izz ad-Din al-Qassam noemt, heeft de verantwoordelijkheid voor meerdere grootschalige aanvallen op de financiële sector in de Verenigde Staten opgeëist. Deze groepering staat niet op de EU- of een nationale terrorismelijst. In de media is gesuggereerd dat de Iraanse overheid een relatie heeft met de Cyber Fighters of Izz ad-Din al-Qassam. De Iraanse overheid heeft publiekelijk ontkend betrokken te zijn bij de cyberaanvallen op de Amerikaanse banken. Bij het Nationaal Cyber Security Centrum en de inlichtingen- en veiligheidsdiensten is bekend dat statelijke actoren of aan staten gelieerde actoren zich in toenemende mate in het digitale domein begeven. De AIVD onderzoekt de herkomst van dergelijke cyberaanvallen, maar kan in het openbaar geen mededelingen doen over de uitkomst van deze onderzoeken.

Vraag 3

Welke informatie is bekend over deze groepering? Staat deze groepering op een terreurlijst, bijvoorbeeld de terreurlijst van de EU?

Zie antwoord vraag 2.

Vraag 4

Worden de banktegoeden van deze groepering of daaraan gelieerde personen bevroren? Zo nee, bent u bereid u (al dan niet in internationaal verband) ervoor in te zetten dat dit zal gaan gebeuren?

Aangezien de groepering niet op een sanctielijst voorkomt, zijn eventuele tegoeden niet bevroren. Nederland beschikt niet over informatie die als basis zou kunnen voor een voorstel tot het bevriezen van tegoeden. Ik zie voor nu dan ook geen aanknopingspunten om hier in internationaal verband voor te pleiten.

Vraag 5

Kunt u aangeven of deze groepering feitelijk door een staat wordt aangestuurd, in die zin dat de staat verantwoordelijk is voor de cyberaanvallen? Zo ja, om welke staat gaat het?

Zie antwoord vraag 2.

Vraag 6

Door wie of wat wordt deze groepering gefinancierd? Kunnen deze financiers strafrechtelijk worden vervolgd?

Informatie over de financieringsbronnen van de groep die de verantwoordelijkheid heeft opgeëist is niet beschikbaar. Generiek kan ik aangeven dat het financieren van cybercriminaliteit in de vorm van een DDos-aanval in Nederland, in voorkomende gevallen, strafbaar is als deelneming aan het misdrijf belemmeren van de toegang of het gebruik van geautomatiseerde werken (artikel 138b Sr).

Vraag 7

Zijn de recente DDos-aanvallen op Nederlandse financiële instellingen ook afkomstig van deze groepering? Zo nee, kunt u aangeven welke groepering dan wel verantwoordelijk is voor deze aanvallen en of dit eveneens een groepering is met een ideologische inslag?

Op dit moment voert het Team High Tech Crime van de politie op last van het Openbaar Ministerie een onderzoek uit naar de DDos-aanvallen. Dit onderzoek is in volle gang, daarmee is het onmogelijk om nu al uitspraken te doen over mogelijke daders en/of motieven. Er zijn vooralsnog geen aanwijzingen dat de genoemde groepering verantwoordelijk is voor de cyberaanvallen op de Nederlandse banken. Bij DDos-aanvallen is de website van een bank tijdelijk onbereikbaar doordat grote hoeveelheden verkeer worden verstuurd naar de website. Daardoor is het uitvoeren van transacties onmogelijk. Er is echter nadrukkelijk geen sprake van het ontvreemden van tegoeden van klanten. Daardoor wordt dus geen schade geleden. Wel is het mogelijk dat klanten tijdelijk geen transactie hebben kunnen uitvoeren. De schade van het niet op dat moment uit kunnen voeren van transacties valt moeilijk in te schatten.

Vraag 8

Wat is de omvang van de schade van deze cyberaanvallen op Nederlandse banken? Vinden deze aanvallen plaats om financiële fraude te verhullen of wordt hiermee een ideologisch doel gediend?

Zie antwoord vraag 7.

Vraag 9

Is er al contact geweest met de VS over de cyberaanvallen? Zo nee, waarom niet? Zo ja, welke afspraken zijn er gemaakt?

Ondermeer het NCSC en de AIVD hebben regelmatig contact met enerzijds het onder het Department of Homeland Security ressorterende US-Cert (Computer Emergency Response Team), en anderzijds de Amerikaanse Inlichtingen en Veiligheidsdiensten. In deze contacten wisselen het centrum en de diensten onder meer kennis en informatie uit. Ook gerubriceerde informatie over digitale aanvallen kan daarbij worden gedeeld. Over internationale samenwerking met deze diensten in concrete gevallen doen wij in het openbaar geen uitspraken.

Vraag 10

Is de Algemene Inlichtingen en Veiligheidsdienst (AIVD) in voldoende mate toegerust om met betrekking tot deze nieuwe vormen van terrorisme de veiligheid van Nederland te waarborgen en inlichtingen daaromtrent te vergaren?

Contraterrorisme en cyber security zijn, zowel afzonderlijk als in samenhang, prioriteiten van de AIVD. Om de technologische ontwikkelingen op dit gebied bij te houden zal daarin de komende jaren verder geïnvesteerd moeten worden.

Vraag 11

Welke concrete acties gaat u naar aanleiding van deze aanvallen nemen dan wel heeft u reeds genomen?

In onze brief d.d. 16 april heb ik samen met de Minister van Financiën de Tweede Kamer ingelicht over de ondernomen acties. In het kader van de actieve informatie-uitwisseling met de banken is het belangrijk dat met hen is afgesproken dat een liaison in het NCSC wordt geplaatst om de intensieve samenwerking te bestendigen. Daarnaast heb ik de Kamer geïnformeerd over het nog dit jaar actualiseren van de Nationale Cyber Security Strategie met als belangrijk onderdeel het samen met de AIVD en de MIVD op- en uitbouwen van een Nationaal Detectie en Response Netwerk. Daarnaast zal de aanpak van «Botnets» (netwerken van geïnfecteerde computers die gebruikt kunnen worden bij een (DDos) aanval) worden geïntensiveerd en zal het juridisch instrumentarium worden aangepast aan de ontwikkelingen in het digitale domein.

Vraag 1

Heeft u kennisgenomen van het bericht «Middenstand boos op KPN»?1

Ja.

Vraag 2

In hoeverre is het toegestaan om extra kosten te vragen voor storingen die door telecombedrijven zelf en buiten de schuld van de afnemer worden veroorzaakt?

Partijen zijn vrij om aanvullende service-afspraken te maken die verder gaan dan het standaardniveau van serviceverlening. Hierbij kan bijvoorbeeld worden gedacht aan een gegarandeerde hersteltijd van de storing of het verhelpen van de storing buiten kantooruren. Hiervoor kunnen door de aanbieder extra kosten in rekening worden gebracht. Bedrijven die hier geen gebruik van wensen te maken kunnen kiezen voor de standaard serviceverlening tegen een lager tarief. Dit laat uiteraard onverlet dat aanbieders van openbare telefoondiensten moeten voldoen aan de in de Telecommunicatiewet opgenomen vereisten omtrent beschikbaarheid van de dienst (zie antwoord vraag 3).

Vraag 3

Hebben telecombedrijven, waaronder KPN, niet de wettelijk plicht om standaard storingen te verhelpen en hier geen voorkeurseisen aan te verbinden?

Vanuit de Telecommunicatiewet (artikel 11a.1, tweede lid) geldt een zorgplicht voor aanbieders van openbare telefoondiensten om op netwerkniveau alle noodzakelijke maatregelen te nemen om de beschikbaarheid van de openbare telefoondienst zo volledig mogelijk te waarborgen. Onderbrekingen zijn nooit helemaal te voorkomen omdat technische systemen nu eenmaal (kunnen) falen. Een mate van risico-aanvaarding is hier aan de orde. Agentschap Telecom ziet toe op de naleving van deze verplichting en kan bij niet-naleving middelen inzetten om de aanbieder aan de wettelijke eisen te laten voldoen. Naast deze zorgplicht geldt wat partijen op contractuele basis hebben afgesproken over het gewenste serviceniveau van de dienst.

Vraag 4

Heeft u zicht op de totale extra kosten die het midden- en kleinbedrijf (MKB) moet maken door dergelijke aanvullende service eisen?

KPN heeft mij hierover cijfers verstrekt. Daaruit is gebleken dat 20.000 zakelijke klanten voor een aanvullend servicecontract hebben gekozen. De meerderheid van deze klanten (15.000) heeft een servicecontract die inhoudt dat ook buiten kantooruren aan de storing wordt gewerkt. Een dergelijk contract kost 6,68 euro per maand. In totaal gaat het om ongeveer 100.000 euro aan extra kosten per maand. Dit betreft dan alleen de zakelijke klanten van KPN. De overige 5.000 klanten hebben uitgebreidere servicecontracten waarin ook andere faciliteiten zijn opgenomen, zoals een bereikbaarheids- of een monitoringsonderzoek. De kosten van dergelijke contracten variëren tussen de 35 euro en 800 euro per maand.

Vraag 5

Bent u van plan om het MKB te beschermen tegen aanvullende kosten voor service die standaard geleverd moet worden?

Ik vind dat partijen de vrijheid moeten hebben om aanvullende afspraken te maken over verdergaande serviceverlening.
Daarnaast heeft KPN toegezegd dat naar aanleiding van deze kamervragen en de van zakelijke afnemers ontvangen signalen wordt bekeken of een kortere hersteltermijn zal worden gecommuniceerd. In de praktijk blijkt namelijk dat 75% van de incidenten in de zakelijke markt binnen 8 kantooruren wordt afgehandeld. Dit is aanzienlijk sneller dan de maximale hersteltermijn van vijf werkdagen die KPN nu communiceert met haar klanten (in deze specifieke kwestie bedroeg de hersteltermijn overigens 5 uur). Ik ben verheugd over deze praktijk van snelle storingsafhandeling. Als deze kortere hersteltermijn ook wordt gecommuniceerd naar de klanten van KPN, kunnen zij veel beter inschatten of een aanvullend servicecontract met snellere hersteltijden wel nodig is. Ook bekijkt KPN of zij aanvullende servicecontracten op een andere manier zullen aanbieden dan bij het melden van de storing door de klant.
De timing van het aanbieden van extra service lijkt mij relevant, omdat dit bij een storing niet goed kan vallen bij de ondernemer.
Tot slot bekijk ik momenteel of voor zakelijke gebruikers verdergaande bescherming nodig is. Dit naar aanleiding van uw vragen tijdens het Algemeen Overleg in de Tweede Kamer van 21 november vorig jaar, waarin u aangaf dat het voor mkb-bedrijven lastig is om over te stappen. Binnenkort wordt de Tweede Kamer hierover nader geïnformeerd.

Vraag 1

Bent u bekend met het bericht «EU, US go separate ways on cybersecurity»?1

Ja.

Vraag 2

Hoeveel schade wordt er jaarlijks geleden als gevolg van cybersecurity-incidenten?

De schade die jaarlijks in landen wordt geleden als gevolg van cybersecurity incidenten is niet goed vast te stellen omdat de schade bij veel verschillende partijen wordt geleden, niet eenduidig en volledig wordt gemeld, en naast economische schade ook imagoschade behelst.

Vraag 3

Is het waar dat de Verenigde Staten overwegen een regeling te introduceren, of deze al geïntroduceerd hebben, waarin de keuze cybersecurity-incidenten te melden, zoals bijvoorbeeld een lek in de beveiliging van data, aan bedrijven en instellingen wordt overgelaten op vrijwillige basis?

Op 12 februari 2013 stelde president Barack Obama een «executive order» vast waarin federale autoriteiten verplicht worden de informatiedeling over cybersecurity dreigingen met private bedrijven die kritieke infrastructuur ondersteunen te verbeteren. Vitale organisaties worden opgeroepen om op vrijwillige basis informatie over incidenten te delen. De uitwerking van de verschillende onderdelen van de «executive order» vindt in de komende maanden plaats.

Vraag 4

Is het waar dat de door de Europese Commissie voorgestelde richtlijn voorziet in een meldplicht van dit soort incidenten? Wat is uw oordeel over dit onderdeel van deze richtlijn?

Ja. Voor het standpunt van de regering over dit voorstel verwijs ik u naar het BNC-fiche dat op 15 maart 2013 naar uw Kamer is gezonden (Kamerstukken II 2012/2013, 22 112, nr. 1587).

Vraag 5

Hoe groot is de bereidwilligheid onder bedrijven tot het op vrijwillige basis melden van cybersecurity-incidenten, zoals bijvoorbeeld datalekken? Hoeveel meer incidenten zouden worden gemeld indien er sprake zou zijn van een verplichting?

De bereidheid onder organisaties tot het vrijwillig melden van cybersecurity incidenten neemt toe. In 2012 zijn er 364 incidenten gemeld bij het Nationaal Cyber Security Centrum. In 2011 waren dit er nog 236. Het aantal gemelde cybersecurity breaches is echter nog relatief beperkt. Het betreft hier inbreuken op de veiligheid en of integriteit van informatiesystemen die potentieel kunnen leiden tot maatschappelijke ontwrichting. Om deze reden wordt naar aanleiding van de motie Hennis-Plasschaert c.s. (Kamerstukken II 2011/2012, 26 643, nr. 202) door de minister van VenJ ontwerp-wetgeving voorbereid, die strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. In geval van datalekken gaat het om een inbreuk op beveiligingsmaatregelen voor persoonsgegevens, die leidt tot het verlies van persoonsgegevens. Ook voor datalekken geldt dat de bereidheid tot het vrijwillig melden ervan aan de toezichthouder of aan de betrokkene wiens persoonsgegevens het betreft, gering is. Bij het College bescherming persoonsgegevens zijn de afgelopen twee jaar drie datalekken door verantwoordelijken gemeld. De verwachting is dat een wettelijke verplichting het aantal meldingen zal doen toenemen.

Vraag 6

Wat is de invloed van de voorgestelde Amerikaanse regelgeving op de internetveiligheid van Nederlandse burgers, bedrijven en overheid? Leidt dit per saldo ertoe dat hun persoonlijke gegevens minder goed kunnen worden beschermd?

Elke maatregel die er op is gericht de bereidheid van organisaties tot het melden van cybersecurity incidenten te vergroten zal in principe bij kunnen dragen aan het verbeteren van de internetveiligheid. Het valt echter niet op voorhand te zeggen wat de gevolgen van de door de Verenigde Staten gemaakte keuzes zullen zijn.

Vraag 7

Deelt u de mening dat het uiteenlopen van deze regelgeving er niet toe zou moeten leiden dat de gegevens van Nederlandse burgers, bedrijven of zelfs staatsgevoelige informatie op straat komt te liggen? Hoe kan dat worden voorkomen?

Ik deel uw mening dat het onwenselijk is als gevoelige informatie op straat komt te liggen. In de «executive order» wordt ook specifiek gesteld dat de grondrechten (privacy en civil liberties) geborgd moeten worden bij het uitwerken van de maatregelen.

Vraag 8

Wat is de invloed van de voorgestelde regelgeving voor het handelsverkeer tussen de Verenigde Staten en Nederland? Leidt dit ertoe dat er handelsrestricties, al dan niet feitelijk, ontstaan waardoor het intercontinentale handelsverkeer wordt belemmerd?

De zowel in de VS als in de EU aangekondigde maatregelen met betrekking tot het melden van cybersecurity-incidenten hebben geen directe betrekking op het intercontinentale handelsverkeer. Het gaat om het al dan niet vrijwillig melden van incidenten vanuit de door de VS en de EU gedeelde noodzaak om tot een hoger niveau van netwerk- en informatiebeveiliging te komen. De meeste bedrijven nemen vanuit oogpunt van bedrijfszekerheid ook zelf al de nodige maatregelen. De eigen verantwoordelijkheid wordt door de in de VS en de EU aangekondigde maatregelen expliciet gemaakt.

Vraag 9

In hoeverre schaadt het uiteenlopen van de regelgeving de belangen van Nederlandse bedrijven? Bestaat hier verschil tussen bedrijven die wel en bedrijven die niet in de Verenigde Staten zijn gevestigd?

De manier waarop de maatregelen zijn opgesteld verschilt maar lijkt vanwege het beoogde materiële effect geen wezenlijk verschil te maken voor de positie van in de VS gevestigde Nederlandse bedrijven ten opzichte van de in de EU actief zijnde Nederlandse bedrijven. Niettemin zal het kabinet dit punt meenemen in de komende besprekingen van de ontwerprichtlijn van de EU.

Vraag 10

Welke risico’s ziet u voor de Europese ambitie cloud computing te stimuleren nu de regeling van de Verenigde Staten en de Europese Unie zo van elkaar verschillen?

Net als de VS heeft ook Europa ambities om cloud computing te stimuleren. Cloud computing is een relatief nieuwe ontwikkeling die kansen biedt voor efficienter en flexibeler werken. De globalisering van de opslag en het beheer van data, de juridische kaders die gelden en de wijze waarop eigenaar en beheerder van persoonsgegevens hun verantwoordelijkheden kunnen nemen, vraagt ook om om een goede borging van de privacy.
In de op 27 september 2012 gepubliceerde EU Cloud Strategie benoemt de Commissie de economische kansen maar ook de acties die nodig zijn in het kader van dataprotectie en de standaardisatie van privacy-aspecten in internationaal verband. De internationale dialoog over deze aspecten is van belang om zo ook buiten de EU de privacy te beschermen.

Vraag 11

Welke acties gaat u ondernemen naar aanleiding van deze informatie?

Het standpunt van de regering over voorstel voor richtlijn COM(2013)48 van de Europese Commissie is in een BNC-fiche naar uw Kamer gezonden op 15 maart 2013 (Kamerstukken II 2012/2013, 22 112, nr. 1587). Tevens bereidt het Ministerie van VenJ ontwerp-wetgeving voor, die zoals eerder gemeld strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. Op grond van de definitieve tekst van de EU richtlijn zal moeten worden bezien of en in welke mate deze nationale (ontwerp) wetgeving hiermee in overeenstemming is.
Hiernaast zal de staatssecretaris van VenJ, samen met de ministers van BZK en EZ, binnenkort een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens indienen dat strekt tot invoering van een wettelijke meldplicht voor datalekken. Daarnaast streeft het kabinet nationaal en internationaal naar een adequate balans tussen veiligheid, vrijheid en (economische) groei. In de nieuwe nationale cybersecuritystrategie en in de internationale arena is er aandacht voor deze balans en de genoemde risico’s.

Vraag 1

Bent u bekend met het nieuwsbericht dat journalist Brenno de Winter gevraagd is te getuigen over de hack op Groene Hart Ziekenhuis, waar documenten op een publiek toegankelijke internetserver stonden? Kunt u dit uitleggen hoe dit mogelijk is?1

De heer de Winter is door de politie uitgenodigd als getuige om in het kader van een strafrechtelijk onderzoek naar een hack bij het Groene Hart Ziekenhuis een aantal vragen van de politie te beantwoorden.
Een ieder waarvan wordt vermoed dat diens getuigenverklaringen kunnen bijdragen aan het oplossen van (ernstige) strafbare feiten, kan worden uitgenodigd voor een getuigenverhoor bij de politie. Zo’n getuigenis in de opsporingsfase gebeurt op basis van vrijwilligheid. Daarnaast geldt voor journalisten onverminderd het recht op bronbescherming waar zij zich op kunnen beroepen.

Vraag 2

Bent u bekent met de uitspraak van het Europese Hof voor de Rechten van de Mens van 2007 over de zaak Koen Voskuil?

Ja. In deze zaak werd een journalist tijdens de behandeling van een strafzaak in hoger beroep op vordering van de verdediging gegijzeld door het Hof Amsterdam omdat hij zijn bron niet bekend wilde maken. Het Hof in Straatsburg oordeelde dat de gijzeling een disproportionele schending had opgeleverd van het recht op bronbescherming van de journalist.
Ik zie geen samenhang met de kwestie waarop deze Kamervragen betrekking hebben, namelijk de uitnodiging aan de journalist Brenno de Winter om vragen van de politie te beantwoorden in een lopend strafrechtelijk onderzoek. Van inbreuk op de bronbescherming van de journalist is in dit geval geen sprake. Dit geldt in het bijzonder nu de aangehouden hacker zichzelf reeds aan de politie kenbaar had gemaakt als bron van de journalist.

Vraag 3

Hoe staat het in Nederland met het verschoningsrecht van journalisten als gevolg van onder andere deze uitspraak? In hoeverre is de betreffende uitspraak in wetgeving omgezet?

De diverse uitspraken van het EHRM over de bronbescherming en het verschoningsrecht van journalisten worden als leidend beschouwd bij het opsporings- en vervolgingsbeleid van de politie en justitie in Nederland voor zover hierbij een journalist betrokken is. Zo is in 2012 de Aanwijzing toepassing dwangmiddelen tegen journalisten van het College van procureurs-generaal aangepast mede naar aanleiding van het Sanoma-arrest van het EHRM van 14 september 2010.
Eveneens naar aanleiding van het Sanoma-arrest is een aanvulling van het wetsvoorstel Bronbescherming in voorbereiding genomen, waarin voorafgaande rechterlijke toetsing van dwangmiddelen tegen verschoningsgerechtigden is opgenomen. Zoals in de brief van 7 december 2012 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, mede namens mij, is aangekondigd, is inmiddels een aanvullend advies gevraagd aan de Raad van State (Kamerstukken II, vergaderjaar 2012–2013, 30977, nr.2. De voorbereiding van het wetsvoorstel is aangehouden omdat wij de uitspraak van het EHRM in de zaak van De Telegraaf tegen de Staat wilden afwachten teneinde met de resultaten daarvan tijdig rekening te kunnen houden. In dezelfde brief treft u de conclusies die wij aan het arrest hebben verbonden.

Vraag 4

Weet u dat in een korte tijd meerdere kwetsbaarheden bij zorggerelateerde instellingen aan het licht zijn gebracht? Is het beleid om iedereen die een misstand aan het licht brengt te vervolgen? Zijn er ook omstandigheden denkbaar waarbij u samenwerkt met deze personen met als hoger doel kwetsbaarheden in de beveiliging van computersystemen te voorkomen en bestrijden?

Ja, dat is bekend. Het is goed wanneer kwetsbaarheden bij zorggerelateerde instellingen aan het licht worden gebracht. Dat neemt niet weg dat, indien het aantonen van kwetsbaarheden gepaard gaat met een strafbaar feit, dit strafrechtelijk kan worden onderzocht door het openbaar ministerie. Dit vloeit voort uit het zeer zwaarwegend maatschappelijk belang dat gemoeid is met de bescherming van gevoelige persoonsgegevens zoals medische informatie.
Bij een hack uit «ethische» motieven kan sprake zijn van het ontbreken van de materiële wederrechtelijkheid, dat wil zeggen dat de verdachte het feit bewijsbaar heeft begaan maar dat hij hiervoor niet strafbaar is. Er moet dan wel zijn gebleken dat er voor de hacker geen andere (minder ingrijpende) methoden voorhanden waren om de kwetsbaarheden aan te tonen en dat hij hierbij de nodige zorgvuldigheid heeft betracht; belangen van derden mogen niet onnodig zijn geschonden. In deze zaak waren er redenen om te twijfelen aan de zorgvuldigheid en de ethische motieven van de verdachte.
Bij het Team High Tech Crime van de Nederlandse Politie werken personen die over dezelfde vaardigheden beschikken als hackers. Zij spelen een belangrijke rol in de opsporing van ernstigere vormen van cybercrime.

Vraag 5

Bent u bekend met het richtsnoer van het College bescherming persoonsgegevens met betrekking tot de NEN-7510 norm (de door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland)? Deelt u de visie van experts dat de NEN-norm de minimale basis voor beveiliging in de zorg vormt? Zo nee, waarom niet?

Ik ben bekend met de Richtsnoeren Beveiliging van het College bescherming persoonsgegevens (CBP). Zorgaanbieders zijn verantwoordelijk voor de juistheid, actualiteit en beveiliging van de zorginhoudelijke gegevens. In artikel 13 van de Wet bescherming persoonsgegevens (Wbp) staat deze verplichting tot beveiliging in algemene zin opgenomen. Specifiek voor informatiebeveiliging in de zorg zijn normen beschikbaar van het Nederlands Normalisatie-instituut, te weten NEN-normen 7510 tot en met 7513. Op 21 december 2012 is het wetsvoorstel inzake cliëntenrechten bij elektronische verwerking van gegevens aangeboden aan uw Kamer (Kamerstukken II, vergaderjaar 2012–2013, 33509, nr.3. Naar de genoemde NEN-normen zal in de algemene maatregel van bestuur op grond van artikel 26 Wbp dwingend worden verwezen.
De Inspectie voor de gezondheidszorg (IGZ) houdt zorgbreed risicogericht toezicht. Er worden geen lijsten bijgehouden van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm. Uiteraard wordt wel een overzicht bijgehouden van zorgaanbieders waar de IGZ inspecties heeft uitgevoerd. In haar toezicht op de informatiebeveiliging door zorginstellingen betrekt de IGZ ook de NEN-normen. In 2003 en in 2007 heeft de IGZ telkens bij 20 Nederlandse ziekenhuizen een onderzoek uitgevoerd naar de mate van informatiebeveiliging. Het onderzoek in 2007 heeft de IGZ overigens samen met het CBP uitgevoerd. De onderzoeksresultaten waren voor de IGZ aanleiding om vervolgens aan alle ziekenhuizen te vragen zich in 2010 extern te laten auditen op de mate van informatiebeveiliging. Alle ziekenhuizen hebben hieraan gehoor gegeven en hebben toen uiteindelijk een voldoende score laten zien.
Voorwaarde voor aansluiting op de zorginfrastructuur (voorheen het Landelijk Schakelpunt) is dat het zorginformatiesysteem van de zorgaanbieder, en het gebruik daarvan, voldoet aan de eisen van een goed beheerd zorgsysteem (GBZ). Deze GBZ-eisen zijn onder andere gebaseerd op relevante onderdelen van de NEN-norm 7510. Op sommige onderdelen zijn specifiekere eisen gesteld. Het is aan de zorgaanbieder om aan deze eisen te voldoen.
Het is overigens aan de verantwoordelijke van het informatiesysteem om te borgen dat de informatie-uitwisseling tussen zorgaanbieders voldoet aan geldende wet- en regelgeving. Hier wordt ook strikt op toegezien; enerzijds ziet het CBP toe op de naleving van de Wbp en aanverwante wetten, anderzijds ziet de IGZ erop toe dat er verantwoorde zorg wordt geleverd en dat de beveiliging van medische dossiers op orde is. Het toezicht op de informatiebeveiliging is momenteel voldoende belegd bij de IGZ en het CBP en de huidige wettelijke bepalingen en bestaande veldnormen bieden voldoende aanknopingspunten voor toezicht op de beveiliging van medische dossiers.

Vraag 6

Kunt u een actuele lijst samenstellen van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm, waar deze toetsing niet heeft plaatsgevonden en wat de resultaten van de toetsing is geweest? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 7

Bent u van mening dat het mogelijk is te beginnen met een Landelijk elektronisch patiëntendossier (EPD) of een Landelijk Schakelpunt op het moment dat een aangesloten zorgverlener of zorginstelling niet aan de NEN-norm voldoet? Kunt u uw antwoord toelichten?

Zie antwoord vraag 5.

Vraag 8

Welke capaciteit wordt door de overheid ingezet voor het afdwingen van deze NEN-norm en het verlenen ondersteuning daarbij?

Zie antwoord vraag 5.

Vraag 9

Welk prioritering geeft de overheid aan het naleven van beveiligingsnormen binnen het zorgdomein in relatie tot het aanpakken van hackers die actief lekken kenbaar maken?

Dit onderwerp krijgt momenteel nadrukkelijk de aandacht van de overheid en van het veld. Zoals ik reeds heb aangegeven in de «Leidraad om te komen tot een praktijk van responsible disclosure» (Kamerstukken II, vergaderjaar 2012–2013, 26 643, nr. 264) kan responsible disclosure een belangrijk middel zijn om bij te dragen aan ICT-beveiliging. Door een kwetsbaarheid op een meer besloten wijze en in samenwerking met de getroffen organisatie kenbaar te maken (de verantwoorde of «responsible» disclosure) kunnen de gevolgen voor deze organisatie beperkt worden terwijl ook het publieke belang wordt gediend. Dit heeft nadrukkelijk de voorkeur boven het direct volledig publiekelijk bekend maken van een kwetsbaarheid (full disclosure). De door het Nationaal Cyber Security Centrum (NCSC) opgestelde leidraad dient dan ook om het toepassen van responsible disclosure bij alle partijen te stimuleren. Deze zal in de Zorg Information Sharing and Analysis Center (ISAC) onder de aandacht worden gebracht van het zorgveld.
Overigens wordt er gewerkt aan een meldplicht voor datalekken die inhoudt dat datalekken onder meer moeten worden gemeld bij het CBP. Dit is verwerkt in het wetsvoorstel «Gebruik camerabeelden en meldplicht datalekken» van de Staatssecretaris van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

Vraag 10

Hoeveel opsporingscapaciteit is ingezet bij het opsporen van hackers die kwetsbaarheden bij het Groene Hart Ziekenhuis hebben aangetoond?

Het onderzoek naar de hack op het Groene Hartziekenhuis is nog niet afgerond. Om die reden kan ik geen uitspraken doen over de hoeveelheid opsporingscapaciteit die is ingezet bij het opsporen van de hackers.

Vraag 1

Herinnert u zich de nog niet beantwoorde eerdere vragen over de aanpak van illegale aanbieders van kansspelen op internet en vooral de activiteiten van 7Red.com?1 Kent u ook het bericht «Gokreclames 7Red.com verboden»?2

Ja.

Vraag 2

Kent u de reclame van het online gokbedrijf Royaalcasino.com zoals uitgezonden op de op Nederland gerichte tv-zender van National Geographic en de websites?3 Zo ja, voldoen deze websites aan de prioriteringscriteria, te weten het hebben van een nl.site of het aanbieden van de site in de Nederlandse taal of reclame maken op radio, televisie en in geprinte media op grond waarvan de Kansspelautoriteit online goksites zegt aan te pakken? Zo nee, zou u zich dan op de hoogte willen stellen van deze reclame en websites?

Het is sinds 1 april 2012 aan de kansspelautoriteit (ksa) om toe te zien op de naleving van de Wet op de kansspelen (Wok), waaronder de regels ten aanzien van werving en reclame. De ksa laat mij weten de betreffende reclame te kennen. Het is aan de ksa om te bepalen hoe zij omgaat met de handhaving van de Wok.

Vraag 3

Over welke mogelijkheden beschikt de Kansspelautoriteit om illegale gokreclames op te sporen?

De medewerkers van de ksa houden via internet actief zicht op reclame-uitingen. Daarnaast ontvangen zij meldingen van burgers, bedrijven en organisaties over gokreclames.

Vraag 4

Op welke wijze kan de Kansspelautoriteit daadwerkelijk boetes opleggen en vooral ook innen bij gokbedrijven die gevestigd zijn in andere landen zoals Costa Rica, Malta of Curaçao? Hoe werken dergelijke inningsprocedures in de praktijk?

De ksa beschikt over een bestuurlijk handhavingsinstrumentarium, waaronder het opleggen van bestuurlijke boetes. Indien buitenlandse illegale aanbieders weigeren een bestuurlijke boete te betalen, is – zonder verhaalsmogelijkheden in Nederland – bestuursrechtelijke handhaving minder effectief. De ksa kan niet in het buitenland de betaling van bestuurlijke boetes afdwingen. Inzetten van het strafrecht is grensoverschrijdend mogelijk, maar wordt gezien als ultimum remedium (in die gevallen waarin sprake is van meervoudige of herhaalde overtredingen, van verwevenheid met andere criminele activiteiten en/of waarin de behoefte bestaat aan de toepassing van strafvorderlijke dwangmiddelen en bevoegdheden of het opleggen van specifiek strafrechtelijke sancties). Bij de ontwikkeling van het wetsvoorstel kansspelen op afstand bekijk ik welke aanvullende bevoegdheden de effectiviteit van de handhaving van de ksa verder kunnen versterken.

Vraag 1

Bent u bekend met het bericht «IJsland wil porno blokkeren»?1

Ja.

Vraag 2

Wat is uw reactie op het besluit van de IJslandse regering om op internet pornografie te blokkeren, om schadelijke effecten voor kinderen die porno zien te voorkomen?

Er zijn nu nog geen vastomlijnde plannen in IJsland om pornografie op internet te blokkeren. Op dit moment worden alleen de mogelijkheden daartoe onderzocht.

Vraag 3

Hoe zit de beoogde maatregel in IJsland in elkaar? Wat is de achterliggende gedachte achter deze maatregel? Welk doel dient de blokkade? Op welke wijze kan er een blokkade worden bewerkstelligd?

De IJslandse minister van Binnenlandse Zaken heeft een werkgroep gevormd die hem moet adviseren hoe de verspreiding van pornografie op internet kan worden tegengegaan. Volgens het IJslandse «Commissariaat voor de Media» wordt onder meer gedacht aan media-educatie, aanpassing van de definitie van porno in de bestaande wetgeving, het filteren van websites, het blokkeren van IP-adressen van pornosites en een verbod op het gebruik van IJslandse creditcards voor de toegang tot bepaalde websites. Een eventueel verbod op pornografie op internet zou de huidige IJslandse wet tegen het importeren, publiceren en distribueren van pornografisch materiaal in de fysieke wereld complementeren. In IJsland is veel discussie over de mogelijk schadelijke effecten van gewelddadige vormen van pornografie, met name voor jonge jongens. Uit de nationale consultatie van politici, in zedenzaken gespecialiseerde advocaten en professionals op het gebied van onderwijs en gezondheid is gebleken dat in IJsland draagvlak bestaat voor het blokkeren van porno op internet. Of het blokkeren van pornografie op internet ook technisch waterdicht te realiseren is, zal nog worden bezien.

Vraag 4

Bent u bereid het onderzoek waar de IJslandse regering naar verwijst, voorzien van uw reactie, naar de Kamer te sturen? In hoeverre is dit onderzoek van toepassing op de Nederlandse situatie?

De IJslandse regering verwijst naar het boek Pornland. How porn has hijacked our sexuality. Volgens de auteur dr. Gail Dines vertonen kinderen die op jonge leeftijd geconfronteerd worden met gewelddadige porno, dezelfde tekenen van trauma als kinderen die seksueel misbruikt zijn. De betreffende publicatie vormt echter geen weerslag van eigen wetenschappelijk onderzoek, maar biedt een interpretatie van visies op de rol van porno en erotiek vanuit een feministische grondslag. Ons is ook geen ander onderzoek bekend waaruit een vergelijkbaar traumatische effect van gewelddadige porno zou blijken als bij kinderen die seksueel misbruikt zijn. Ook de door ons geraadpleegde experts op het gebied van jeugd en media geven aan dergelijk onderzoek niet te kennen.

Vraag 5

Wat is er bekend over de invloed van porno op kinderen in Nederland?

Vanwege ethische bezwaren is in Nederland, noch in het buitenland ooit experimenteel onderzoek gedaan naar de directe invloed van pornografische beelden op kinderen. Wel zijn de statistische verbanden – ook longitudinaal – onderzocht bij vooral jongeren ouder dan 12 jaar die pornografische beelden hebben gezien. Uit onderzoek in 2011 van het kenniscentrum Rutgers WPF en het Nederlands Jeugd Instituut blijkt onder meer een wederkerig verband tussen het kijken naar porno enerzijds en seksuele belangstelling en seksueel gedrag anderzijds: jongens die meer in seks geïnteresseerd zijn en meer ervaring hebben, kijken meer naar porno en het kijken naar porno stimuleert vervolgens ook hun seksuele interesse. Bij meisjes wordt in deze studie nauwelijks een verband met kijken naar pornografische beelden gevonden. Onderzoek van de Universiteit van Amsterdam uit 2008 en 2009 toont longitudinale verbanden aan tussen het kijken naar porno en een positievere attitude tegenover seks buiten een relatie, minder tevredenheid over het eigen seksleven, meer onzekerheid over seksualiteit en de perceptie van vrouwen als lustobject. Daarbij moet wel de kanttekening geplaatst worden dat er naast het kijken naar porno veel andere factoren zijn die de seksuele ontwikkeling van jongeren beïnvloeden.

Vraag 6

Wat is er bekend over de omvang van het aantal kinderen in Nederland dat porno op hun mobiele telefoons bekijkt?

Er zijn wel cijfers over het percentage Nederlandse kinderen dat wel eens porno heeft gezien, maar niet specifiek voor het medium mobiele telefoons. Rutgers WPF en SOA Aids Nederland vonden in hun onderzoek Seks onder je 25ste (2012) dat twee derde van de 12- tot 14-jarige jongens en een vijfde van de meisjes in deze leeftijdscategorie het afgelopen half jaar porno heeft gezien, meestal op het internet. Het Sociaal en Cultureel Planbureau concludeerde op basis van het EU Kids Online onderzoek in 2011 dat ongeveer twee vijfde van de 9- tot 16-jarige internetgebruikers in aanraking komt met pornografische beelden (39%), zowel via internet (22%) als via televisie en film. Van deze jongeren blijkt 5% van streek te raken door het zien van seksueel getinte beelden. Nog lopend onderzoek van het lectoraat Cybersafety van de NHL Hogeschool onder kinderen en jongeren liet in 2012 zien dat 19% van de kinderen op de basisschool wel eens seksueel expliciet beeldmateriaal op internet heeft gezien.

Vraag 7

In hoeverre wordt er in Nederland bij hulpverleningsinstanties om hulp gevraagd als het gaat om de schadelijke gevolgen voor kinderen die porno te zien krijgen? In hoeverre is er op dit gebied hulpaanbod?

Er zijn geen cijfers beschikbaar over dit specifieke beroep op hulpverleningsinstanties. De digitale wereld kent niet alleen veel kansen; aan (verkeerd) gebruik zijn ook risico’s verbonden. Om jongeren op het terrein van seksualiteit meer bewust te maken van de risico’s van social media en internet is er in het lespakket «Lang leve de liefde» een module mediawijsheid «Jij en de media» opgenomen. Dit lespakket wordt op veel middelbare scholen en ROC’s gebruikt. Het is van belang dat jongeren en hun ouders mediawijs zijn. Dit wil zeggen dat jongeren en hun ouders over kennis, vaardigheden en een mentaliteit moeten beschikken, waarmee zij zich bewust, kritisch en actief kunnen bewegen in de digitale wereld. Verschillende ministeries zetten zich in om de mediawijsheid te vergroten. Op initiatief van het ministerie van Onderwijs, Cultuur en Wetenschap en het toenmalige ministerie voor Jeugd en Gezin is in 2008 het expertisecentrum Mediawijzer.net opgezet, dat de mediawijsheid van Nederlandse burgers en organisaties beoogt te bevorderen. Het is van belang dat mediawijsheid ook een onderdeel vormt van de opvoeding. Daarom onderhoudt Mediawijzer.net relaties met organisaties die ouders en opvoeders voorzien van informatie over allerlei thema’s, waaronder seksuele beelden en seksueel gedrag via het internet.

Vraag 8

Wordt er in Nederland onderzoek gedaan naar de schadelijke effecten voor kinderen die porno te zien krijgen? Zo nee, bent u bereid hier onderzoek naar te doen? Zo, ja bent u bereid dit onderzoek naar de Kamer te sturen?

Zoals aangeven in antwoord op vraag 5 wordt geen direct experimenteel onderzoek gedaan, maar worden wel de statistische verbanden onderzocht bij kinderen en jongeren die naar pornografische beelden hebben gekeken. Op dit moment loopt het onderzoek van de NHL Hogeschool, die met een tweede meting gestart is. De resultaten van dit onderzoek worden in september 2013 verwacht. Het entameren van aanvullend onderzoek achten de staatssecretaris van Volksgezondheid, Welzijn en Sport en ik niet noodzakelijk.

Vraag 1

Wat is uw reactie op het artikel «Overheid laks na aanval door botnet» waarin wordt belicht dat de overheid niet adequaat heeft opgetreden nadat zij was ingelicht dat duizenden bedrijven en overheidsinstellingen slachtoffer zijn geworden van cybercriminelen?1

Het artikel «Overheid laks na aanval door botnet» suggereert dat er door de overheid niets is en wordt gedaan aan de aanval door een botnet. Deze suggestie is onjuist.
Het NCSC heeft Digital Investigation verzocht om het gedeelte van de dataset te leveren dat nodig is om respons naar zijn achterban van overheid en vitale sectoren mogelijk te maken. Deze gegevens zijn op 8 december 2012 aangeleverd. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden, het NCSC heeft geen rechtsbasis om deze inhoudelijke en mogelijk gevoelige gegevens in te zien en te verwerken. De informatie was immers oorspronkelijk afkomstig van een misdrijf en bevatte persoonlijke gegevens en informatie waarvan de betrouwbaarheid en herkomst niet kon worden vastgesteld. Tevens stond niet vast stond hoe Digital Investigation deze informatie had verkregen.
De van Digital Investigation ontvangen IP-adressen zijn in december 2012 gecontroleerd op aanwezigheid in de bij het NCSC bekende IP-ranges (reeksen van door het departement of de instelling gebruikte IP-adressen) van departementen en instellingen binnen de doelgroep van het NCSC: de overheid en de vitale sectoren. Naar aanleiding van de resultaten hiervan zijn een zestiental departementen en instellingen actief geïnformeerd over een mogelijke besmetting omdat een match met mogelijk besmette IP-adressen werd vastgesteld in de IP-range.

Vraag 2

Wat zijn de risico’s nu blijkt dat cybercriminelen informatie hebben buitgemaakt van instellingen die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen? Hoe treedt u op tegen deze gevaren?

Zie antwoord 8

Vraag 3

Waarom heeft de politie besloten geen verder onderzoek te doen naar de melding van deze aanval? Waarom heeft de politie niet gevraagd om een leesbare kopie van de harddisk met de gestolen informatie? Deelt u de mening dat het verloop van deze kwestie niet bijdraagt aan het vergroten van het besef bij bedrijven en instellingen dat het melden van cybercrime van groot belang is?

Door de Politie wordt permanent onderzoek gedaan naar botnets. Begin augustus 2012 werd een groot aantal, voornamelijk Nederlandse bedrijven en (overheids)-instellingen getroffen door de uitbraak van een computervirus met de naam Dorifel. Gelet op de impact van de virusuitbraak, werd daar een onderzoek naar ingesteld door het Team High Tech Crime (THTC) van de Landelijke Eenheid van de Politie.
In dit onderzoek bleek dat het Dorifel-virus werd verspreid middels een botnet dat gebruik maakt van de zogenaamde Citadel-malware. Het onderzoek richt zich (tevens) op de identificatie van het criminele samenwerkingsverband achter het specifieke Citadel-botnet waarmee het Dorifel-virus werd verspreid.
In oktober 2012 kreeg het IT-beveiligingsbedrijf Digital Investigation via Leaseweb de beschikking over de inhoud van een command & controlserver van een Citadel-botnet (met de naam Pobelka). Omdat vermoed werd dat deze command & controlserver gerelateerd was aan de uitbraak van het Dorifel-virus, werd door Digital Investigation contact opgenomen met THTC en werd aangeboden om de gegevens van de command & control-server aan THTC te verstrekken. Op 16 oktober 2012 is door medewerkers van THTC een bezoek gebracht aan Digital Investigation. Door Digital Investigation is een kopie van de data op een harde schijf aan THTC overhandigd. Naar later bleek was deze schijf niet leesbaar. Daarna is op 20 november 2012 door medewerkers van THTC wederom een bezoek gebracht aan Digital Investigations. In dat gesprek kwam naar voren dat er geen directe relatie gelegd kon worden met de uitbraak van het Dorifel-virus. Derhalve is door THTC niet om een nieuwe kopie van de data verzocht. Wel bleek uit het onderzoek van Digital Investigation dat een groot aantal Nederlandse bedrijven besmet was met de Citadel-malware, hierop is door het THTC geadviseerd om contact op te nemen met het NCSC.
Ik ben met u van mening dat het melden van cybercrime van groot belang is. Naar mijn oordeel doet deze casus geen afbreuk aan het besef bij bedrijven dat het melden van cybercrime van groot belang is.

Vraag 4

Deelt u de mening dat met de gestolen gegevens heel Nederland platgelegd kan worden? Kunt u uw antwoord toelichten?

Zie antwoord 8

Vraag 5

Wat is de reden dat besmette bedrijven niet actief zijn gealarmeerd? Zijn inmiddels alle getroffen bedrijven ingelicht?

Het NCSC heeft op 8 december direct actie ondernomen door na overleg met Digital Investigation dat gedeelte van de dataset in ontvangst te nemen dat noodzakelijk is voor de respons. Dit gedeelte van de dataset betrof de IP-adressen, de computernamen en de tijdstippen waarop de geïnfecteerde computers actief waren binnen het botnet. Dit heeft het NCSC gedaan op grond van haar bestaande taken en bevoegdheden. Op basis van deze gegevens heeft het NCSC voor de partijen waar zij verantwoordelijk voor is, de Rijksoverheid en de vitale sectoren, onderzocht of er, in de bij het NCSC bekende IP-ranges, IP-adressen aanwezig waren. Zo konden deze, wanneer zij getroffen waren, gericht worden geïnformeerd. Het NCSC heeft daarnaast partners als Internet Service Providers (ISP) gewezen op de informatie over het botnet, zodat zij konden nagaan of klanten en andere partijen waar zij een vertrouwensrelatie mee hebben uit hun achterban getroffen waren. In 16 gevallen is er door het NCSC gericht gealerteerd; dit betrof partijen waarvan de zogeheten IP-ranges (de reeksen van IP-adressen die door deze partijen worden gebruikt) bekend waren bij het NCSC. Indien deze IP-adressen niet bekend zijn bij het NCSC, is het onmogelijk om gericht te kunnen alerteren.

Vraag 6

Hoe kan het dat het Nationaal Cyber Security Centrum (NCSC) zegt dat de organisaties uit de vitale infrastructuur door hen zijn gewaarschuwd, terwijl uit de steekproef van de NOS blijkt dat dit niet het geval is?

Zie antwoord 5

Vraag 7

Op basis waarvan heeft het NCSC besloten de gestolen informatie niet aan te mogen nemen? Bent u van mening dat bij directe dreiging de NCSC de bevoegdheid moet hebben om informatie te kunnen inzien? Zo ja, bent u voornemens dit mogelijk te maken?

In zijn algemeenheid ben ik van mening dat de overheid op terughoudende wijze dient om te gaan met onrechtmatig verkregen informatie, zeker als dit informatie betreft die de persoonlijke levenssfeer raakt. Het NCSC kon op grond van haar bestaande taken en bevoegdheden de informatie niet in ontvangst nemen en heeft daar ook geen rechtsbasis voor. Daarbij stond niet vast hoe Digital Investigation deze informatie had verkregen. Om dit belangrijke werk nu en in de toekomst effectief te kunnen blijven doen, zal nog dit jaar gewerkt worden aan het helder duiden van de taken en bevoegdheden van het NCSC. Juridisch verkend zal worden hoe het NCSC op een zorgvuldige wijze kan omgaan met de informatie die het NCSC vanuit de ICT-community bereikt. Daarbij zal worden gekeken hoe en op welke rechtsbasis het NCSC gegevens kan verwerken om de impact van dreigingen in het digitale domein op de nationale veiligheid te beperken. Hiermee wil ik er onder meer voor zorgen dat het NCSC haar rol als Computer Emergency Response Team (CERT) blijvend adequaat kan invullen.

Vraag 8

Bestaat het risico dat de verkregen gegevens gebruikt kunnen worden voor het afpersen van bij kritieke bedrijfsprocessen betrokken personen? Kunt u uw antwoord toelichten?

Nu onderdelen van de dataset in de openbaarheid zijn gekomen en daarmee het risico van misbruik groter is geworden, is door een aantal partijen de suggestie gewekt dat hierbij mogelijk grote belangen geschaad zouden zijn. Om deze reden is het van belang om de dataset in een brede context te analyseren en de potentiële impact van gegevens in de dataset in te schatten. Vanuit zijn coördinerende rol heeft de NCTV partijen die, vanuit eigen mandaat en verantwoordelijkheid, aan de analyse meedoen bij elkaar gebracht. De eerste resultaten van dit onderzoek zullen naar verwachting in de 2e helft van maart beschikbaar zijn. In afwachting van de resultaten van het onderzoek is het niet mogelijk om een gefundeerd antwoord te geven op vragen over de potentiële impact van de gegevens en de handelingen die actoren hiermee zouden kunnen verrichten. Ook is een strafrechtelijk onderzoek opgestart. De doelstelling van dit onderzoek is om tot een identificatie te komen van de beheerders van het Pobelka-botnet, die tevens verantwoordelijk moeten worden gehouden door het wegnemen van de 750 GB aan data.

Vraag 1

Kent u het bericht «Spoorvervoerders maken opnieuw bezwaar tegen uitrol 4G»?1

Vraag 2

Herinnert u zich uw antwoorden op eerdere schriftelijke Kamervragen van het lid Slob over dit onderwerp?2

Vraag 3

Wat is de stand van zaken van het overleg over het interferentieprobleem tussen beide betrokken ministeries, de publieke mobiele netwerkbeheerders, ProRail en de vervoerders?

Vraag 4

Klopt het dat ambtenaren van uw ministeries tegen de vervoerders hebben gezegd dat ook zij water bij de wijn moeten doen en dat zij dus mee moeten betalen aan een oplossing voor het interferentieprobleem? Staat dat niet op gespannen voet met de Europese interoperabiliteitseisen die een vrije toegang voor goederentreinen tot het Nederlandse spoorwegnet garanderen? Deelt u de mening dat dit de toegankelijkheid van Nederland voor Europese vervoerders kan beperken?

Vraag 5

Is inmiddels duidelijk of het noodzakelijk is om de reisinformatieborden van infoplus te voorzien van andere filters of bekabelde oplossingen wanneer gebruik gemaakt gaat worden van nieuwe breedbrand-technologieën zoals UMTS? Wat zijn indicatief de kosten hiervan?

Vraag 6

Deelt u de mening dat de kosten die gemoeid zijn met het nemen van maatregelen om de interferentieproblematiek te voorkomen, zullen moeten worden betaald door de veroorzakers, of uit de opbrengsten van de geveilde GSM-frequenties? Kunt u betaling door de veroorzakers, te weten de telecomoperators, juridisch afdwingen?

Vraag 7

Wat zijn de resultaten van het onderzoek naar de juridische mogelijkheden om plaatsing van verbeterde GSM-R-treinradioapparatuur in treinen voor te schrijven aan vervoerders en materieel-eigenaren?

Vraag 8

Wordt er onderzocht of nieuwe belemmeringen voor toegang van Europese vervoerders tot het Nederlandse net onder de bestaande Europese wetgeving mogelijk zijn? Of wordt er onderzocht of er bij andere EU lidstaten draagvlak is om de Europese regelgeving inzake GSM-R aan te passen vanwege de Nederlandse problemen?

Vraag 9

Is het begrip «passende bescherming» uit de vergunningsvoorwaarden zoals aangekondigd in uw eerdere antwoorden inmiddels geconcretiseerd? Zo nee, waarom niet en wanneer gaat dit wel gebeuren? Wat is uw mening over de voorstellen van Koninklijk Nederlands Vervoer op dit punt?

Vraag 10

Is het onderzoek naar haalbaarheid en doelmatigheid van generieke plafonds voor de signaalsterkte van publieke mobiele netwerkbeheerders in publiekrechtelijke regelgeving inmiddels afgerond? Is in dit onderzoek ook gekeken naar de mogelijkheid om de maximale zendniveaus van de publieke mobiele netwerkbeheerders in de buurt van het spoor (dus niet landelijk maar locatiespecifiek) te beperken tot een dusdanig niveau dat interferentie wordt voorkomen?

Vraag 11

Heeft het in uw eerdere antwoorden genoemde Europese overleg over het interferentieprobleem tussen de spoorsector, de Europese Commissie en het Europese Spoorwegagentschap al tot resultaten geleid? Zo nee, wanneer verwacht u dat er conclusies worden getrokken?

Vraag 12

Wanneer zullen de 4G-frequenties in gebruik genomen worden? Kunt u toezeggen dat er ruim voor die tijd een oplossing is voor de interferentieproblemen?

Vraag 1

Wat is uw reactie op het artikel «CBP tikt publieke omroep op vingers om cookiemuur» waarin Het College Bescherming Persoonsgegevens (CBP) de publieke omroep op de vingers tikt vanwege de cookiemuur die op alle publieke sites te vinden is?1

OPTA is belast met het toezicht op naleving van de cookiebepaling. Het is dus aan OPTA om een oordeel te vellen over de rechtmatigheid van de handelwijze van de NPO in het licht van de cookiebepaling. OPTA ziet daarbij toe op de eisen die volgen uit artikel 11.7a van de Telecommunicatiewet dat een ieder die cookies wenst te plaatsen hierover de gebruiker moet informeren en daartoe toestemming moet hebben verkregen.
In het geval er tevens sprake is van de verwerking van persoonsgegevens is daarnaast het CBP als toezichthouder bevoegd, omdat dan ook de Wet bescherming persoonsgegevens van toepassing is. Hierbij speelt het in artikel 11.7a, eerste lid, van de Telecommunicatiewet opgenomen rechtsvermoeden een rol. Het CBP mag aannemen dat er bij de door de Ster geplaatste tracking cookies sprake is van de verwerking van persoonsgegevens, tenzij de NPO, respectievelijk de Ster aantoont dat er in dit geval geen sprake is van de verwerking van persoonsgegevens. Het rechtsvermoeden in de cookiebepaling brengt niet met zich mee dat er bij tracking cookies per definitie sprake behoeft te zijn van verwerking van persoonsgegevens. Het rechtsvermoeden blijft weerlegbaar, het legt alleen de bewijslast bij de cookieplaatser. Alleen als de NPO niet kan aantonen dat de verzamelde gegevens niet herleidbaar zijn tot een identificeerbaar natuurlijk persoon is sprake van verwerking van persoonsgegevens die aan de eisen van de Wet bescherming persoonsgegevens moet voldoen.

Vraag 2

Hoe kijkt u naar de reactie van de NPO2 die schetst dat in eerste instantie het probleem in de cookiewet zit en dat daarnaast de verschillende instanties (CBP en Opta) diverse standpunten innemen op dit onderwerp?

Het is duidelijk dat er in de praktijk enige knelpunten zijn met de cookiebepaling. Daarom heb ik de Kamer ook toegezegd te bekijken welke mogelijkheden er zijn om tot een structurele oplossing van deze knelpunten te komen. Ik heb daarbij aangegeven binnen een maand meer duidelijkheid te verschaffen. De discussie over de manier waarop de NPO de wettelijke verplichting om toestemming te vragen heeft geïmplementeerd, ziet echter vooral op de keuze van de NPO om bezoekers geen toegang te verlenen tot de site indien zij geen toestemming geven voor het gebruik van (tracking) cookies. De cookiebepaling dwingt geenszins tot een dergelijke keuze.
OPTA en CBP hebben laten weten intensief onderling overleg te hebben gevoerd ten aanzien van dit onderwerp. Ook hebben zij aangegeven ten aanzien van dit onderwerp intensief te hebben samengewerkt en dat te zullen blijven doen. Van diverse (uiteenlopende) standpunten ten aanzien van dit onderwerp is, aldus OPTA en CBP, geen sprake.

Vraag 3

Welke stappen gaat u ondernemen nu het CBP stelt dat er opties zijn om de sites van de NPO wel beschikbaar te maken voor bezoekers zonder cookies in te stellen en gezien de monopoliepositie van de NPO dit door het CBP ook wenselijk wordt geacht?

Het is belangrijk dat de websites van de NPO voor een breed publiek toegankelijk zijn. Daarnaast is het belangrijk dat de NPO voldoende inkomsten kan genereren om een interessant (digitaal) aanbod te kunnen doen zeker in tijden van bezuinigingen. Er zal daarom de komende maand met de NPO worden overlegd of een andere aanpak mogelijk is. Dit doet niet af aan het feit dat het aan de beide toezichthouders is, OPTA en CBP, om te beoordelen in hoeverre de Telecommunicatiewet, respectievelijk de Wet bescherming persoonsgegevens door de NPO wordt overtreden.

Vraag 4

Deelt u de mening dat voor de basisfunctionaliteiten van de NPO-sites alsook het vastleggen van generieke gebruiks- en gebruikersgegevens geen tracking cookies nodig zijn en dat voor mensen die hun privacy niet aangetast willen zien de site gewoon bruikbaar moet zijn?

Ja, voor de basisfunctionaliteiten en het vastleggen van gegevens over het gebruik zijn geen tracking cookies nodig. Verder is het ook nadrukkelijk niet de bedoeling van de NPO om mensen in hun privacy aan te tasten. De NPO stelt dan ook dat de door de NPO en Ster gebruikte tracking cookies niet herleidbaar zijn tot individueel identificeerbare personen, en dat het gestelde rechtsvermoeden aldus kan worden weerlegd. De NPO heeft getracht bij de toepassing en het gebruik van cookies een goede balans te vinden tussen toegankelijkheid van publieke audiovisueel materiaal, privacy van gebruikers, de mediawettelijke verplichtingen en de commerciële exploitatie van de Ster op het internet. Gelet op de daaropvolgende maatschappelijke discussie en de verschillende methoden die in het mediaveld worden gebruikt, heeft de NPO na overleg aangegeven de mogelijkheden voor een gedifferentieerde toestemming uitgebreid te zullen onderzoeken.

Vraag 5

Bent u bereid deze vragen voor het algemeen overleg Digitale Agenda op 13 februari 2013 te beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «US free to grab EU data on American clouds»?1

Ja.

Vraag 2

Bent u bekend met de genoemde Foreign Intelligence Amendments Act (FISAA) op basis waarvan de Amerikaanse overheid data kan opvragen van bijvoorbeeld Nederlanders die zij in de cloud hebben opgeslagen, zoals bijvoorbeeld Dropbox of Google?

Ik ben bekend met de desbetreffende wet. Deze wet, die door President Obama op 30 december 2012 is ondertekend, verleent geen nieuwe bevoegdheden, maar verlengt de termijn waarbinnen bestaande bevoegdheden op grond van de Foreign Intelligence and Surveillance Amendment Act van 2008 kunnen worden uitgeoefend. Indien gegevens van om het even welke persoon zich bevinden in de Verenigde Staten kunnen de Amerikaanse autoriteiten met toepassing van hun bevoegdheden die gegevens vorderen.

Vraag 3

Bent u op de hoogte van het feit dat de Amerikaanse autoriteiten zich met beroep op de FISAA toegang verschaffen tot persoonsgegevens opgeslagen in de Europese Unie (EU) door bedrijven met hoofdzetel in de Verenigde Staten?

In algemene zin is het zo dat het Amerikaanse recht diverse mogelijkheden biedt tot het vorderen van gegevens die zich buiten het grondgebied van de Verenigde Staten bevinden en waarbij sprake is van een zodanig aanknopingspunt met het Amerikaanse rechtsstelsel dat een vordering tot het verstrekken van die gegevens naar Amerikaans recht rechtmatig is. Er zijn mij evenwel geen concrete gevallen bekend van vorderingen van de Amerikaanse autoriteiten gebaseerd op de in antwoord 2 genoemde wetgeving waarin de desbetreffende gegevens zich in de Europese Unie bevinden. De Amerikaanse autoriteiten hebben mij desgevraagd laten weten dat het opvragen van gegevens bij dergelijke banken en providers altijd middels een rechtshulpverzoek geschiedt.

Vraag 4

Bent u van mening dat op deze wijze feitelijk de EU-wetgeving betreffende bescherming persoonsgegevens wordt uitgeschakeld door extraterritoriale werking van de wetgeving van een derde land?

Het gehoor geven aan een vordering als bedoeld in antwoord 3 door in de Europese Unie gevestigde belanghebbenden moet plaatsvinden in overeenstemming met het geldende recht, de EU-privacyrichtlijn en het desbetreffende nationale recht. Dat recht biedt daarvoor enige grondslagen. Het is afhankelijk van de omstandigheden van het concrete geval welke grondslag daarvoor kan worden ingeroepen.

Vraag 5

Wat zijn volgens u de exacte consequenties voor clouddiensten? Bent u bereid hierover met aanbieders van clouddiensten in gesprek te gaan?

Aanbieders van clouddiensten die gevestigd zijn in de Verenigde Staten hebben in feite weinig andere keuze dan gehoor geven aan vorderingen tot het verstrekken van gegevens, wanneer deze vorderingen rechtmatig worden gedaan. Ik verwacht niet dat het recht in de Verenigde Staten in dit opzicht zal veranderen en verwacht daarom geen concrete resultaten van het organiseren van gesprekken daarover. Ik merk nog op dat het College bescherming persoonsgegevens in zijn zienswijze over cloudcomputing van 10 september 2012 het uitgangspunt hanteert dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbieder, zelf eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens.

Vraag 6

Welke stappen gaat u verder ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Er wordt in Brussel onderhandeld over een Algemene verordening gegevensbescherming. Die verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgiftes op grond van eenzijdige verplichtingen op grond van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma's waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.