Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Bent u bekend met de recente wijzigingen in de beschikbaarheid en actualisatie van seismische en akoestische data door het Koninklijk Nederlands Meteorologisch Instituut (KNMI), zoals vermeld op haar website?1

Ja.

Vraag 2

Kunt u bevestigen dat tal van data met betrekking tot aardbevingen in Groningen niet langer geactualiseerd worden en/of moeilijker toegankelijk zijn, zoals onder meer de aardbevingscatalogus en modelmatig berekende peak ground acceleration-waarden (PGA) en peak ground velocity-waarden (PGV)? Zo ja, waarom is hiervoor gekozen en waarop en onder wiens bevoegdheid is deze verandering gebaseerd?

Nee, dit kan ik niet bevestigen, de data worden nog steeds geactualiseerd en blijven onverminderd beschikbaar. Het KNMI heeft in januari 2025 zijn seismologische operationele keten naar Amazon Web Services (AWS) gemigreerd, nadat hier in 2023 voor was gekozen. Onderdeel van deze migratie was het uitfaseren van verouderde producten door deze te vervangen door moderne varianten. Alle data en producten zijn op AWS onverminderd beschikbaar, in een vernieuwd en beter te onderhouden systeem dat bijdraagt aan een robuuste 24/7-beschikbaarheid. Dit is aangekondigd en staat beschreven op de KNMI-website. Op de KNMI-website blijven zowel de aardbevingscatalogus2 en PGA/PGV waarden via shakemaps3 beschikbaar voor aardbevingen die hebben plaatsgevonden en deze worden geactualiseerd in het geval van nieuwe aardbevingen.

Vraag 3

Erkent u dat de beschikbaarheid van deze data van cruciaal belang is voor bewoners en hun advocaten bij juridische procedures? Zo ja, welke maatregelen worden getroffen om de toegankelijkheid en actualiteit van deze data te waarborgen?

Ja. Deze migratie draagt bij aan de toegankelijkheid omdat het nieuwe systeem moderner en beter te onderhouden is. Hierdoor wordt de 24/7 beschikbaarheid beter gewaarborgd (zie ook het antwoord op vraag 2).

Vraag 4

Bent u het ermee eens dat Groningen hiermee in toenemende mate afhankelijk wordt van de trillingstool en de algemene maatregel van bestuur omtrent 2-millimeter, in plaats van voortschrijdende wetenschappelijke inzichten? Zo nee, waarom niet?

Nee. Zoals in het antwoord op vraag 2 aangegeven geeft het KNMI aan dat actuele gemeten PGA en PGV waarden onverminderd beschikbaar zijn via onder andere shakemaps in het KNMI Data Platform4 en shakemaps op de website. Daarnaast houdt het Instituut Mijnbouwschade Groningen (IMG) bij de beoordeling van schade rekening met voortschrijdende wetenschappelijke inzichten. Zo heeft het IMG recent onderzoek laten doen naar de effecten van gestapelde mijnbouw en doet het onderzoek naar de indirecte effecten van diepe bodemdaling. Als de resultaten daartoe aanleiding geven, wordt de werkwijze hierop aangepast. Alle onderzoeken en data op basis waarvan het IMG schade beoordeelt zijn toegankelijk en openbaar.

Vraag 5

Hoe beoordeelt u de gevolgen van deze verandering voor de controleerbaarheid en transparantie van aardbevingsgegevens voor de Groningers en andere belanghebbenden?

Het KNMI geeft aan dat de migratie naar AWS en vernieuwing van bestaande producten geen invloed heeft op de controleerbaarheid en transparantie van aardbevingsgegevens. De modernisering van de seismologische operationele keten heeft als doel een robuuste 24/7-beschikbaarheid te garanderen. In de metingen en daaruit afgeleide aardbevingsgegevens, zoals de aardbevingscatalogus, shakemaps en bijbehorende PGA/PGV-waarden, is niets veranderd. Voor het beschikbaar stellen worden nu International Federation of Digital Seismographic Networks (FDSN) webservices gebruikt, de internationale standaard hiervoor, en het KNMI Data Platform.

Vraag 6

Kunt u toelichten hoe de overstap naar de webservices van de International Federation of Digital Seismographic Networks (FDSN) en het KNMI Data Platform de toegankelijkheid en bruikbaarheid van deze gegevens verbetert voor de inwoners van Groningen? Zo nee, waarom niet?

Met FDSN webservices en het KNMI Data Platform heeft het KNMI een robuuste infrastructuur die eenduidige toegang verleent tot data en producten, waarbij 24/7-beschikbaarheid een belangrijk element van de dienstverlening is. Het KNMI is altijd bereid in samenspraak met belanghebbenden de toegankelijkheid en bruikbaarheid verder te verbeteren (zie ook het antwoord op vraag 7).

Vraag 7

Zijn er vanuit u aanvullende inspanningen om ervoor te zorgen dat inwoners, deskundigen en wetenschappers de benodigde data op een laagdrempelige manier kunnen blijven raadplegen? Zo nee, waarom niet?

De data en producten zijn en blijven onverminderd beschikbaar. Het KNMI is altijd bereid in samenspraak met belanghebbenden de beschikbaarheid te blijven verbeteren en zo eenvoudig mogelijk te maken.

Vraag 8

Bent u bereid te waarborgen dat alle noodzakelijke data beschikbaar blijven en gemakkelijk toegankelijk zijn voor de Groningse bevolking en hun juridische vertegenwoordigers? Zo nee, waarom niet?

Ja.

Vraag 9

Heeft er vanuit u communicatie plaatsgevonden met het Staatstoezicht op de Mijnen inzake de wijzigingen op de KNMI-site? Zo nee, waarom niet?

Nee, de migratie heeft geen invloed gehad op de beschikbaarheid van data en producten van het KNMI. Daarom heeft er geen directe communicatie met het Staatstoezicht op de Mijnen hierover plaatsgevonden.

Vraag 10

Kunt u uitleggen waarom het KNMI tot op heden nooit is aangesloten bij de United States Geological Survey? Zo nee, waarom niet?

Bij de United States Geological Survey zijn met name Amerikaanse observatoria aangesloten. In Europa hebben seismologische observatoria, zoals het KNMI, zich verenigd in ORFEUS (Observatories & Research Facilities for European Seismology) voor data- en kennisuitwisseling. Het KNMI is daarom aangesloten bij ORFEUS.5

Vraag 1

Kent u het bericht «Russische spionnen en de «hack van Amsterdam»»?1

Ja.

Vraag 2

Deelt u de mening dat de in het bericht genoemde casus een indicatie is dat Nederland geen goed antwoord heeft op digitale aanvallen vanuit statelijke actoren waarbij Europese of internationale instellingen in Nederland doelwit zijn? Zo ja, hoe komt dat en wat is er nodig om dit te verbeteren? Zo, nee waar blijkt uit deze casus dan dat er wel sprake was van een goed antwoord?

De verantwoordelijkheid voor de cyberveiligheid van internationale organisaties ligt in de eerste plaats bij de organisaties zelf. Niettemin heeft het gastland ook een inspanningsverplichting om het goed en continu functioneren van de organisatie te waarborgen. De Kabinetsinzet op cyberweerbaarheid, zoals beschreven in de NLCS, draagt daar aan bij.
Daarnaast is sinds januari 2024 de Europese verordening 2023/2841 van kracht, waarmee is beoogd de weerbaarheid van Europese instellingen, maar ook van coordinatie en afhandeling als er cyberincidenten bij deze instellingen plaatsvinden te bevorderen. Zo zijn Europese instellingen verplicht om cyberveiligheidsmaatregelen te nemen en om cyberincidenten te melden bij CERT-EU. Onder de coordinatierol van CERT-EU in crisisafhandeling schakelen zij onder andere met het Europese CSIRT-netwerk. Nederland is hierin via het NCSC vertegenwoordigd.

Vraag 3

Deelt u de mening dat, als Nederland geen bemoeienis heeft of mag hebben met het beschermen van internationale instellingen tegen digitale aanvallen, daarmee het risico op dergelijke aanvallen en schade kan toenemen? Zo ja, waarom? Zo nee, waarom niet?

Het kabinet hecht veel belang aan het werk van internationale organisaties en instellingen. Deze organisaties zijn vaak doelwit van cyberaanvallen. Ondanks dat de verantwoordelijkheid voor adequate cybersecuritymaatregelen in eerste instantie bij deze organisaties zelf ligt, kunnen deze organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident een vrijwillige melding doen bij het Nationaal Cybersecurity Centrum (NCSC) en om bijstand vragen. Daarmee kan de Nederlandse staat in die gevallen een bijdrage leveren aan het tegengaan van digitale aanvallen.
Het gastland heeft als gesteld een inspanningsverplichting om het functioneren van de internationale organisaties te faciliteren, voor zowel het fysieke als digitale domein. Voor een goede invulling van die verplichting is een goede samenwerking cruciaal. Bovendien kan Nederland zich als lidstaat van internationale organisaties actief inzetten voor (verbetering van) de cyberveiligheid van die organisatie. Zo werd na de cyberaanval op het Internationaal Strafhof met steun van Nederland een fonds voor het verhogen van de cyberveiligheid van het Hof ingesteld waaraan alle staten kunnen bijdragen.

Vraag 4

Wat is de rol van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in het geval een statelijke actor een digitale aanval op een Nederlandse organisatie dan wel een internationale organisatie in Nederland uitvoert? Is daar verschil tussen en zo ja, waarom?

De AIVD doet onderzoek naar de digitale dreiging van statelijke actoren in het belang van de nationale veiligheid, zoals benoemd in artikel 8, Wiv2017. In relatie tot de omgang van AIVD met slachtoffers van digitale aanvallen door statelijke actoren gebeurt dit, op basis van vrijwilligheid, eveneens binnen de kaders van de Wiv2017. Dit geldt zowel voor Nederlandse als voor internationale organisaties.

Vraag 5

In welke mate verschilt bovengenoemde rol van de AIVD in vergelijkbare situaties van inlichtingen- en veiligheidsdiensten in andere lidstaten van de Europese Unie (EU)?

Iedere EU-lidstaat richt zijn inlichtingen- en veiligheidsdiensten evenals zijn taken en bevoegdheden naar eigen zienswijze in. Om die reden heb ik u in het commissiedebat van 23 oktober 20242 toegezegd om de situaties in andere landen te onderzoeken. Op de invulling van een dergelijk onderzoek zal ik terugkomen bij de gesprekken over de herziening van de WIV.

Vraag 6

Welke Nederlandse of Europese instantie kan wel actie ondernemen in het geval er een internationale organisatie met vestiging in een lidstaat van de EU te maken krijgt met een digitale aanval? Zo er een dergelijke instantie is, welke afspraken zijn hiermee dan precies gemaakt? Kunt u hierbij ook het specifieke juridische kader schetsen?

Ten aanzien van internationale organisaties die in Nederland zijn gevestigd geldt, anders dan bijvoorbeeld voor organisaties die deel uitmaken van de rijksoverheid, dat het NCSC niet tot taak heeft om bij digitale dreigingen en incidenten ongevraagd bijstand te leveren. Wel kunnen deze internationale organisaties in geval van een incident met aanzienlijke gevolgen voor de continuiteit van de dienst van die organisatie, op grond van artikel 16 van de Wbni een vrijwillige melding doen bij het NCSC. Het NCSC kan in dat geval bijstand verlenen, mits het in behandeling nemen van de melding geen onevenredige of overmatige belasting voor het NCSC vormt.
Tevens doet de AIVD onderzoek naar dreigingen tegen de nationale veiligheid. Indien de AIVD constateert dat een organisatie in Nederland waarschijnlijk slachtoffer is van een digitale aanval, brengt de AIVD – vanuit de weerbaarheidstaak en binnen de kaders van de WIV2017- deze organisatie hiervan op de hoogte.
Voor in EU-lidstaten gevestigde EU-organisaties geldt dat zij andere Europese instellingen, organen en agentschappen zoals het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of CERT-EU kunnen helpen voor het verhogen van de cyberweerbaarheid of vragen om ondersteuning bij cyberincidentem De taken en bevoegdheden van ENISA en CERT-EU hieromtrent zijn vastgelegd in Verordening (EU) 2019/881 (de «Cybersecurity Act»), Raadsbesluit (EU) 2022/2504 alsook de NIS2-richtlijn (EU) 2022/2555 en in verordening 2023/2841 zoals in het antwoord op vraag 2 weergegeven. VN-instellingen kunnen zich richten tot het United Nations International Computing Centre (UNICC). In het UNICC Mandate and Governance Framework wordt bepaald dat UNICC diensten aanbiedt aan VN-entiteiten. Contractuele afspraken met VN-agentschappen zijn vastgelegd in Service Level Agreements.

Vraag 7

Deelt u de mening dat het zeer zorgelijk is dat er in Europees verband kennelijk onvoldoende samenwerking is en dat een door de Nederlandse politie in 2021 gegeven waarschuwing aan andere lidstaten geen opvolging kreeg? Zo nee, waarom niet? Zo ja, wat gaat het kabinet doen om te zorgen dat hier in de toekomst wel op geacteerd wordt?

Cyberaanvallen en digitale netwerken zijn niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak en zijn daarom van groot belang. Het Kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijn in nationale wetgeving in de Cyberveiligheidswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties te delen. Dit zal ook de samenwerking met deze landen bevorderen. Met de inwerkingtreding van de NIS1-richtlijn en de NIS2-richtlijn is het Europese CSIRT-netwerk opgericht en versterkt. Het CSIRT-netwerk bestaat uit vertegenwoordigers van de nationale CSIRT's van de Europese lidstaten en het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU). Dit CSIRT-netwerk heeft onder meer tot taak het uitwisselen van informatie over incidenten, bijna-incidenten, cyberdreigingen, risico's en kwetsbaarheden, het uitvoeren van een geco6rdineerde respons op incidenten, en het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten. Daarnaast bevordert ook de Europese verordening 2023/2841, zoals in het antwoord op vraag 2 weergegeven, de samenwerking.

Vraag 8

Deelt u de mening dat er sprake is van een lacune in de hulp aan deze internationale organisaties in het geval van een digitale aanval van een statelijke actor? Zo ja, waarom, hoe komt dat en hoe moet deze lacune opgevuld gaan worden? Zo nee, waarom niet?

Zoals geschetst in het antwoord op vraag 6, kunnen internationale organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident met aanzienlijke gevolgen voor de continufteit van hun dienst, een vrijwillige melding doen bij het NCSC en vragen om bijstand. Hierbij wil ik benadrukken dat de verantwoordelijkheid van digitale veiligheid van organisaties in Nederland primair bij de organisaties zelf ligt.

Vraag 9

Deelt u de mening dat uit de in het bericht genoemde casus blijkt dat de internationale samenwerking in het geval van digitale dreigingen niet optimaal werkt en verbetering behoeft? Zo ja, welke verbeteringen zijn er nodig en hoe en op welke termijn worden die bewerkstelligd? Zo nee, waarom niet en hoe kan het dan dat het weken duurt eer zelfs maar duidelijk is waar een verzoek tot onderzoek naar een dergelijke dreiging moet worden ingebracht?

Ik doe geen uitspraken over specifieke casussen van de AIVD. In het algemeen, zoals ook aangegeven bij vraag 7, zijn cyberaanvallen en digitale netwerken niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak zijn daarom van groot belang. Het kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking, zoals ook aangegeven bij vraag 2. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijnen in nationale wetgeving in de Cyberbeveiligingswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties to delen en versterkt de samenwerking binnen het Europese CSIRT-netwerk. Dit zal ook de samenwerking met deze landen bevorderen.

Vraag 10

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «China intimideert Nederlandse media en correspondenten»?1

Ja.

Vraag 2

Deelt u de mening dat het zeer onwenselijk is dat Nederlandse journalisten in China of Nederlandse journalisten die schrijven over China gehinderd worden in hun werk en worden geïntimideerd?

Ja. Nederlandse journalisten moeten ongehinderd hun werk kunnen doen, in Nederland en daarbuiten.

Vraag 3

Wat vindt u van de conclusie dat Nederland geen goed antwoord heeft op Chinese psychologische oorlogsvoering, met indirecte aanvallen zoals lastercampagnes, het delen van privégegevens en publieke aanvallen op journalisten door politici/diplomaten?

Sinds 2023 werkt de Rijksoverheid aan een intensivering van de aanpak Ongewenste Buitenlandse Inmenging (OBI). Op 17 oktober jl. is uw Kamer geïnformeerd over de stand van zaken van deze geïntensiveerde aanpak.2 Daarin staat o.a. dat de Rijksoverheid werkt aan het instellen van een centrale OBI-meldfunctie, het vergroten van de bewustwording rond OBI en de uitbreiding van de strafbaarstelling van spionage. Zoals aangegeven in de Kamerbrief zal het kabinet in 2025 een evaluatie verrichten om te bezien of de beschreven intensivering van de aanpak heeft geleid tot een effectievere aanpak van OBI, en in hoeverre een eventuele verdere aanscherping van de maatregelen nodig is. De conclusies van het onderzoek van het China Kennisnetwerk naar de Chinese invloed en inmenging in het Nederlandse medialandschap leveren daarvoor een relevante bijdrage.
Daarnaast is sinds 1 januari 2024 wetgeving in werking is getreden die het gebruik van persoonsgegevens voor intimiderende doeleinden (doxing) strafbaar stelt.
Op 6 december jl. ontving uw Kamer de Kabinetsreactie3 op het Adviesraad Internationale Vraagstukken-advies4 over Hybride Dreigingen en Weerbaarheid. Hier staat onder meer in dat het kabinet de aanbeveling van de AIV onderschrijft om te investeren in maatschappelijke weerbaarheid tegen hybride dreigingen.

Vraag 4

Ziet u het grote belang van een sterke vrije westerse media in China die ongehinderd haar werk kan dan doen?

Ja.

Vraag 5

In hoeverre ziet u een neerwaartse trend wat betreft de veiligheid van de Nederlandse media in China?

In het rapport van het China Kennisnetwerk beschrijven de onderzoekers de wijze waarop China zich richt op een uitputtingsslag van kritische stemmen over China. Dit past binnen het beeld dat China, door de inzet van uiteenlopende instrumenten en tactieken, het eigen narratief versterkt, zowel binnen de eigen landsgrenzen als daarbuiten. Hier krijgen ook Nederlandse media mee te maken, zowel in China als in Nederland.
Het kabinet staat voor de veiligheid en vrijheid van alle inwoners van Nederland. Elke vorm van inperking van de vrijheid van meningsuiting van Nederlandse media en correspondenten in China door middel van ongewenste inmenging, dreiging en intimidatie, is onacceptabel. De verschillende tactieken die worden belicht in het onderzoek van het China Kennisnetwerk naar de Chinese invloed en inmenging in het Nederlandse medialandschap baren het kabinet zorgen en bevestigen het beeld dat China steeds verder gaat in het inperken van de mediavrijheid in het land.

Vraag 6

Hoe kijkt u naar de tactieken die China gebruikt om de Nederlandse media en correspondenten in China te intimideren?

Zie antwoord vraag 5.

Vraag 7

Op welke manieren kunnen Nederlandse journalisten zich beter voorbereiden voor de intimidatie in China en welke rol kan de Nederlandse overheid hierin spelen?

Het beschermen van persveiligheid en persvrijheid is een gedeelde verantwoordelijkheid van de sector en de overheid. Dat betekent onder andere dat OCW financiële ondersteuning biedt aan PersVeilig. Recent is het project geëvalueerd en gaven geïnterviewde journalisten aan dat PersVeilig bijdraagt aan het kunnen uitoefenen van hun beroep5. Bovendien wordt het project door zowel Free Press Unlimited als het European Center for Press and Media Freedom aangemerkt als «best practice». Journalisten die te maken krijgen met vormen van intimidatie, hetzij uit China of andere landen, kunnen zich tot PersVeilig wenden.
Het kabinet raadt Nederlandse journalisten in China aan om in nauw contact te staan met onze ambassade in Beijing en gevallen van intimidatie daar te melden. Zie vraag 8 voor meer informatie over de rol van de ambassade.

Vraag 8

Hoe kan de Nederlandse overheid helpen, zodat onze media in China ongehinderd haar werk kan blijven doen?

Onafhankelijke journalistiek bedrijven in China kent risico’s en de Nederlandse overheid kan niet garanderen dat journalisten hun werk ongehinderd kunnen doen. Wel onderhoudt de Nederlandse ambassade in Beijing regelmatig contact met de Nederlandse correspondenten in China over hun werkomstandigheden en moedigt hen aan om contact op te nemen wanneer zij dat nodig achten.

Vraag 9

Is via bilaterale diplomatieke kanalen gesproken met China over de intimidatie van onze correspondenten en media in China? Zo ja, is hierin een krachtig diplomatiek signaal overgebracht?

In bilaterale contacten met de Chinese autoriteiten benadrukt Nederland regelmatig het belang van mediavrijheid in het algemeen en de werkomstandigheden van (buitenlandse) journalisten in China in het bijzonder. Hierin worden onze ernstige zorgen overgebracht over de intimidatie van journalisten in China. De Nederlandse ambassade in Beijing is altijd bereid om namens – en in overleg met – Nederlandse correspondenten bezwaar te maken bij de Chinese autoriteiten naar aanleiding van specifieke incidenten.

Vraag 10

Hoe zal de kennis wat betreft China in de Nederlandse overheid en media worden vergroot?

Naar aanleiding van de Chinanotitie van 2019 is het China Kennisnetwerk opgericht. Via dit netwerk helpen China-experts vanuit verschillende invalshoeken de Rijksoverheid om China’s motieven, beleid en visie beter te begrijpen om zo effectiever beleid te ontwikkelen, en ook maatschappelijke partners beter te kunnen adviseren. Het netwerk levert op deze manier een belangrijke bijdrage aan het formuleren en beantwoorden van kennisvragen over China binnen de Rijksoverheid. Dit doel wordt nagestreefd door het uitvoeren van onderzoeken, kennisevenementen, netwerkbijeenkomsten en cursussen over China. Het China Knowledge Network (CKN)wordt in 2025 voortgezet en heeft inmiddels een onderzoeksportfolio van 28 afgeronde onderzoeken en 17 lopende onderzoeken.

Vraag 11

In hoeverre wordt met andere Europese en Westerse overheden samengewerkt om de vrije Westerse media in China te beschermen?

De ambassade in Beijing staat in nauw contact met gelijkgezinde landen binnen en buiten de EU over de werkomstandigheden van journalisten en de mediavrijheid in China in het algemeen. Vanuit deze verbanden kan worden besloten om gezamenlijk op te trekken bij het aankaarten van zorgen over deze zaken. Daarnaast onderhoudt de ambassade goede contacten met de Foreign Correspondents’ Club of China (FCCC), die onder andere de werkomstandigheden van buitenlandse correspondenten in China volgt en hierover jaarlijks een «Media Freedoms Report» publiceert. Ook faciliteert de ambassade regelmatig de FCCC door het bieden van een veilige ruimte om samen te komen en evenementen te organiseren in de kanselarij of residentie.

Vraag 12

Bent u bekend met het rapport «Chinese invloed en inmenging in het Nederlandse medialandschap» van het China Kennisnetwerk van de Universiteit Leiden?2

Ja

Vraag 13

Deelt u de mening van de onderzoekers dat het belangrijk is om als land via formele kanalen steeds de beïnvloeding resoluut te veroordelen en deelt u de mening dat dit nog effectiever wordt wanneer (Westerse) landen gezamenlijk optreden? Zo ja, met welke landen bent u van plan hierover gezamenlijk op te trekken?

Ja. Nederland zet zich in de EU, NAVO en G7 in voor een stevigere, effectievere en meer gecoördineerde aanpak van ongewenste buitenlandse inmenging en beïnvloeding. Op deze manier vindt uitwisseling plaats over de verschillende verschijningsvormen en worden geleerde lessen over het verhogen van de weerbaarheid en responsmogelijkheden gedeeld. Zie voor onze inzet ook de eerder genoemde Kamerbrief over de aanpak van ongewenste buitenlandse inmenging7.

Vraag 14

Deelt u de mening van de onderzoekers dat het creëren van «een hub» voor onafhankelijke Chinese journalisten in Nederland belangrijk is, zoals reeds al het geval is van Russische media in Amsterdam? Wat kunt u voor deze groep journalisten doen en hoe staat u deze groep bij?

De betreffende Russische onafhankelijke media voelden zich genoodzaakt door de agressieoorlog van Rusland in Oekraïne hun werk elders in ballingschap voort te zetten. Ze hebben toen zelf besloten zich in Amsterdam te vestigen. Een dergelijk besluit tot vereniging en vestiging is er nog niet vanuit onafhankelijke Chinese journalisten in Nederland. Het voortzetten van onafhankelijke journalistiek, ook door onafhankelijke Chinese journalisten, is erg belangrijk, zowel voor onafhankelijke informatievoorziening als voor het tegenwicht bieden aan propaganda.
De Nederlandse overheid staat in contact met Chinese diasporagemeenschappen in Nederland. Zo kunnen zij incidenten van intimidatie melden en kunnen zaken, in overleg met de betreffende persoon, opgebracht worden bij de Chinese ambassade.

Vraag 15

Hoe staat u tegenover de aanbeveling van de onderzoekers om het mandaat van het meldpunt PersVeilig uit te breiden naar ook sociale en psychologische veiligheid en weerbaarheid? Deelt u deze mening?

Van deze aanbeveling heb ik kennisgenomen. PersVeilig is een gezamenlijk initiatief van de Nederlandse Vereniging van Journalisten (NVJ), het Nederlands Genootschap van Hoofdredacteuren, de Politie en het Openbaar Ministerie en heeft tot doel de positie van journalisten te versterken tegen geweld en agressie op straat, op sociale media en tegen juridische claims. Sociale en psychologische veiligheid horen op dit moment bij de diensten die PersVeilig biedt. Aandacht voor de psychologische en sociale impact en weerbaarheid maakt onderdeel uit van trainingen voor journalisten en werkgevers. Daarnaast is er aandacht voor deze impact bij het adviseren bij een melding. PersVeilig werkt structureel samen met een psycholoog.

Vraag 16

Onderschrijft u alle andere aanbevelingen van het rapport en zo ja, hoe gaat dit kabinet aan de slag met de implementatie hiervan? Zo nee, waarom niet?

Het rapport doet een aantal aanbevelingen, zowel voor de Nederlandse overheid, redacties en belangenorganisaties. Het kabinet neemt alle relevante aanbevelingen serieus en zal deze de komende tijd verder bestuderen. Ze vormen een belangrijke bijdrage aan de discussie om de veiligheid en onafhankelijkheid van Nederlandse journalisten wereldwijd te beschermen. Implementatie vergt een brede aanpak van de betrokken ministeries, vooral OCW, JenV en BZ.

Vraag 17

Van welke landen is nog meer bekend dat soortgelijke praktijken en tactieken worden gebruikt?

Er zijn meer landen die binnen en buiten de landsgrenzen journalisten en burgers intimideren en daarmee de mediavrijheid en vrijheid van meningsuiting inperken. In de Fenomeenanalyse Statelijke Inmenging van de AIVD en de NCTV van 17 oktober jl. wordt dieper in gegaan op hoe algemene intimidatie van buitenlandse diasporagemeenschappen zich voordoet in Nederland.8 Freedom House publiceerde in december 2023 een rapport over journalistiek in ballingschap en transnationale repressie van journalisten.9

Vraag 1

Heeft u kennisgenomen van het bericht «Criminelen ontdekken een nieuwe oplichtingstruc: phishing via QR-codes»?1

Ja.

Vraag 2

Heeft u een beeld van de mate waarin phishing via QR-codes in Nederland plaatsvindt op dit moment?

Betrouwbare schattingen van de mate waarin phishing via QR-codes plaatsvindt zijn moeilijk te maken omdat deze gevallen niet apart worden geregistreerd door de politie of de Fraudehelpdesk.
De Fraudehelpdesk heeft tot op heden nog geen meldingen ontvangen over fraude door middel van QR-codes bij laadpalen, parkeerautomaten of restaurants, zoals genoemd in het artikel. De politie heeft het beeld dat de vormen van oplichting met QR-codes genoemd in het nieuwsbericht nog nauwelijks voorkomen in Nederland.
Misbruik van QR-codes in e-mails komt de politie wel vaker tegen. Het gaat hierbij vooral om bankhelpdeskfraude en andere vormen van fraude met bankgegevens, beleggingsfraude en creditcardfraude. Phishing (per e-mail of per post), telefonische fraude en online op handelssites waarbij de (ver)koper een QR-code moet scannen om de betaling te bevestigen, zijn de meest voorkomende fraudevormen waar QR-codes bij betrokken zijn. De Fraudehelpdesk ontving in 2024 ongeveer 20 meldingen van phishing met QR-codes, waarbij de schade geschat wordt op ongeveer € 160.000. Daarnaast ontvangt de Fraudehelpdesk jaarlijks ongeveer 600.000 e-mails via de geautomatiseerde e-mailcheck. De schatting van de Fraudehelpdesk is dat ongeveer 20% tot 25% van de ingestuurde valse mails een QR-code bevat. Het aantal registraties waarin sprake is van phishing via QR-codes per mail lijkt gestegen.

Vraag 3

Heeft u een beeld sinds wanneer deze modus operandi door criminelen toegepast wordt?

De Fraudehelpdesk is sinds 2018 bekend met phishing via QR-codes. Het Openbaar Ministerie (OM) heeft deze vorm van oplichting voor het eerst genoemd in de Fraudemonitor 2019 en 2020.2

Vraag 4

Hoeveel gevallen van phishing via QR-codes zijn er het afgelopen jaar bij de politie gemeld?

De politie houdt geen aparte registraties bij van het aantal gevallen van phishing via QR-codes.

Vraag 5

Besteedt de politie aandacht aan deze nieuwe vorm van oplichting? Zo ja, op welke manier? Zo nee, waarom niet?

Als er een aangifte van deze nieuwe vorm van oplichting wordt gedaan, wordt de zaak in behandeling genomen en geprioriteerd conform de daarvoor geldende kaders. De politie probeert altijd alert te zijn op nieuwe fenomenen.

Vraag 6

Welke uitdagingen en belemmeringen ondervinden de politie en het Openbaar Ministerie (OM) bij de opsporing en vervolging van criminelen die deze vorm van oplichting inzetten?

Gedigitaliseerde criminaliteit in het algemeen heeft het vermogen om snel te veranderen en heeft vaak een internationale component. Een ander onderscheidend kenmerk is dat personen die zich bezighouden met deze vormen van criminaliteit zoveel mogelijk uit het zicht van de opsporing proberen te blijven door hun identiteit af te schermen.
Daarnaast is er sprake van een hefboomeffect waarmee een crimineel in korte tijd veel slachtoffers kan maken. De vrij openlijke handel in buitgemaakte gegevens op sociale media faciliteert deze online criminaliteit. Verder vloeit geld steeds vaker naar buitenlandse rekeningen waardoor interveniëren moeilijker wordt.

Vraag 7

Welke maatregelen treft u om burgers te informeren over de risico’s van phishing via QR-codes?

Er worden vanuit verschillende publieke en private organisaties campagnes gevoerd gericht op de preventie van gedigitaliseerde criminaliteit als geheel en om te informeren over de risico’s van phishing met behulp van QR-codes. Het kabinet investeert in het vergroten van de digitale weerbaarheid van burgers en bedrijven en steunt voorlichtingscampagnes, die al dan niet in samenwerking met (private) partijen worden vormgegeven. Zo publiceert de Fraudehelpdesk op haar site dagelijks een selectie van de naar hen doorgestuurde valse e-mails, ook die met een QR-code. Bedrijven van wie de naam wordt misbruikt in de mails die door de Fraudehelpdesk worden gepubliceerd, worden hiervan op de hoogte gesteld. Op de website en op sociale media worden tevens regelmatig waarschuwingen voor nieuwe of toenemende fraudevormen gepubliceerd.
Daarnaast worden er op initiatief van de politie, de banken, de Fraudehelpdesk, veiliginternetten.nl, de Betaalvereniging Nederland, het Digital Trustcenter en de Consumentenbond ook regelmatig campagnes georganiseerd om burgers en bedrijven weerbaarder te maken tegen deze vorm van gedigitaliseerde criminaliteit. In oktober 2024 is de Nationale Cursus Digitale Weerbaarheid met financiële steun van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) gelanceerd. In de cursus is een module opgenomen over phishing, waarin phishing door middel van QR-codes ook aan bod komt. De website voorkomfraude.nl van de Nederlandse Vereniging van Banken (NVB) en de initiatieven vanuit de integrale aanpak van online fraude spelen een belangrijke rol in het versterken van de digitale weerbaarheid van kwetsbare groepen. Gelet op de steeds veranderende modus operandi, zijn deze initiatieven blijvend van belang.

Vraag 8

Heeft u contact met bedrijven wiens QR-codes door criminelen gespoofd worden en bent u in gesprek met deze bedrijven om fraude zoveel mogelijk tegen te gaan?

Voor een gerichte en effectieve aanpak is het van groot belang dat bedrijven aangifte doen indien ze te maken krijgen met spoofing. Ze kunnen hier melding van doen bij de politie of dit (anoniem) melden bij Meld Misdaad Anoniem.
Mijn beleid is gericht op het bevorderen van weerbaarheid en op preventie. Het doel hiervan is om zoveel mogelijk schade en slachtoffers aan de voorkant te voorkomen.
Daarom faciliteer ik de voorlichting rondom deze vorm van criminaliteit door de mogelijkheden waarmee criminelen fraude kunnen plegen onder de aandacht te brengen bij zowel burgers als bedrijven. Vanuit mijn ministerie en de Rijksoverheid in den brede zijn er diverse activiteiten en trajecten om de (cyber-)weerbaarheid van zowel burgers als bedrijven te verhogen. Binnen de integrale aanpak van cybercrime worden ook door de deelnemende partners trends en fenomenen met elkaar uitgewisseld en waar nodig worden deze gedeeld met de getroffen branches. De strafrechtelijke aanpak van fraude is belegd bij opsporings- en vervolgingsinstanties.

Vraag 9

Anticipeert u op nieuwe vormen van oplichting waarbij digitale technologieën worden ingezet? Zo ja, welke zijn dit?

Digitale technologieën worden vandaag de dag helaas veelvuldig ingezet door criminelen om strafbare feiten mee te plegen. In een steeds meer gedigitaliseerde maatschappij kan dus ook niet worden uitgesloten dat er (nieuwe) digitale technologieën worden ingezet voor criminele doeleinden zoals oplichting.
Daarom is het groot van belang om continu te anticiperen op nieuwe vormen van fraude. De Financial Intelligence Unit – Nederland (FIU-NL), het Financial Advanced Cyber Team (FACT) van de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) en de Electronic Crimes Task Force (ECTF) zetten zich onder andere in om deze nieuwe fraudefenomenen op te sporen. Van welke aard nieuwe criminaliteitsvormen zullen zijn en welke werkwijze hiermee gepaard gaat, is niet altijd van tevoren te voorspellen. Op 23 mei jl. is uw Kamer bijvoorbeeld door de Minister van Financiën geïnformeerd over de mogelijkheden tot fraude met betaalproducten met behulp van deepfakes/kunstmatige intelligentie.3 Deze nieuwe vormen hebben dan ook de aandacht van het kabinet.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Is het correct dat de aangewezen «Digital Services Coordinator» in Nederland de Autoriteit Consument & Markt (ACM) is?1 Indien dit niet het geval is, welke entiteit in Nederland vervult dan wel deze rol?

Ja. De Autoriteit Consument & Markt (hierna: ACM) wordt in het uitvoeringswetsvoorstel digitaledienstenverordening aangewezen als digitaledienstencoördinator.2 Uw Kamer heeft dit wetsvoorstel op 15 oktober jl. aangenomen en het wetsvoorstel is op dit moment aanhangig bij de Eerste Kamer. Vooruitlopend op de totstandkoming van dit wetsvoorstel heeft de toenmalige Minister van Economische Zaken en Klimaat de ACM voorlopig aangewezen als digitaledienstencoördinator.3 Dit geeft de ACM reeds een aantal bevoegdheden, maar om haar taken volledig uit te kunnen voeren is een uitvoeringswet noodzakelijk. De Tweede Kamer is hier bij brief van 13 februari 2024 over geïnformeerd.4

Vraag 2

Kunt u kort beschrijven welke taken de ACM in die rol zal gaan uitvoeren en hoeveel fulltime-equivalent (fte) dit (ongeveer) zal gaan vergen?

De taken van de ACM als digitaledienstencoördinator staan beschreven in de artikelen 49 en verder van de digitaledienstenverordening.5 Het gaat onder meer om het toezicht op de naleving van de verordening, klachtenafhandeling en deelname aan het samenwerkingsverband van toezichthouders op EU-niveau in de zogenaamde digitaledienstenraad. In hoofdstuk 5 van de memorie van toelichting bij het uitvoeringswetsvoorstel digitaledienstenverordening zijn deze taken nader toegelicht.
Het kabinet heeft op basis van een kosteninschatting en een uitvoerbaarheids- en handhaafbaarheidstoets structureel middelen beschikbaar gemaakt voor de ACM. Er is in totaal € 6,5 miljoen toegekend, waarmee de ACM 49 fte kan bekostigen.6

Vraag 3

Welke Nederlandse entiteiten hebben van de ACM, in de rol van «Digital Services Coordinator», inmiddels de status van «trusted flagger» gekregen?

Op dit moment hebben nog geen organisaties de status van «betrouwbare flagger» verkregen van de ACM. De ACM beschikt pas over de bevoegdheid om de status van «betrouwbare flagger» toe te kennen zodra de Uitvoeringswet digitaledienstenverordening in werking is getreden.7 Op het moment dat de ACM, zodra zij daartoe bevoegd is, de status van «betrouwbare flagger» toekent aan organisaties, dan zullen die worden opgenomen in het overzicht van organisaties met die status op de website van de Europese Commissie (hierna: EC).8 In dat overzicht zijn alle organisaties te vinden die in andere lidstaten deze status reeds hebben verkregen.

Vraag 4

Kan de Kamer de correspondentie over het afgelopen jaar ontvangen tussen de ACM (in zijn rol van «Digital Services Coordinator» in Nederland) en de Europese Commissie?

De digitaledienstencoördinatoren en de Europese Commissie zijn uit hoofde van artikel 57, eerste lid, van de digitaledienstenverordening verplicht om nauw samen te werken en elkaar wederzijdse bijstand te verlenen ten behoeve van een consistente en efficiënte uitvoering van de verordening. Hieronder valt ook de uitwisseling van informatie. Onder andere over het starten van onderzoeken en het nemen van handhavingsbesluiten. Artikel 84 van de digitaledienstenverordening bepaalt dat informatie die krachtens de verordening is verkregen of uitgewisseld en die onder het beroepsgeheim valt, niet openbaar mag worden gemaakt.
De ACM heeft dus regelmatig contact op allerlei niveaus tussen en de Europese Commissie over de uitvoering van de verordening, zoals de verordening ook voorschrijft. Ik beschik niet over die correspondentie, gelet op het vertrouwelijke karakter ervan en de onafhankelijke positie van de digitaledienstencoördinator onder de verordening, en kan die dus ook niet aan uw Kamer verstrekken.
De digitaledienstenverordening verplicht toezichthouders wel om jaarlijks informatie te publiceren over de uitvoering van hun taken (artikel 55). De digitaledienstenraad publiceert verder zijn werkplan en notulen van vergaderingen.9 Ook de werkgroepen van de digitaledienstenraad publiceren notulen van hun vergaderingen.10

Vraag 5

Kunt u de bovenstaande vragen binnen drie weken beantwoorden?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van de NOS getiteld «Overheid maakt volop gebruik van AI, maar kijkt vaak niet naar risico’s»?1

Ja, hier ben ik mee bekend.

Vraag 2

Hoe beoordeelt u het feit dat bij meer dan de helft van de systemen die gebruikmaken van kunstmatige intelligentie (AI) binnen de overheid geen gedegen risicoanalyse wordt uitgevoerd, zoals blijkt uit het onderzoek van de Algemene Rekenkamer (ARK)?

Het is belangrijk dat er voor dit soort systemen een gedegen risicoanalyse wordt gemaakt. Het is straks verplicht om voor hoog-risico AI-systemen de risico’s af te wegen onder de AI-verordening. Vooruitlopend op de AI-verordening en ook voor AI-systemen die niet als hoog risico worden gecategoriseerd bestaan er al verschillende instrumenten om een dergelijke risicoafweging te maken, bijvoorbeeld de Impact Assessment Mensenrechten en Algoritmen (IAMA).

Vraag 3

Welke stappen neemt u om ervoor te zorgen dat alle overheidsinstanties de risico's van AI-gebruik adequaat in kaart brengen volgens de geldende wet- en regelgeving, met bijzondere aandacht voor mensenrechten en privacy?

Alle AI-systemen moeten voldoen aan geldende wet- en regelgeving, ook de systemen met beperkte risico’s. Hiertoe bestaan vele instrumenten. In het algoritmekader wordt een overzicht geboden van de bestaande wettelijke verplichtingen, waaronder de AI-verordening. Ook wordt daarin verwezen naar maatregelen en worden verschillende instrumenten samengebracht om organisaties binnen de overheid te ondersteunen. Mensenrechtentoetsen, de AVG en het verbod op discriminatie zijn daar onderdeel van.

Vraag 4

Kunt u uitleggen waarom slechts vijf procent van de AI-systemen is opgenomen in het openbare algoritmeregister, terwijl dit register juist werd opgezet naar aanleiding van de Toeslagenmisdaad? Zo nee, waarom niet?

Niet alle AI-systemen hoeven in het Algoritmeregister te worden geregistreerd. Bijvoorbeeld als het gaat om een experiment dat geen impact heeft (gehad) op burgers of bedrijven, of als de impact van een AI-systeem met name indirect is.
Mij is bekend dat veel overheden, zowel binnen het Rijk als daarbuiten, bezig zijn met de vulling van het register, maar dat het inventariseren, beoordelen en registreren van AI-systemen tijd en capaciteit vraagt. Alle departementen hebben toegezegd ten minste de hoog-risico AI-systemen eind 2025 geregistreerd te hebben. In de Jaarrapportage Bedrijfsvoering Rijk zullen departementen inzicht verschaffen in de precieze voortgang.
Ik stimuleer overheden, zowel binnen de rijksoverheid als medeoverheden, om te publiceren in het algoritmeregister. Daarvoor neemt het Ministerie van BZK proactief contact op met overheden en wordt er ondersteund met verschillende instrumenten, zoals de handreiking algoritmeregister, templates van leveranciers, ondersteuning van een implementatieteam, zogenoemde aansluitsessies, een regiotour, een nieuwsbrief en artikelen met tips van organisaties die al gepubliceerd hebben.

Vraag 5

Hoe gaat u ervoor zorgen dat alle hoogrisico-AI-systemen voor de deadline van 2026 in het register zijn opgenomen, zoals vereist door Europese regelgeving?

Voor registratie in het algoritmeregister verwijs ik u naar vraag 4. Voor wat betreft de Europese databank, verplicht de AI-verordening de registratie van hoog risico AI-systemen door aanbieders en gebruiksverantwoordelijken van deze systemen in een EU-databank. Deze verplichting geldt per 2 augustus 2026 voor nieuwe hoog risico AI-systemen. Het is nog niet precies bekend hoe de EU-databank vormgegeven wordt.

Vraag 6

Welke maatregelen neemt u, gezien de Toeslagenmisdaad en de waarschuwing van de ARK over mogelijke discriminatie door AI-systemen, om te garanderen dat AI-systemen van bijvoorbeeld de Belastingdienst en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) voldoen aan de vereisten van nauwkeurigheid en non-discriminatie?

Het Ministerie van Binnenlandse Zaken investeert in de kennis over biastoetsing binnen de overheid, zodat overheden- die daar zelf verantwoordelijk voor zijn – tijdig de juiste maatregelen nemen om dit te voorkomen. Het Ministerie van BZK heeft in 2021 een handreiking non-discriminatie laten opstellen. Recent is mede op basis van deze handreiking een e-learning module non-discriminatie uitgebracht.2 Daarnaast zijn er ook buiten het ministerie initiatieven die erop gericht zijn om nauwkeuriger aan de vereisten van non-discriminatie te voldoen, denk aan bias detectie tools of een gestandaardiseerde werkwijze voor profileringsalgoritmes. Door algoritmes te controleren aan de hand van deze standaard kunnen (indirecte) discriminatie en andere ongewenste effecten van profilering worden bestreden.3
Verschillende van deze hulpmiddelen komen samen in het algoritmekader, waarin ook de aanbeveling van het Rathenau-instituut4 is meegenomen om de manier waarop biastoetsing plaatsvindt te versterken.

Vraag 7

Deelt u de zorg van de ARK dat er een prikkel bestaat om AI-systemen niet als hoogrisico in te schatten, zodat men niet hoeft te voldoen de strengere Europese regelgeving?

Nee, die zorg deel ik niet. Alle AI-systemen die de overheid gebruikt moeten voldoen aan geldende wet- en regelgeving, waaronder de bepalingen van de AI-verordening die in fases van kracht wordt. Binnen de overheid zijn organisaties momenteel bezig met het inventariseren van de bestaande AI-systemen om vervolgens een inschatting te maken van de classificatie onder de AI-verordening. Op nationaal niveau zal voor deze EU-wetgeving toezicht worden ingericht op hoog-risico AI-systemen, bijvoorbeeld op de verplichting om hoog-risico AI-systemen te registeren in een EU-databank. Voor het niet registeren van deze AI-systemen kunnen sancties worden opgelegd door de toezichthouder. Ook het verkeerd inschatten van AI-systemen die onder de hoog-risico AI-toepassingsgebieden van de AI-verordening vallen, kan leiden tot sancties. Daarnaast spelen ook de Auditdienst Rijk (ADR) en de ARK door onder meer audits en onderzoeken een rol bij het in kaart brengen van risico’s op de inzet van AI bij de rijksoverheid.

Vraag 8

Hoe wordt bij de inzet van AI-toepassingen, zoals de inzet van robothonden voor celinspecties bij de Dienst Justitiële Inrichtingen (DJI), gewaarborgd dat de privacy en rechten van gedetineerden worden beschermd en worden er risicoanalyses uitgevoerd?

DJI verkent de mogelijkheden van innovaties om de maatschappelijke opgave van DJI verder te kunnen verbeteren. Het is belangrijk dat er voor dit soort systemen een gedegen risicoanalyse wordt gemaakt (zie ook antwoord op vraag 2). In het geval van de robothond onderzoekt DJI in hoeverre een robothond de effectiviteit en efficiëntie van een celinspectie kan vergroten met inachtneming van waarborgen van gedetineerden, zoals privacy. De innovatiepilot loopt nog en duurt waarschijnlijk nog 2 jaar.

Vraag 9

Hoe wordt ervoor gezorgd dat er een duidelijke standaard is voor het testen en monitoren van AI-systemen, met betrekking tot nauwkeurigheid en non-discriminatie, gezien het groeiende gebruik van AI in overheidsdiensten?

Aanbieders van hoog-risico AI-systemen moeten ervoor zorgen dat die systemen aan de eisen uit de AI-verordening voldoen. Dit houdt o.a. in dat systemen nauwkeurig werken en niet discrimineren. Deze (abstracte) eisen worden op Europees niveau nader uitgewerkt in concrete technische specificaties. Deze specificaties worden ook wel geharmoniseerde standaarden genoemd. Deze standaarden zijn er nog niet, maar worden momenteel op Europees niveau door o.a. Europese normalisatie-instituten ontwikkeld. Nederland en het kabinet zijn via het Nederlandse normalisatie-instituut (NEN) betrokken bij de uitwerking van deze standaarden.

Vraag 10

Bent u bereid om extra toezicht of huidige controlemechanismen in te stellen om ervoor te zorgen dat AI-systemen niet alleen efficiënt werken, maar ook rechtvaardig en veilig zijn voor burgers?

Op dit moment zijn er al verschillende trajecten die bijdragen aan het borgen van veilige en rechtvaardige AI-systemen.
In het kader van de AI-verordening zal toezicht worden ingericht op de ontwikkeling en het gebruik van AI-systemen. Op AI-systemen met een onaanvaardbaar risico of AI-systemen die een hoog risico vormen voor de veiligheid, gezondheid en grondrechten van burgers, zal onder meer toezicht worden gehouden, waarbij overtredingen kunnen leiden tot hoge boetes. Momenteel werken de betrokken ministeries onder leiding van EZ, BZK en JenV uit hoe het toezicht op de AI-verordening het beste kan worden ingericht. Daarbij wordt het advies van de toezichthouders over deze inrichting betrokken.5
Naast de AI-verordening is er voor de inzet van AI en algoritmes ook (mogelijk) andere wet- en regelgeving van toepassing. Zo verwerken veel risicovolle toepassingen op het gebied van AI en algoritmes persoonsgegevens. Dit AVG-toezicht is de afgelopen jaren structureel versterkt.
De Directie Coördinatie Algoritmes (DCA) bij de Autoriteit Persoonsgegevens (AP) heeft daarnaast als coördinerend toezichthouder op algoritmes en AI oog voor belangrijke (publieke) waarden als rechtvaardigheid en veiligheid, bijvoorbeeld door het signaleren van risico’s en het delen van kennis op dit gebied met andere (sectorale) toezichthouders.

Vraag 11

Welke stappen gaat u ondernemen om in de toekomst getroffen burgers snel en rechtvaardig te compenseren wanneer de overheid discriminerende beslissingen heeft genomen door het gebruik van AI-systemen?

Op verzoek van uw Kamer is een eerste versie van een discriminatieprotocol opgesteld.6 Deze is opgenomen in het algoritmekader. In dit protocol zijn de lessen van en ervaringen met de Toeslagenaffaire en DUO verwerkt. Het kabinet investeert in vroegtijdige toetsing, maar mocht het ondanks alle voorzorgsmaatregelen toch misgaan, is het belangrijk om een werkwijze te hebben om de situatie te herstellen. Het discriminatieprotocol is een handvat, dat overheidsorganisaties kunnen gebruiken om hun eigen werkwijze in te richten. Een onderdeel van het protocol is om een noodplan achter de hand te hebben om een algoritme te kunnen stoppen. Ook richt het protocol zich op het herstellen van de schade. Onderdeel is het informeren van betrokkenen en zorgdragen voor adequate herstelprocedures.

Vraag 12

Is er op dit moment een procedure ontwikkeld om burgers die zijn benadeeld door discriminerende AI-beslissingen actief te helpen bij het herstellen van hun rechten?

Zie antwoord op vraag 11.

Vraag 13

Bent u bereid meer transparantie te bieden over welke AI-systemen in het algoritmeregister als hoogrisico worden ingeschat, specifiek met betrekking tot het risico op discriminatie?

Voor de definitie van hoog-risico AI-systemen wordt gebaseerd op de definitie uit de AI-verordening. In de verordening zijn bepaalde toepassingsgebieden als hoog-risico geclassificeerd, vanwege het risico dat zij vormen voor onze gezondheid, veiligheid en grondrechten. Daarbij is het verbod op non-discriminatie een bijzonder relevante factor. De verantwoordelijkheid voor het juist classificeren ligt bij de overheidsorganisaties zelf, waarop toezicht gehouden kan worden door een toezichthouder op basis van de AI-verordening. Het algoritmeregister maakt het mogelijk om te filteren op AI-systemen die door overheidsorganisaties zelf gecategoriseerd zijn als hoog-risico.7

Vraag 14

Op welke manieren kunnen burgers worden geïnformeerd over de specifieke risico's van deze AI-systemen en hoe zij zich hiertegen kunnen beschermen?

De AI-verordening verplicht gebruikers bij het gebruik van hoog-risico AI-systemen voor besluitvorming, de daardoor geraakte natuurlijke persoon hierover te informeren. Daarnaast heeft de natuurlijke persoon een recht op uitleg bij de inzet van bepaalde hoog-risico AI-toepassingen.
In het regeerprogramma staat verder dat het kabinet werk maakt van transparantie over het gebruik van AI en algoritmes door de overheid. Momenteel wordt nader bezien hoe hier invulling aan kan worden gegeven.

Vraag 15

Welke maatregelen gaat u nemen om ervoor te zorgen dat burgers, en met name kwetsbare groepen, worden beschermd tegen discriminerende algoritmes die door de overheid worden ingezet, zoals aangegeven door de ARK?

Zie o.a. antwoorden op vragen 6, 9, 10 en 11. Het is belangrijk dat de normen goed toepasbaar worden gemaakt, gestandaardiseerde werkwijzen worden ontwikkeld -met name voor de gevoelige (profilerings-)algoritmes, tijdig wordt getoetst, risico’s worden gemitigeerd en een werkwijze achter de hand is om schade te herstellen. Aanvullend wil het kabinet ervoor zorgen dat burgers, met name kwetsbare burgers (of organisaties die hen vertegenwoordigen) worden betrokken en hun input leveren. Dat kan via burgerpanels en/of ethische commissies.

Vraag 16

Hoe zorgt u ervoor dat AI-systemen, zoals die van het UWV en de Belastingdienst, die direct van invloed zijn op burgers, niet leiden tot discriminerende keuzes of ongelijke behandeling op grond van etniciteit of nationaliteit?

Zie antwoord op vraag 6.

Vraag 17

Hoe wordt voorkomen dat AI-systemen, zoals die in het algoritmeregister, onrechtmatige beslissingen nemen die burgers onterecht benadelen en schade toebrengen?

De verantwoordelijkheid hiervoor ligt primair bij de overheidsorganisaties die het AI-systeem inzetten. Zij worden geacht maatregelen te nemen om te voldoen aan wetgeving en daarvoor intern toezicht op te stellen. Het Ministerie van BZK stelt hiervoor hulpmiddelen ter beschikking, zoals de handreiking non-discriminatie by design, het impact assessment mensenrechten en algoritmes (IAMA) en het algoritmekader. Onrechtmatig handelen kan daarnaast opgespoord worden door toezichthouders.

Vraag 1

Heeft u kennisgenomen van het artikel «AI fraude neemt snel toe in de financiele sector»?1

Ja.

Vraag 2

Bent u het ermee eens dat dit een zeer zorgelijke ontwikkeling is?

Ja. De ontwikkeling van kunstmatige intelligentie (in het Engels: Artificial Intelligence (AI)) brengt kansen met zich mee, maar ook risico’s. Een daarvan is dat de techniek kan worden misbruikt door criminelen. Zoals ook staat in het rapport van Signicat, dat wordt aangehaald in het artikel, wordt kunstmatige intelligentie in toenemende mate ingezet bij het plegen van fraude. Dit is een zorgelijke ontwikkeling.

Vraag 3

Welke stappen onderneemt u om AI-fraude in de financiële sector tegen te gaan?

In de Werkgroep Veiligheid van het Maatschappelijk Overleg Betalingsverkeer (MOB) spreekt mijn ministerie met vertegenwoordigers van verschillende betrokkenen, zoals banken, betaalinstellingen, consumentenorganisaties, politie, Openbaar Ministerie en De Nederlandsche Bank over veiligheid in het betalingsverkeer. Fraude in het betalingsverkeer is hier een belangrijk onderdeel van.
Ook heeft dit onderwerp de aandacht binnen de Integrale aanpak online fraude, waar onder coördinatie van de Minister van Justitie en Veiligheid door de Minister van Economische Zaken en mijzelf aan wordt gewerkt.
Het is belangrijk dat bedrijven zelf adequate maatregelen nemen om klanten te beschermen tegen verschillende vormen van fraude en in te spelen op actuele ontwikkelingen, waaronder kunstmatige intelligentie. Tegelijkertijd is het probleem van online fraude een breder maatschappelijk probleem, waar publieke en private partijen samen moeten optrekken om burgers te beschermen.

Vraag 4

Op welke manier worden bedrijven gestimuleerd om maatregelen te nemen?

Zie antwoord vraag 3.

Vraag 5

Veel financiële instellingen geven aan niet over de middelen en expertise te beschikken om deze bedreiging aan te pakken. Gaat u met hen in gesprek over wat er nodig is om dit op orde te krijgen?

Fraude is een zeer actueel onderwerp en daarom ben ik regelmatig in gesprek met financiële instellingen om de nieuwe ontwikkelingen te bespreken. Van banken verneem ik dat zij continu zichtbare en onzichtbare maatregelen nemen om fraude en oplichting te voorkomen. Het is vandaag de dag onderdeel van hun dagelijkse werkzaamheden om in te spelen op de nieuwe technieken die criminelen inzetten om te frauderen, waaronder kunstmatige intelligentie. Ik heb tot nu toe geen signalen ontvangen dat de financiële sector in Nederland op dit moment niet over de middelen en expertise beschikt om deze bedreiging aan te pakken.

Vraag 6

Is het mogelijk om de bescherming van klanten middels biometrische controles en essentiele informatie documenten (Eid’s) te verbeteren?

Momenteel maken banken al gebruik van biometrische controles voor de bescherming van klanten. Banken passen onder andere sterke klantauthenticatie (SCA) of ook wel tweefactorauthorisatie toe. Dit is een veiligheidsvereiste die voortkomt uit de herziene Richtlijn Betaaldiensten (PSD2) en waarbij een betaling of aanpassing in de online bankomgeving wordt goedgekeurd door middel van twee verschillende elementen waar alleen de rechtmatige pashouder of rekeninghouder over beschikt. Dit kan bijvoorbeeld een wachtwoord zijn, maar ook biometrische elementen zoals een vingerafdruk of gezichtsverificatie.
In de vraag wordt verwezen naar essentiële informatie documenten, maar waarschijnlijk wordt gedoeld op elektronische identificatiemiddelen (eID). De financiële sector maakt al gebruik van elektronische identificatiemiddelen. Een voorbeeld is iDIN.

Vraag 1

Bent u bekend met het bericht «Duizenden apparaten in Nederland getroffen door Chinese staatshackers»?1

Ja, alle aangeschreven bewindspersonen zijn bekend met het bericht.

Vraag 2

Sinds wanneer is deze hack bij u bekend? Hoeveel tijd is er verstreken tussen de initiële aanval en het moment dat het onder uw aandacht kwam?

De Nederlandse overheid is enkele dagen voor de publicatie van de FBI op 18 september 2024 in vertrouwen geïnformeerd over deze casus door de VS. De gehackte Nederlandse apparaten waren onderdeel van een botnet dat bekend staat in open bronnen als het Raptor Train-botnet. Dit botnet is in mei 2020 geïnitieerd. Het is niet bekend wanneer de eerste apparaten in Nederland zijn besmet. Het ging hier namelijk om een wereldwijd botnet waarvan ca. 260.000 systemen onderdeel uitgemaakt hebben, waaronder ook ruim 2000 apparaten in Nederland.

Vraag 3

Bent u bekend met welk motief Nederlandse apparaten gehackt zijn, naast het kapen van deze systemen voor het uitvoeren van andere cyberaanvallen? Was deze aanval gericht of ongericht?

Bij het opzetten van een botnet worden apparaten besmet die op dat moment eenvoudig over te nemen zijn. Het doel is meestal zo veel mogelijk verschillende apparaten onder controle te krijgen om deze later gericht te kunnen inzetten. Het botnet zelf is dus ongericht. Ook de cybersecurity advisory van de Amerikaanse diensten geeft weer dat deze cyberoperatie ongericht was.
De Chinese cyberactor, een commercieel bedrijf, hackte doorlopend en wereldwijd kwetsbare apparaten om deze toe te voegen aan het Raptor-Train botnet. Vervolgens bood deze het botnet aan als dienstverlening voor obfuscatie doeleinden. Andere Chinese cyberactoren kregen hiermee toegang tot een middel om hun cyberoperaties langs te routeren en zo de herkomst hiervan te verhullen.
Deze activiteit past binnen het normbeeld van het Chinese cyberecosysteem en de rol van commerciële bedrijven daarbinnen. Deze professionaliseerden hun operaties door gebruik te maken van gehackte infrastructuur, waaronder consumentenapparatuur, zo meldden de AIVD2 en MIVD3 in hun jaarverslagen over 2023.

Vraag 4

Welke gevolgen verbindt u aan het de aanval van Chinese staatshackers? Trekt u hierin gezamenlijk op met de andere getroffen landen?

De Joint Cyber Security Advisory4 van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren5 en het Cybersecuritybeeld Nederland (CSBN 2024)6. Met de Nederlandse Cybersecurity Strategie (NLCS)7 streeft het kabinet naar een digitaal veilig Nederland en verhoogt het de weerbaarheid tegen cyberaanvallen.
De antwoorden op vragen 5, 8, 10 en 11 hieronder geven weer welke mitigerende maatregelen zijn genomen door het National Cybersecurity Centrum (NCSC) en Digital Trust Center (DTC). Over verdere maatregelen tracht het Kabinet zoveel mogelijk naar buiten te treden, in lijn met motie Erkens, maar dit is niet altijd mogelijk. Nederland trekt hierbij zoveel mogelijk op met partners, vooral in EU- en NAVO-verband.

Vraag 5

Op welke termijn verwacht u een totaalbeeld te hebben van de gevolgen, de schaal en het motief van deze aanval? Kunt u de analyse (al dan niet vertrouwelijk) aan de Kamer doen toekomen?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren en het Cybersecuritybeeld Nederland (CSBN 2024). Verder geven de antwoorden op vragen 6, 7 en 8 hieronder weer wat het huidige, en naar verwachting zo volledig mogelijk nationale totaalbeeld over de gevolgen, de schaal en het vermoedelijk motief is.
Het NCSC heeft door tussenkomst van het Digital Trust Centre (DTC) van het Ministerie van Economische Zaken, waar mogelijk eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is daarbij een algemeen advies meegegeven aan de eigenaren. Het NCSC en het DTC hebben ook op hun websites8 9 algemeen beveiligingsadvies uitgebracht met een verwijzing naar deze Joint Cyber Security Advisory en algemene kennisproducten over het verhogen van weerbaarheid toegevoegd.

Vraag 6

Is er kritische digitale infrastructuur geraakt door deze aanval? Zijn de volledige gevolgen voor de cyberveiligheid van Nederland in beeld?

Nee, voor zover bekend waren de in Nederland besmette systemen geen onderdeel van de Rijksoverheid of vitale infrastructuur. Het ging met name om besmetting van consumentenapparaten.

Vraag 7

Is er mogelijk staatsgeheime informatie geraakt in de aanval? Met welke zekerheid kunt u dat zeggen?

Voor zover bekend waren de besmette systemen geen onderdeel van de kritische infrastructuur, er zijn geen apparaten van de Rijksoverheid of vitale infrastructuur besmet en onderdeel geweest van het Raptor-Train botnet. Voor zover bekend is het botnet ook niet door andere Chinese cyberactoren gebruikt om cyberoperaties uit te voeren tegen Nederlandse of Europese belangen. Zeer waarschijnlijk is er vanuit het botnet geen dreiging geweest voor Nederlandse staatsgeheimen. Gezien het doel van het netwerk was om cyberoperaties te verhullen, kan echter inherent niet worden uitgesloten dat dit op enig moment het geval is geweest.

Vraag 8

Op welk detailniveau is het bekend welke personen, organisaties en apparaten getroffen zijn? Welke rol speelt het Nationaal Cyber Security Centrum (NCSC) nu bij het informeren en de verdere hulpverlening van getroffenen?

Van de Nederlandse gehackte apparaten is het bekend wat de IP-adressen en MAC-adressen waren. De gebruikers van deze apparaten hebben voor zover bekend geen problemen ondervonden van de malware, omdat deze er op gericht was om internetverkeer op heimelijke wijze via het apparaat te routeren. Voor zover bekend hebben de betreffende gebruikers ook geen problemen ondervonden door de Amerikaanse verstoringsoperatie waarbij deze malware verwijderd is van hun apparaten en waarmee het botnet werd uitgeschakeld.
Het NCSC heeft een lijst gekregen met alle IP-adressen van getroffen apparaten. Partijen zijn, waar mogelijk, via het DTC geïnformeerd. Het gaat hier om een klein deel van de totale hoeveelheid getroffen apparaten in Nederland Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het niet ging om apparaten van organisaties behorende tot de doelgroep van het NCSC (Rijksoverheid of vitale aanbieders). Wel hebben zowel het DTC en het NCSC op hun website algemeen advies gepubliceerd en verwijzingen toegevoegd naar het Joint Cyber Security Advisory en bestaande kennisproducten om de weerbaarheid te verhogen.

Vraag 9

Kunt u vaststellen of de getroffen apparaten een gedeelde kwetsbaarheid hadden? Hoe kan deze kwetsbaarheid worden afgedekt? Zou de Cyber Resilience Act (CRA) voorkomen dat dergelijke hacks in de toekomst weer plaatsvinden?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten spreekt over misbruikte kwetsbaarheden in meer dan 70 verschillende typen apparaten, van meer dan 40 fabrikanten. Het betrof zowel apparaten die end-of-lifezijn als apparaten die nog door de fabrikant ondersteund worden.
Aangezien het botnet vat heeft gekregen op veel verschillende type kwetsbare apparaten is er waarschijnlijk sprake van meerdere uitgebuite kwetsbaarheden. De Cyber Resilience Act(CRA) schrijft voor dat producten met digitale elementen (hard- en software) vanaf eind 2027 aan cybersecurityvereisten moeten voldoen om in de EU op de markt te mogen worden aangeboden. Vanaf 1 augustus 2025 gelden er bovendien op grond van de radioapparatenrichtlijn al cybersecurityeisen voor het op de Europese markt aanbieden van draadloos verbonden apparatuur. De Rijksinspectie voor Digitale Infrastructuur (RDI) zal toezien op de naleving van deze eisen. De kans op kwetsbaarheden in apparatuur wordt met deze cybersecurity-producteisen aanzienlijk verkleind. Toch zullen kwetsbaarheden en hacks die daar misbruik van maken nooit volledig kunnen worden voorkomen. Om die reden krijgen fabrikanten op grond van de CRA ook een zorgplicht voor de cybersecurity van de producten gedurende de verwachte gebruiksduur, waarbij zij een gratis veiligheidsupdate moeten verstrekken zodra er een kwetsbaarheid wordt geïdentificeerd, die in beginsel automatisch wordt geïnstalleerd. Hierdoor zal de impact van een eventuele hack zo veel mogelijk worden beperkt.

Vraag 10

Welke rol hebben uw verschillende ministeries bij het verder afhandelen van de gevolgen van deze aanval?

Het NCSC heeft door tussenkomst van het DTC, waar mogelijk, eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is door het DTC een algemeen advies meegegeven aan de eigenaren. Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het voor zover bekend niet ging om apparaten van organisaties binnen de Rijksoverheid of van vitale aanbieders. Ook hebben het NCSC en het DTC op hun websites algemeen beveiligingsadvies uitgebracht om dergelijke apparaten veiliger te kunnen maken. Tevens hebben het DTC en het NCSC organisaties geattendeerd op de Joint Cyber Security Advisory en algemene kennisproducten die weerbaarheid tegen digitale aanvallen verhogen.
Het Ministerie van Buitenlandse Zaken onderhoudt contact met partners over mogelijke aanvullende maatregelen. Mochten diplomatieke vervolgstappen t.a.v. het incident in beeld komen, dan zal het Ministerie van Buitenlandse Zaken daarover de coördinatie voeren.

Vraag 11

Met welke organisaties en partijen werken uw ministeries en de NCSC samen, zowel landelijk als internationaal, om de aanval verder af te handelen?

De verdere afhandeling van deze cyberoperatie binnen Nederland is beperkt. Er zijn voor zover bekend geen vitale of overheidsbelangen getroffen waar verdere mitigatie nodig is. Door de Amerikaanse verstoringsoperatie is de malware verwijderd van de gehackte Nederlandse apparaten in het botnet. Het kabinet heeft in de communicatie rondom dit incident gewezen op de beschikbare adviesproducten op de website van het NCSC en DTC over cyberdreigingen voor kwetsbare apparaten van particulieren en midden- en kleinbedrijf om eventuele mitigatie van kwetsbaarheden.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en op zo kort mogelijke termijn beantwoorden?

Deze antwoorden zijn in samenwerking van de Ministers van Justitie en Veiligheid, Economische Zaken, Buitenlandse Zaken en Binnenlandse Zaken opgesteld en zijn op een zo kort mogelijk termijn beantwoord.

Vraag 1

Is het Defensie Big Data Advanced Analytics Platform (DBDAAP) ook in gebruik genomen? Zo ja, wanneer?

Ja. Nadat het platform in april 2022 is opgeleverd, hebben in september 2022 de eerste gebruikers gebruik gemaakt van het platform.

Vraag 2

Indien DBDAAP in gebruik is genomen, hoe wordt deze ingebruikname gemeten?

De ingebruikname van DBDAAP wordt «gemeten» aan de hand van het aantal defensiemedewerkers dat gebruik maakt van de aangeboden tooling en het aantal toepassingen dat ontwikkeld wordt op het platform.

Vraag 3

Indien DBDAAP in gebruik is genomen, hoeveel ontwikkelaars hebben in april 2024 ongeveer op het DBDAAP-platform ingelogd?

In april 2024 hebben circa 90 ontwikkelaars ingelogd op DBDAAP.

Vraag 4

Hoeveel van deze ontwikkelaars draaien daadwerkelijk diensten op het DBDAAP-platform?

In april 2024 werkten circa 70 ontwikkelaars aan toepassingen op DBDAAP.

Vraag 5

Indien DBDAAP in gebruik is genomen, hoeveel applicaties draaiden er op 30 april 2024 op het DBDAAP-platform? Kunt u wellicht ook de namen van deze applicaties geven?

Op 30 april draaiden er 34 applicaties op DBDAAP. Vanwege het vertrouwelijke karakter van deze applicaties is het niet mogelijk de namen hiervan te delen.

Vraag 6

Indien DBDAAP in gebruik is genomen, hoeveel gigabyte was er op 30 april 2024 in totaal op het DBDAAP-platform (ongeveer) opgeslagen? Hoeveel inkomend en uitgaand dataverkeer is er (ongeveer) in totaal op deze datum voor het DBDAAP-platform gerealiseerd?

In april 2024 werd er al meer dan 20 terabyte aan data opgeslagen op DBDAAP. Het inkomend en uitgaand verkeer wordt niet bijgehouden.

Vraag 7

Indien DBDAAP in gebruik is genomen, is daarmee het platform DBDAAP ook binnen de gehele krijgsmacht in gebruik genomen?

Ja. Er draaien toepassingen op DBDAAP van alle defensieonderdelen, met uitzondering van de Koninklijke Marechaussee. Vanwege de Wet Politiegegevens vallen de meeste datatoepassingen van de Koninklijke Marechaussee buiten het rubriceringsniveau van DBDAAP.

Vraag 8

Welke krijgsmachtonderdelen hadden DBDAAP op 30 april 2024 eventueel niet in gebruik? Waarom hebben zij dit platform niet in gebruik genomen?

Zie antwoord vraag 7.

Vraag 9

Wat zijn de totale kosten van het project DBDAAP tot op de dag van vandaag?

Tot september 2024 is circa 8,2 miljoen euro uitgegeven aan de ontwikkeling en de exploitatie van DBDAAP.

Vraag 10

Wordt DBDAAP wellicht ook nog doorontwikkeld op dit moment en zo ja, welke partijen zijn hierbij betrokken?

Ja. DBDAAP wordt doorontwikkeld door het datalab van Defensie. De prioriteit voor de doorontwikkeling wordt bepaald door de Chief Data Officersvan de verschillende defensieonderdelen.

Vraag 1

Bent u bekend met het pleidooi van de Algemene Onderwijsbond (AOb) voor een AI-richtlijn op scholen?1

Ja.

Vraag 2

Welk inzicht heeft u in het gebruik van artificiële intelligentie (AI) door scholen? Heeft u een overzicht van welke AI-tools worden ingezet door scholen zelf?

In algemene zin hebben we inzicht in het gebruik van AI door scholen en welke tools dat zijn. In de meest recente Monitor Digitalisering Onderwijs (MDO, voorheen MYRA) 2023 van Kennisnet, de PO-Raad en de VO-raad is leraren gevraagd naar het gebruik van digitale middelen2. In het primair onderwijs maakte in 2023 63 procent van de leraren gebruik van dashboards waarop de voortgang van leerlingen te volgen is (Snappet, Gynzy, Prowise Learn, Rekentuin) en 40 procent gebruikte adaptieve gepersonaliseerde digitale leermiddelen.3 In het voortgezet onderwijs betrof dit respectievelijk 31 procent en 29 procent van de leraren.4 In de MDO 2025 zal leraren specifiek gevraagd worden of zij AI (apps of toepassingen) bij de lessen en lesvoorbereiding gebruiken en over welke kennis en vaardigheden zij op dit terrein beschikken

Vraag 3

Heeft u inzicht in de manier waarop door leerlingen gebruik wordt gemaakt van AI voor het maken van werkstukken en huiswerkopdrachten en hoe scholen hiermee omgaan?

Ik heb geen inzicht in de manier waarop leerlingen thuis gebruik maken van AI voor het maken van werkstukken en huiswerkopdrachten.

Vraag 4

Op welke wijze heeft AI een plek in de nieuwe kerndoelen voor digitale geletterdheid? Wanneer zijn deze definitief verankerd?

Begin maart 2024 heeft de SLO de conceptkerndoelen digitale geletterdheid opgeleverd. In deze concepten is AI expliciet opgenomen. Momenteel worden de kerndoelen op scholen beproefd op bruikbaarheid en wordt geëvalueerd hoe goed ze aansluiten bij de praktijk. Daarnaast zal dit najaar de wetenschappelijke Curriculumcommissie een advies uitbrengen over de conceptkerndoelen.
In oktober ontvangt uw Kamer een brief waarin wordt toegelicht hoe hier invulling aan wordt gegeven.

Vraag 5

Vindt u het goed dat leerlingendata terechtkomt in handen van grote AI-bedrijven? Hoe verhoudt dit zich tot de Algemene verordening gegevensbescherming (AVG) en wat gaat u hieraan doen?

Ik vind het belangrijk dat de (digitale) veiligheid en privacy van de onderwijsomgeving van leerlingen en onderwijspersoneel geborgd is. Het is in de eerste plaats aan de schoolbesturen om hun (digitale) onderwijs vorm te geven, en daarbij te kiezen of, en zo ja welke, AI-producten ze hierbij inzetten. AI kan het onderwijs ondersteunen, mits bewust gekozen en verantwoord toegepast. De handreiking AI van Kennisnet biedt handvatten om te zorgen voor sociale veiligheid en een pedagogisch klimaat bij AI op school.5 Daarnaast is het van groot belang dat de persoonsgegevens van leerlingen bij het gebruik van AI-systemen goed worden beschermd. De website Aanpak IBP van Kennisnet helpt scholen om de AVG goed na te leven. Relevant is onder meer dat de school een verwerkersovereenkomst afsluit met de leverancier van het AI-systeem waarin contractueel wordt vastgelegd dat de leverancier de gegevens alleen mag gebruiken voor de doelen die de school aangeeft. Ook is de school in de meeste gevallen verplicht om een data protection impact assessment (DPIA ofwel een privacyonderzoek) uit te voeren als in een AI-systeem persoonsgegevens worden verwerkt, waarmee de privacyrisico’s in kaart worden gebracht en maatregelen genomen worden om deze te beperken. Omdat dit voor scholen intensief en tijdrovend kan zijn, voeren de ICT-coöperaties SURF en SIVON namens de onderwijssector DPIA’s uit op digitale producten die in het onderwijs gebruikt worden. Dat doen ze niet alleen bij Nederlandse aanbieders, maar ook voor grote internationale bedrijven zoals Google en Microsoft. In dit kader zijn afspraken gemaakt met onder andere Zoom, Google en Microsoft over het beschermen van de privacy van leerlingen, studenten en medewerkers. Ik bevorder via het Programma Digitaal Veilig Onderwijs dat SIVON ook DPIA’s kan uitvoeren op andere digitale producten die in het funderend onderwijs worden gebruikt.

Vraag 6

Denkt u dat leerkrachten en scholen voldoende toegerust zijn om AI veilig in te zetten en de inzet ervan door leerlingen te herkennen en te bespreken?

Ik vind het belangrijk dat het onderwijs AI op een doordachte en verantwoorde manier toepast, met aandacht voor publieke waarden zoals privacy en kansengelijkheid en dat leraren bewuste en weloverwogen keuzes kunnen maken over het gebruik van AI. Leraren moeten de technologie kunnen gebruiken, en begrijpen hoe AI-systemen werken, wat hun beperkingen zijn en welke ethische vraagstukken daarbij komen kijken. Dit vraagt van leraren dat zijzelf ook digitaal vaardig zijn.
Daarom ondersteun ik leraren op verschillende manieren bij de inzet van AI in het onderwijs. Er zijn concrete handvatten beschikbaar, zoals de handreiking AI in het onderwijs van Stichting Kennisnet die scholen helpt verantwoorde keuzes te maken rondom AI, met richtlijnen voor beleid en professionalisering. En er is de gratis online AI-cursus van de Nederlandse AI-coalitie voor docenten in het primair en voortgezet onderwijs. Het Expertisepunt Digitale Geletterdheid biedt daarnaast ondersteuning aan het po, vo, s(v)o en mbo. Tot slot werken we samen met Vlaanderen aan digitale professionalisering voor leraren. We gaan samen onderzoeken hoe we leraren op slimme manieren beter kunnen ondersteunen bij het aanleren van digitale vaardigheden.

Vraag 7

Bent u bekend met het bericht «Meer kennis algoritmen nodig op scholen, «anders risico op discriminatie»»?2

Ja.

Vraag 8

Deelt u de zorgen van het College voor de Rechten van de Mens over dat de inzet van adaptieve leermiddelen kan leiden tot kansenongelijkheid?

Ik ben het met het College eens dat het van belang is dat systemen die gebruikt worden in het onderwijs niet leiden tot uitsluiting of discriminatie. Kinderen mogen nooit de dupe worden van discriminatie, ook niet wanneer die impliciet in algoritmes is ingebouwd. Hoewel de onderzoekers aangeven dat er op dit moment geen concrete voorbeelden te vinden zijn van discriminatie of uitsluiting door algoritmes in het funderend onderwijs, is het ook in de toekomst van belang dat dit geen plaats krijgt in de (digitale) onderwijssystemen. Daartoe is recent de nieuwe AI-verordening in werking getreden. Deze Europese wet stelt verdere grenzen aan de toepassing van algoritmes in het onderwijs. Zo wordt het gebruik van een aantal typen AI en algoritmes ingedeeld in de hoog-risico-categorie, waarin extra eisen zijn opgenomen. Systemen die zich richten op onder andere toelating tot het onderwijs of het beoordelen van een passend onderwijsniveau vallen in deze categorie. Als onderwijsinstellingen deze systemen willen inzetten, dienen zij aanvullende maatregelen te treffen om te voorkomen dat gebruik van deze systemen kansenongelijkheid in de hand werkt.

Vraag 9

Op welke wijze wordt toezicht gehouden op de algoritmes van programma’s zoals Snappet, Gynzy en andere lesmethoden?

Op Europees niveau biedt de recent geïntroduceerde AI-verordening een juridisch kader om ervoor te zorgen dat AI-systemen veilig en ethisch worden ingezet. De komende tijd zal ik samen met de onderwijssector verkennen hoe we de maatregelen binnen de AI-verordening het beste kunnen vormgeven.
Op nationaal niveau speelt het Nationaal Onderwijslab AI (NOLAI) een belangrijke rol in het waarborgen van de kwaliteit, kansengelijkheid en de regie van leraren in de verantwoorde ontwikkeling en toepassing van AI in het onderwijs. Zo maakt NOLAI in het wetenschappelijk programma de pedagogische, maatschappelijke en sociale gevolgen van intelligente technologie in onderwijs inzichtelijk. In het onlangs gepubliceerde referentiekader wordt de werkwijze van het Onderwijslab uitgelegd.7 Daarnaast biedt het opschalingsplan van NOLAI waardevolle inzichten in de integratie van AI-producten in het onderwijs, waarbij de visie van scholen en de vaardigheden van leraren centraal staan. Leraren worden uitgerust met de benodigde kennis en tools om AI op een verantwoorde en effectieve manier in hun onderwijspraktijk te integreren en zorgt voor een duurzame en brede implementatie van AI-producten in het funderend onderwijs.

Vraag 10

Hoe gaat u transparantie, uitlegbaarheid en de eerlijkheid van deze algoritmes waarborgen?

Zie antwoord vraag 9.

Vraag 11

Heeft u inzicht in hoeveel scholen zelfstandig richtlijnen of beleid hebben opgesteld voor het gebruik van AI?

Ik vind het belangrijk dat scholen bewuste en verantwoorde keuzes maken over het gebruik van AI op basis van een AI-beleid dat past bij de visie op onderwijs en de kernwaarden van de school. Scholen kunnen hiervoor gebruikmaken van het Vier-in-balans model8 en de Handreiking AI in het onderwijs9 van Kennisnet. In de Monitor Digitalisering Onderwijs 2025 zullen onder meer vragen worden opgenomen over visie en beleid van het schoolbestuur omtrent AI, en of de school richtlijnen heeft over verantwoord gebruik van AI in de klas.

Vraag 12

Bent u bereid om in gesprek te gaan samen met de AOb en scholen die vooroplopen als het gaat om AI-beleid om lessen te trekken voor een eventuele landelijke richtlijn?

In onze huidige digitale maatschappij, waar technologische innovaties zich snel ontwikkelen, is het noodzakelijk dat we scholen ondersteunen bij de doordachte inzet en gebruik van AI in de klas. In het kader van de gesprekken die ik zal voeren met de onderwijssector over de AI-verordening en hoe we de maatregelen en het toezicht daarop vormgeven, ga ik graag in gesprek met de AOb, de andere onderwijspartners en scholen. Tegelijkertijd wil ik benadrukken dat er al op verschillende manieren ondersteuning wordt geboden aan schoolbestuurders, schoolleiders en leraren. Door inzichten te bundelen kunnen we de samenwerking tussen alle betrokken partijen versterken.

Vraag 13

Bent u bereid om samen met de AOb de handschoen op te pakken voor een richtlijn voor AI in de klas? Zo nee, waarom niet?

Zie antwoord vraag 12.

Vraag 1

Op welke wijze is er met de betrokken regio’s overleg gepleegd over en instemming verkregen van de voorgestelde verdeling van de Beethoven-gelden, gezien de negatieve reacties van met name de regio’s Twente en Groningen in de media op het advies? Bent u van mening dat met dit advies de motie van het lid Van Hijum c.s. (Kamerstuk 36 550, nr. 7) voldoende is uitgevoerd?

Het doel van het Nationaal Versterkingsplan is het zo spoedig mogelijk opleiden van extra technische talenten die hun werkkring daadwerkelijk kiezen in de microchipindustrie. De aanpak is vanaf de start een inhoudelijk proces geweest, leidend naar noodzakelijke effectiviteit: het juiste talent, op de juiste plaats, in de juiste tijd.
Samen met de vier betrokken regio’s uit het convenant is een iteratief en collaboratief proces doorlopen met als doel het opleiden van extra technische talent voor de locaties waar de vraag vanuit de microchipindustrie zich bevindt. Het begrip regio is hier breed en niet specifiek gedefinieerd. Dit heeft primair betrekking op de bereidheid tot forenzen naar de industrie. In alle vier de regio’s hebben dialoogsessies plaatsgevonden met speciaal gezant Hans de Jong en vertegenwoordigers van de Rijksoverheid, waarin ook aandacht besteed is aan de talentvraag van de industrie uit de eigen regio en de landelijke talentbehoefte. In deze sessies is het uitgangspunt gehanteerd dat de regionale talentvraag voor het op te leiden microchip-talent door de industrie gevalideerd moet zijn. Ook zijn er doorlopend gezamenlijke regio-overleggen geweest met de regiocoördinatoren voor tussentijdse afstemming en zijn er individuele afstemmingmomenten geweest.
Aan de regio’s is gevraagd binnen de kaders van de regionale uitvraag1, in samenwerking met regionale partners, een conceptplan te maken. Er is ruimschoots gelegenheid geboden om vragen te stellen over de aard en inhoud van de opdracht. De ingediende conceptplannen bleken gezamenlijk niet te passen binnen de gestelde doelen. Bovendien werd het door het kabinet beschikbaar gestelde budget met ongeveer een factor 4 overschreden.
In het overleg met de regiocoördinatoren werd het voorstel gedaan om als tussenstap de microchipindustrie te consulteren over de huidige en toekomstige wervingspraktijk en dit medebepalend te laten zijn voor de criteria rondom de toewijzing van middelen. Een vertegenwoordiging van microchipbedrijven (zowel grote bedrijven als mkb) geeft aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Mbo-talent komt momenteel voor ruim 95% uit de eigen regio, hbo-talent voor ca. 80% en wo-talent voor 50%. De bedrijven verwachten geen grote verschuivingen in dit beeld richting de toekomst. De wervingspraktijk van de bedrijven en de geografische locaties waar deze industrie in Nederland doorgroeit op basis van bedrijfsplannen, hebben we na verificatie als leidende factor beschouwd voor de reservering van de middelen over de regio’s. Door de vraag van de microchipsector (de huidige en toekomstige wervingspraktijk) en het door het kabinet beschikbaar gestelde budget als uitgangspunten te nemen, zijn de reserveringen voor verschillende regio's lager dan zoals door hen zelf voorgesteld in de conceptplannen.
In het debat met de Minister van Financiën heeft het lid Van Hijum aangegeven dat er een inhoudelijke relatie moet zijn tussen datgene wat een regio levert en het aandeel dat men krijgt. De in de motie Van Hijum2 genoemde evenwichtigheid moet volgens het kabinet gezien worden in het licht van de talentopgave van de microchipsector. Het kabinet heeft de evenwichtige verdeling vervolgens gemaakt op basis van de vraagarticulatie van de microchipindustrie. Het kabinet is van mening dat dit advies aansluit op de motie van het lid Van Hijum c.s.

Vraag 2

Op welke wijze zijn de adviescommissie en de partijen van het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» gekomen tot de selectie van de betrokken regio’s? Ziet u dit wellicht voor andere regio’s ook gelden, gezien de aanwezigheid van regio Groningen in dit consortium waar geen microchipindustrie zit, maar de adviescommissie wel de potentie voor langjarige ontwikkeling ziet? Zo ja, voor welke?

In de Kamerbrief van 28 maart 20243 beschrijft het kabinet dat chipbedrijven en toeleveranciers in Nederland met grote uitdagingen kampen op het gebied van technisch geschoold personeel op alle niveaus. De regiegroep heeft uitvoering gegeven aan het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector». De investeringen zijn gericht op het mogelijk maken van de schaalsprong van de microchipsector in Nederland. Ongeveer 70% van de werkgelegenheid van de microchipsector is momenteel in de Brainportregio. De nabijheid en bereikbaarheid van onderwijsinstellingen ten opzichte van de plek waar microchipbedrijven zijn gevestigd spelen een belangrijke rol bij de werving van talent. In het antwoord op vraag 1 wordt beschreven dat microchipbedrijven mbo-talent, en in iets mindere mate hbo-talent, zo dicht mogelijk werven bij de geografische plek waar zij zijn gevestigd.
Daarnaast geldt dat voor wo-talent, en in mindere mate hbo-talent breder gekeken is naar de opleidingen die een bijdrage leveren aan het vergroten van het technisch talent in Nederland. Daaruit komt naar voren dat naast de Brainportregio ook Twente en Delft geografische regio’s zijn om talent op te leiden en te werven. Wo-talent is volgens het bedrijfsleven en de bij het kabinet bekende gegevens, significant mobieler en wordt voor een groter deel geworven ook vanuit andere opleidingsplaatsen. Hierin speelt ook Groningen een steeds belangrijkere rol, aangezien met name de Rijksuniversiteit Groningen een kwalitatieve bijdrage levert aan het opleiden van technische studenten. De vier in het convenant genoemde regio's hebben de mogelijkheid om voor hun opleidingsplannen ook andere regio's te betrekken. Gedurende de totstandkoming van het advies zijn regio’s die hebben aangegeven een aantoonbare bijdrage te kunnen leveren aan de opgave, uitgenodigd zich bij een van de vier regio’s aan te sluiten. Zo lopen er momenteel al gesprekken tussen Brainport en enkele andere regio's die niet in het convenant benoemd zijn.

Vraag 3

Is er overwogen om de bijbehorende mbo/hbo-opleidingen uit de regio Limburg actief te betrekken in de plannen, gezien de relatieve nabijheid van de Limburgse maakindustrie en het feit dat er volgens de «uitvraag regionale voorstellen» aanzienlijk wat personeel uit Limburg afkomstig is? Is er overwogen om met de grote sluiting van Nedcar in Borne, op 45 autominuten van Veldhoven, actief technisch personeel aan te trekken?

Ja, bij de uitvraag naar de vier regio’s is een groot aantal onderwijsinstellingen, inclusief onderwijsinstellingen uit Limburg en de onderwijskoepels, op deze uitvraag gewezen. Er is een oproep gedaan aan instellingen die een fundamentele bijdrage kunnen leveren aan de talentopgave van de microchipsector om zich bij een van de vier regio’s te melden. Er wordt op dit moment actief gesproken door Brainport met Limburgse onderwijsinstellingen. Het is aan de regio’s om te bezien op welke wijze zij een bijdrage kunnen leveren aan de talentopgave van de industrie binnen de kaders van de uitvraag. Kwaliteit van de samenwerking is opgenomen als criterium in het analysekader dat wordt gebruikt bij het beoordelen van de plannen.
De sluiting van autobouwer VDL Nedcar heeft helaas tot ontslagen geleid. Voormalig VDL Nedcar-personeel kan zich uiteraard kandidaat stellen voor openstaande vacatures in de Brainportregio. Op dit moment sluiten de vaardigheden van het voormalig personeel niet altijd direct aan op de vraag van de microchipindustrie. Er bestaat hier ook een bredere behoefte om tot een betere aansluiting te komen op de arbeidsmarkt. Daarom is er vanuit het Europees Sociaal Fonds € 1,2 miljoen beschikbaar gesteld voor scholing en begeleiding van de ontslagen VDL Nedcar-medewerkers die nog geen nieuwe baan hebben gevonden. De Provincie Limburg, de Zuid-Limburgse gemeenten en het UWV (verenigd in de Arbeidsmarktregio Zuid-Limburg) en het Ministerie van Sociale Zaken en Werkgelegenheid stellen daar bovenop gezamenlijk € 800.000,– beschikbaar. Het budget zal vooral worden ingezet voor een integraal pakket van dienstverlening bestaande uit loopbaanoriëntatie, -begeleiding en -advies, aangevuld met scholings- en ontwikkeltrajecten.

Vraag 4

Kunt u een overzicht geven van de beschikbare opleidingsplaatsen per relevante studierichting per regio? Hoeveel opleidingsplaatsen worden er per jaar ingevuld, hoeveel studenten studeren er per jaar momenteel af en hoeveel dit er in 2030 zouden moeten zijn? Kunnen de beschikbare bedragen per regio ook worden onderverdeeld naar mbo, hbo en wo?

Tot en met 2030 wordt de verwachte behoefte aan extra talent van de microchipindustrie geschat op ongeveer 38.000 medewerkers. Het gaat hierbij om extra vacatures bovenop het natuurlijk verloop. Deze schatting is gebaseerd op een enquête onder chipbedrijven en andere bekende cijfers over de industrie, onder meer van het CBS en RVO. Er is in de enquête ook gevraagd naar het scholingsniveau van de talentbehoefte. Deze gegevens zijn gecombineerd met data over het huidige opleidingsniveau in de microchipindustrie en resulteert in een behoefte van de sector die als volgt is verdeeld: 39% mbo, 23% hbo en 38% wo-niveau. In de regionale uitvraag is in bijlage 2 en 3 aangegeven wat relevante studierichtingen voor de microchipindustrie zijn. Daarbij is ruimte gelaten aan regio’s om daar breed naar te kijken. Immers, niet alle functies in de microchipsector zijn één-op-één te vertalen naar een opleiding. Regio’s kunnen andere afwegingen in de selectie van relevante opleidingen maken als dit past bij de vraag van de sector. Daarom kan het kabinet pas van de oplevering van de definitieve plannen van de regio's inzicht geven in de huidige studentenaantallen per relevante studierichting en de aantallen die volgens de plannen in 2030 behaald kunnen worden. Regio's moeten in hun definitieve plannen aantonen dat ze het op te leiden talent ook daadwerkelijk kunnen aantrekken.
De definitieve onderverdeling van de bedragen naar mbo, hbo en wo verschillen per regio en wordt pas duidelijk als de regio’s hun definitieve herijkte plannen hebben ingediend. Nadat de plannen definitief zijn ingediend, zal het kabinet uw Kamer informeren over de onderverdeling per opleidingssector.

Vraag 5

Op welke manier voorziet u dat deze investeringen leiden tot meer technisch geschoold personeel voor de chipsector? Op welke manier gaat het geld resulteren in het realiseren van de genoemde actielijnen, zoals het verhogen van het blijfpercentage («stay rate») van internationale studenten en kenniswerkers, het vergroten van de diversiteit van studenten, waaronder het aantrekken van meer vrouwelijke studenten, en het vergroten van de in- en uitstroom in tijden van dalende studentenaantallen?

De investeringen omvatten een breed palet aan maatregelen, die elk een bijdrage leveren aan de totale beschikbaarheid van talent voor de microchipsector. Gezien de grote verwachte personeelstekorten, is het belangrijk om alle maatregelen die tot meer talent kunnen leiden mee te nemen.
Onderwijsinstellingen worden met deze investeringen in staat gesteld acties te ondernemen om meer talent op te leiden, te werven, te behouden en in samenwerking met het bedrijfsleven toe te leiden naar de microchipsector. Zo kunnen de regio’s met deze investeringen bijvoorbeeld programma’s ontwikkelen om internationale studenten te koppelen aan banen in de microchipsector om het blijfpercentage te verhogen. Ook kunnen instellingen met deze middelen hun voorlichting en werving anders inrichten en genderbias doorbreken, zodat ondervertegenwoordigde doelgroepen meer worden aangetrokken. Het is aan de regio’s om vanuit hun inhoudelijke kennis met maatregelen te komen. Komende tijd zullen de regio’s hiermee aan de slag gaan om te komen tot herijking van hun plannen. We vragen regio's hierbij nauw samen te werken met de microchipindustrie om de aansluiting tussen onderwijs en bedrijfsleven zo goed mogelijk te maken.

Vraag 6

Welke ervaringen, successen en mislukkingen uit de initiatieven om meer docenten, verpleegkundigen en ander talent voor tekortsectoren op te leiden worden meegenomen in deze plannen? Hoe wordt er voorkomen dat het aantrekken van meer studenten voor STEM-opleidingen ten koste gaan van het aantal studenten dat kiest voor de zorg of het onderwijs?

Bij de regionale uitvraag zijn voorbeelden van effectieve interventies aan de regio’s beschikbaar gesteld. Hierin zijn geleerde lessen van aanpakken in andere sectoren en initiatieven verwerkt. Ook geeft het recente onderzoek «Studiekeuze in beweging»4 een beeld over de verwachte effecten van maatregelen en initiatieven om meer studenten te verleiden om een opleiding te volgen in tekortsectoren. Maatregelen als het hanteren van een arbeidsmarktgerelateerde numerus fixus, verlaging van het lesgeld, het geven van een diplomabonus en het bieden van een warme overdracht van studie naar werk zijn onderzocht.
Omdat de instroom van initiële studenten in het vervolgonderwijs over de gehele linie daalt door demografische ontwikkelingen, kunnen verdringingseffecten met andere opleidingen zoals in de zorg of het onderwijs niet worden uitgesloten. Om deze effecten te verkleinen, werken de regio’s nadrukkelijk aan het vergroten van de vijver van talent, zoals het bij- en omscholen van onbenut arbeidspotentieel en het gericht aantrekken van internationaal talent.

Vraag 7

Wat is internationaal bekend qua best-practices voor het laten afstuderen van meer studenten in de techniek? Op welke wijze zullen deze STEM-studenten vervolgens worden worden om voor de microchipsector te kiezen?

Ook in andere landen van Europa is er een groeiende vraag naar technisch personeel die groter is dan de ontwikkeling van het aanbod. In het rapport «Arbeidsmarktkrapte technici: ontwikkelingen, verklaringen en handelingsperspectieven»5 is in opdracht van de Ministeries van OCW, EZK en SZW in 2022 daarom ook gekeken naar de Europese context. Binnen de EU is bijvoorbeeld Portugal één van de landen die relatief hoog scoort in het percentage studenten en afgestudeerden van technische opleidingen. Omdat de onderwijssystemen, de arbeidsmarkt en de beroepscontext in landen in grote mate verschillen, vindt er een veelheid van verschillende (beleids)initiatieven plaats over heel Europa, gericht op het stimuleren van het aanbod van technici. Desondanks blijken deze verschillende initiatieven niet genoeg om de schaarste aan technici op te lossen. De meeste initiatieven proberen de kwaliteit van het primair en secundair onderwijs ten aanzien van het techniekonderwijs te bevorderen en tegelijkertijd het imago van de techniek onder jongeren te verbeteren. Ook wordt in sommige landen, althans in de minderheid van de Europese landen, aandacht besteed aan het werven van technici in het buitenland of aan het terug laten keren van buitenlandse studenten naar het thuisland.
Binnen de Nederlandse onderwijsinstellingen is er de laatste jaren al veel werk gestoken in het verkennen van best-practices om tekorten in sectoren in relatief korte tijd aan te pakken. Een voorbeeld hiervan is het aantrekken van buitenlandse afgestudeerde wo-bachelorstudenten, die met een master in Nederland klaargestoomd worden voor onze arbeidsmarkt.
Zoals benoemd in de regionale uitvraag kunnen regio's ook gebruikmaken bij het opstellen van hun plannen van de kennis en expertise van Platform Talent voor Technologie (PTvT). PTvT is lid en initiator van de EU STEM Coalition, waarin op Europees vlak best-practices worden uitgewisseld.
In de regionale uitvraag en in het analysekader6 is opgenomen dat de regio’s duidelijk dienen te onderbouwen dat het extra opgeleide talent ook bij de vraag van de microchipsector terechtkomt («delivery rate»). In het toetsen van de kwaliteit van de herijkte plannen van de regio’s in het najaar is aandacht voor de initiatieven die in de regio’s worden ontplooid opdat het opgeleide talent daadwerkelijk emplooi zal vinden in de microchipindustrie.

Vraag 8

Op welke wijze is aan bovenstaande vragen aandacht besteed in de ingediende regionale plannen? Is het mogelijk om inzage te krijgen in deze plannen?

De afgelopen maanden is een zorgvuldig proces doorlopen waarin de regio’s hun conceptplannen konden opleveren. Zoals aangegeven hebben de regio’s plannen ingediend die gezamenlijk de beschikbare middelen ver te boven gingen en eveneens onvoldoende aantoonden hoe het opgeleide talent ook daadwerkelijk in de microchipindustrie terecht zou komen. Het is nu aan de regio’s om voor oktober met herijkte plannen te komen. De definitieve plannen waar de regio's mee aan de slag zullen gaan zal het kabinet met uw Kamer delen.

Vraag 9

Hoe beoordeelt u het idee om juist de groei in steden in Groningen en Twente meer te stimuleren, gezien het feit dat daar de beschikbaarheid van studentenhuisvesting minder een probleem is dan in de andere twee regio’s?

De grondslag van het Nationaal Versterkingsplan van Microchip-talent is talent opleiden dat ook daadwerkelijk zijn werkkring vindt in de microchipindustrie zodat de groei van deze industrie in Nederland mogelijk wordt gemaakt. Het zwaartepunt van de groeivraag ligt voor de komende jaren bij ASML en de Brainportregio. De microchipbedrijven geven aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Dit geldt ook – zij het in mindere mate – voor het wo-talent. Deze overwegingen, gevoed door de huidige en toekomstige wervingspraktijk van bedrijven, hebben ertoe geleid dat het zwaartepunt van het Versterkingsplan ook in de Brainportregio is. Regionale plannen dienen rekenschap te geven van de huisvestingsvraag. Dit plan mag er niet toe leiden dat studenten worden geworven terwijl er geen huisvestingsplek is.

Vraag 10

Hoe denkt u de groei van de chipindustrie in de andere regio’s te kunnen laten groeien om zo de voorzieningen in Brainport te ontlasten, gezien het feit dat de leefbaarheid en voorzieningen in de Brainportregio door de schaalsprong onder druk staan?

Voor onze welvaart is het van groot belang om de microchipindustrie en hun toeleveringsketens in Nederland te laten doorgroeien en doorinvesteren. Het kabinet onderschrijft dat dit in de Brainportregio ook om een ontwikkelopgave vraagt voor de leefbaarheid en het voorzieningenniveau. In het «Convenant Rijk en regio investeringen in ondernemingsklimaat microchipsector»7 is hiermee rekening gehouden, door goede afspraken te maken over de bekostiging door het Rijk en de Brainportregio op het gebied van woningbouw en bereikbaarheid. Daarnaast is er in het convenant afgesproken dat Rijk en regio een verkenning starten naar de sociaal-maatschappelijke opgaven, waaronder sociale cohesie, primair- en voorgezet onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. Op basis van deze verkenning zal het kabinet samen met de regio bezien wat nodig is. De verkenning komt eind dit jaar beschikbaar.
Daarnaast werkt het Ministerie van Economische Zaken aan het Meerjarenprogramma voor bovenregionale samenwerking tussen hightech-brandpunten. Dit programma beoogt hightech-bedrijven die op langere termijn niet kunnen doorgroeien of doorinvesteren op hun huidige locatie, te helpen om die groei wel mogelijk te maken in een andere regio, om deze bedrijven zo wel in Nederland te behouden. Dit is bijvoorbeeld aan de orde als onvoldoende ruimte beschikbaar is en/of de druk op de omgeving te groot. Ook microchip start-ups en scale-ups komen in aanmerking voor dit programma. Dit programma komt eveneens eind dit jaar beschikbaar.

Vraag 11

Lijkt het u niet logischer om anders te alloceren dan volgens de huidige wervingspraktijk, waarbij de sterkste regio van dit moment automatisch het meeste geld krijgt toebedeeld, gezien het belang van de stimulering van de ontwikkeling in economisch relatief zwakkere regio’s (uitgangpunt van «elke regio telt»)?

Nee, zie hiervoor ook de antwoorden vraag 9 en 12. Het uitgangspunt van het Nationaal Versterkingsplan van Microchip-talent is een specifiek plan gericht op de microchipindustrie. Het doel is de groei van de microchipsector in Nederland mogelijk maken en het versterkingsplan is ter ondersteuning daarvan. Bij de totstandkoming van de reserveringen is de toekomstige wervingspraktijk van de micro-chipsector medebepalend geweest.

Vraag 12

Hoe ziet u de mogelijkheden om heel Nederland zo breed mogelijk te kunnen laten meeprofiteren met de groei van de chipindustrie? Op welke manier gaat de resterende drie procent worden ingevuld?

De groei van de microchipsector levert veel op voor heel Nederland. De microchipsector is enorm belangrijk voor ons toekomstig verdienvermogen. Waar de sector in 2021 nog € 39,1 miljard aan omzet in Nederland had, zal de omzet naar verwachting tot 2030 verdubbelen. Dit geldt niet alleen voor het grootbedrijf, maar ook voor het mkb in de toeleveringsketen. Deze sector levert dus een belangrijke bijdrage aan de Nederlandse economie en daarmee aan onze zorg, veiligheid, onderwijs, sociale voorzieningen en vele andere belangrijke overheidstaken. Daarbij vergroot een succesvolle microchipsector onze strategische autonomie in de wereld.
De voorgenomen investeringsbeslissing van ASML gaat over een nieuwe fabriek in Eindhoven en mede hierdoor zal de werkgelegenheid van de microchipsector in de Brainportregio alleen maar verder toenemen (die is nu al zo’n 70% van de in totaal ruim 50.000 werknemers). Nabijheid van onderwijs- en kennisinstellingen is de bepalende succesfactor om deze groei te kunnen accommoderen en de daaruit voortvloeide welvaart voor Nederland te behouden. Te weinig beschikbaar talent in de regio waar zij gevestigd zijn kan leiden tot een heroverweging van investeringen in Nederland. Gezien het nationale belang van deze uitbreiding, is het kabinet van mening dat de vraag vanuit de sector leidend moet zijn in de verdeling van de middelen.
Het resterende budget van € 14 miljoen wordt op drie manieren ingevuld: intensivering/bijstelling van de reservering op basis van geactualiseerde plannen, investeringen in andere regio’s en/of landelijke activiteiten. Ook hier geldt dat de inhoudelijke, industrie gedreven opgave de basis vormt voor invulling van het resterende budget.

Vraag 13

Bent u bereid om daar actief industriepolitiek beleid voor te ontwikkelen, bijvoorbeeld door naast de infrastructurele investeringen in de Brainportregio, ook te investeren in infrastructuur in Twente, Arnhem/Nijmegen, Groningen, Almere, en Limburg?

Er is bestaand beleid om infrastructurele investeringsbeslissingen te kunnen nemen. Besluitvorming hierover vindt plaats in het bestuurlijk overleg Meerjarenprogramma Infrastructuur, Ruimte en Transport (BO-MIRT). In dit bestuurlijk overleg worden op regionaal niveau beslissingen genomen door Rijk en regio op het gebied van de ontsluiting van woningen, economische toplocaties, weginfrastructuur en ook nieuwe OV-verbindingen. De Minister van Infrastructuur en Waterstaat neemt hierin het voortouw, en verschillende andere relevante Ministers nemen ook deel aan deze overleggen.
Bedrijfsactiviteiten verplaatsen of uitbreiden naar een andere regio dan waar bedrijven nu gevestigd zijn, is over het algemeen onwenselijk voor bedrijven en laat zich bovendien lastig sturen door de overheid. Het scheppen van de juiste condities om economische ecosystemen te ontwikkelen duurt decennia. Daar is gezien de scope en timing van dit plan geen tijd voor.

Vraag 14

Deelt u de mening dat deze regio’s het voordeel hebben dat er meer ruimte is voor woningbouw en dat zorg en onderwijsvoorzieningen in deze regio’s minder onder druk staan dan in de Brainportregio?

De druk op de woningbouw, zorg en onderwijsvoorzieningen is afhankelijk van de hoeveelheid mensen en de nieuwe bedrijvigheid in een bepaalde regio. In de Brainportregio komen er naar verwachting tot en met 2030 26.000 nieuwe banen bij in de microchipindustrie. Het kabinet erkent dat dit tot een toenemende druk op de huisvesting in de regio leidt. Daarom zijn er in het bredere convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» maatregelen genomen om de woningbouw in de Brainportregio te versnellen. De groei van de microchipsector zal in absolute aantallen de komende jaren voornamelijk in de Brainportregio plaatsvinden. Vanuit het bedrijfsleven worden nabijheidsfactoren van bijvoorbeeld de aanleverende industrie, huidige eigen vestigingen en talent als zeer belangrijke reden genoemd voor hun investeringsbeslissingen, wat ertoe leidt dat deze groei niet zomaar kan worden doorgeleid naar een andere regio met minder druk op de voorzieningen. Wel zal de groei in de bredere zone rond Eindhoven geaccommodeerd moeten worden, wat er bijvoorbeeld toe leidt dat de Brainportregio kijkt naar mogelijkheden voor de woningbouw in aangrenzende regio's.

Vraag 15

Kunt u aangeven wat de afgesproken co-financieringsvoorwaarden zijn bij de investeringen, in welke regio’s die bedragen zullen worden besteed en waaraan?

In de Kamerbrief van 16 juli 20248 heeft het kabinet vermeld dat, om tot een daadwerkelijke toekenning van de regionale plannen te komen, een nadere uitwerking door betrokken regio’s nodig is. Er is nu een bedrag per regio gereserveerd. Op basis van de kwaliteit van de herijkte plannen die voor 29 september ingediend moeten worden, zullen bedragen aan de regio’s worden toegekend. Als de plannen (nog) niet van voldoende kwaliteit zijn, kan worden besloten dat de middelen (nog) niet worden toegekend. Pas op basis van de herijkte plannen zal duidelijk worden waaraan de middelen besteed gaan worden.
Hierop sluit de cofinancieringsvraag aan, waarbij het kabinet de volgende uitgangspunten hanteert:

Vraag 16

Bent u bereid om Twente, Groningen en Delft extra te ondersteunen op het gebeid van regionale strategievorming en de triple-helix manier van werken om zo een gelijk speelveld te creëren bij het uitwerken van plannen en hierbij te leren van de langjarige ervaring hiermee in de Brainport regio?

Het kabinet vindt het belangrijk een gelijk speelveld te hanteren. Bijvoorbeeld door een helder proces in te richten en door het hanteren van een openbaar analysekader bij de toetsing van de kwaliteit van de plannen. Daarnaast hecht het Kabinet eraan dat door Twente, Groningen, Delft en de Brainportregio wordt samengewerkt aan de vraag voor het opleiden van voldoende microchip talent.
Zoals benoemd in de regionale uitvraag is aan alle regio’s de kennis en expertise van Platform Talent voor Technologie (PTvT), die ruime ervaring hebben met het opbouwen van triple-helix samenwerkingsverbanden, beschikbaar gesteld. Ook binnen de monitoringsaanpak wordt ingezet op extra ondersteuning en lerend vermogen. Er vindt onderlinge intervisie plaats (via peer-reviews) en partijen worden uitgedaagd om optimaal van elkaars kennis, kunde en ervaring te leren. De bereidheid om te leren, bij te sturen en door te ontwikkelen door zowel de regio’s als de overheid staat centraal.

Vraag 17

Kunt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Ja, de vragen zijn afzonderlijk beantwoord. Gezien de benodigde interdepartementale afstemming hebben we uw vragen zo snel als mogelijk beantwoord.

Vraag 1

Bent u bekend met het artikel «Dure reclamefilmpje blijkt flop: nauwelijks «ouderlijk toezicht» op Instagram»?1

Ja, ik ben hiermee bekend.

Vraag 2

Kunt u aangeven wat de wettelijke verplichtingen zijn ten aanzien van social mediagebruik onder 16 jaar? In hoeverre voldoen social mediabedrijven, en specifiek META, hieraan? Acht u deze aanpak voldoende?

Rechtmatige verwerking van persoonsgegevens bij online diensten, zoals Meta, van kinderen die de leeftijd van 16 jaar nog niet hebben bereikt mogen volgens de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) alleen met toestemming van de ouders of de wettelijke vertegenwoordiger worden verwerkt. Dit betekent dat een kind jonger dan zestien jaar enkel een account mag aanmaken als hiervoor door de ouder of wettelijke vertegenwoordiger toestemming is gegeven. Bedrijven die online persoonsgegevens van kinderen verwerken zijn volgens de AVG verplicht een redelijke inspanning te leveren om te controleren of er daadwerkelijk toestemming is gegeven. Naast deze wettelijke verplichting kiezen diverse sociale mediaplatforms, waaronder Instagram, ervoor om kinderen jonger dan 13 jaar in elk geval niet toe te laten tot hun platform. Deze regel volgt echter niet uit een wettelijk vereiste. Uit onderzoek van Ofcom, de Britse mediatoezichthouder, blijkt dat 60% van de kinderen tussen de 8 en 12 jaar een sociale media-account hebben. Hoewel dit onderzoek specifiek ziet op Britse kinderen is het aannemelijk dat deze aantallen in Nederland vergelijkbaar zijn. Dit zijn zorgelijke aantallen en het is belangrijk dat dit wordt teruggebracht en dat sociale media platforms aan de wetgeving (ouderlijke toestemming onder de 16 jaar) en aan hun eigen beleid (veelal geen account onder de dertien jaar) voldoen.
Het is aan de Europese toezichthouders (in Nederland is dit de Autoriteit Persoonsgegevens (AP)) dan wel aan de toezichthoudende autoriteit van de hoofdvestiging in een andere lidstaat, om als onafhankelijke toezichthouder toe te zien op de naleving van de AVG en waar nodig handhavend op te treden voor zover de toezichthouder daar de competentie toe heeft.
De Digitaledienstenverordening (DSA), die in februari van dit jaar volledig van toepassing is geworden, verplicht bovendien onlineplatforms die toegankelijk zijn voor minderjarigen om passende en evenredige maatregelen te nemen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen (artikel 28 DSA, eerste lid). De Autoriteit Consument & markt (ACM) en de AP zijn de beoogde toezichthouders op de naleving van een groot deel van de DSA waarbij de ACM digitaledienstencoördinator is. Beide toezichthouders zullen worden aangewezen in de uitvoeringswet DSA (uDSA). De uDSA is echter nog niet officieel aangenomen. Vooralsnog is de ACM aangewezen als voorlopige bevoegde autoriteit.
Zeer grote online platforms moeten daarnaast op grond van de DSA ook de systeemrisico’s voor de bescherming van minderjarigen in kaart brengen en mitigeren. Het gaat hierbij onder andere om de werkelijke of voorzienbare negatieve effecten op de bescherming van minderjarigen. Een ander relevant systeemrisico in dit kader zijn ernstige negatieve gevolgen voor het lichamelijke en geestelijke welzijn van personen. Zeer grote online platforms moeten dus nadrukkelijk rekening houden met de negatieve effecten die hun algoritmes kunnen hebben op kinderen en zij moeten deze systemen zo nodig aanpassen. Zij moeten dit bovendien laten onderzoeken door externe auditors. De Europese Commissie (EC) houdt toezicht op de naleving van deze verplichtingen voor de zeer grote online zoekmachines en platforms, waar Instagram en Facebook onder vallen. Ook het Europees Centrum voor Algoritmische Transparantie is mede hiertoe opgezet.
Er zijn dus verschillende wettelijke verplichtingen die beogen kinderen online te beschermen. De DSA is een belangrijke stap voor de bescherming van kinderen in de online wereld. Deze verordening is echter recentelijk pas van toepassing geworden. De voor de DSA noodzakelijk nationale uDSA is bovendien vertraagd waardoor ook de start van het toezicht op de DSA nog niet volledig operationeel is. Het kabinet zal de uitwerking van de DSA in de praktijk monitoren. De verordening voorziet bovendien in een tweetal evaluaties; per 17 november 2025 en 17 november 2027. Het kabinet wil de uitkomsten van deze evaluaties afwachten voordat er een uitspraak kan worden gedaan of het voorgenomen stelsel met regulering via de DSA voldoende handvatten biedt.
De EC werkt daarnaast aan de uitwerking van richtsnoeren onder de DSA over de bescherming van minderjarigen online. Deze richtsnoeren zullen, zodra ze zijn aangenomen, advies geven over hoe onlineplatforms een hoog niveau van privacy, veiligheid en beveiliging voor minderjarigen online moeten implementeren. De EC heeft aangegeven hierbij in te willen zetten op een risico gebaseerde aanpak, gebaseerd op kinderrechten impact assessments.
Naast deze eerdergenoemde meer specifieke verplichtingen om kinderen te beschermen, moeten bedrijven zich richting alle consumenten, waaronder kinderen, houden aan het consumentenrecht. Zo mogen bedrijven consumenten niet misleiden (een vorm van een oneerlijke handelspraktijk). Wat een oneerlijke handelspraktijk is kan per situatie anders zijn. Daarbij wordt o.a. rekening gehouden met de kwetsbaarheid van consumenten. Sommige groepen, zoals kinderen, zijn extra kwetsbaar en vaak gevoeliger voor verleidingstechnieken.
De ACM houdt in Nederland toezicht op de naleving van het consumentenrecht door bedrijven en heeft in haar eerder gepubliceerde Leidraad Bescherming online consument, invulling gegeven aan de norm voor online misleiding. Daarbij wordt ook ingegaan op praktijken gericht op kinderen.2

Vraag 3

Welke stappen heeft de overheid tot nu toe gezet om niet naleving van Tech bedrijven te handhaven? Zijn er inmiddels sancties uitgedeeld, zo ja welke? Kunt u deze uitsplitsen per bedrijf?

De toezichthouders hebben verschillende middelen en instrumenten tot hun beschikking om te handhaven. Zo is de EC onder de DSA eind april een nalevingszaak gestart naar TikTok, en medio mei naar Instagram en Facebook. Deze zaak ziet onder andere op de verslavende werking van deze diensten en het gebruik van informatiefuiken.3 Wanneer de EC na afronden van dit onderzoek vaststelt dat er sprake is van een inbreuk kan zij een boete opleggen van maximaal 6% van de totale wereldwijde jaaromzet. Het is aan de verschillende toezichthouders om toezicht te houden op de naleving van de eerdergenoemde regelgeving daar waar die competentie niet bij de EC ligt.
Eerder heeft de Autoriteit Persoonsgegevens (AP) een boete opgelegd aan TikTok4. De AP was destijds de bevoegde toezichthouder, voordat TikTok haar Europese hoofdvestiging naar Ierland verhuisde. Daarna heeft ook de Ierse Data Protection Commission (DPC) op 1 september 2023 aan TikTok een boete opgelegd van 345 miljoen Euro wegens meerdere schendingen van de AVG.5 Omdat de hoofdvestiging van TikTok in de EU in Ierland is gevestigd, was de DPC de competente toezichthouder. Dit onderzoek is in nauwe samenwerking met de AP uitgevoerd.
Naast handhaving zet de overheid ook in op het de ontwikkeling van instrumenten om ontwikkelaars van onlinediensten te ondersteunen bij het creëren van leeftijdsgeschikte ontwerpen, waarbij de risico’s op schending van kinderrechten zoveel mogelijk worden beperkt. Zo heeft het vorige kabinet een kinderrechten impact assessment (KIA) ontwikkeld en een geactualiseerde Code voor kinderrechten opgesteld. Deze KIA’s zullen jaarlijks worden uitgevoerd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, op sociale mediaplatformen die veel door kinderen worden gebruikt.6 De uitvoering van de eerste kinderrechten impact assessments is recent gestart. De eerste resultaten worden begin 2025 verwacht. Deze resultaten zullen na afronding met uw Kamer worden gedeeld.

Vraag 4

Welke sanctiemiddelen staan er nog steeds open die nog niet ingezet zijn en gaat u deze inzetten om naleving van de wet af te dwingen?

Zoals in het antwoord op vraag 3 is toegelicht, is er door de EC een onderzoek gestart onder de DSA en beoordeelt de AP, of de toezichthoudende autoriteit van de hoofdvestiging in een andere lidstaat, per geval en uit eigen beweging of er aan de AVG is voldaan en of er al dan niet handhavings- en onderzoeksbevoegdheden ingezet dienen te worden. Er bestaat hierin geen rol voor het ministerie, enkel de onafhankelijke toezichthouder heeft handhavings- en onderzoeksbevoegdheden. Deze handhavings- en onderzoeksbevoegdheden kunnen bestaan uit het doen van onderzoek naar de naleving van wetten die zien op het gegevensbeschermingsrecht, waarbij ingezet kan worden op het inzien van gegevensverwerkingen, bijvoorbeeld in de vorm van het inzien van het register of logging dan wel het doen van audits. Daarnaast worden grote partijen die hun diensten ook aanbieden aan kinderen door de AP en haar Europese collega’s bevraagd op de risico’s voor kinderen en hoe deze partijen risico’s mitigeren om aan de wetgeving te voldoen. Tot slot heeft de AP dit jaar kritische vragen gesteld aan een groot techbedrijf dat een chatbot gericht op kinderen op de markt bracht.7
Ook heeft de AP de mogelijkheid om gegevensverwerkingen stop te zetten en kunnen dwangsommen of boetes worden opgelegd. Het is aan de toezichthouder of zij tot handhaving overgaat. Vanuit de DSA kan de AP optreden als het gaat om het verbod op profileren met gebruik van gegevens van kinderen (art. 28, tweede lid). De overheid, anders dan de eerdergenoemde toezichthouders, zoals genoemd in vraag 3, kan geen sanctiemiddelen inzetten.
Zodra de ACM volledig bevoegd is om toezicht te houden op de DSA, kan zij handhavend optreden tegen online platforms bij overtreding van de open norm dat zij maatregelen moeten nemen om een «hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen» (art. 28, eerste lid). Denk hierbij onder andere aan het opleggen van een boete of een last om een overtreding te staken. Deze handhavingsbevoegdheid beperkt zich tot aanbieders van online platforms met een hoofdvestiging of wettelijk vertegenwoordiger in Nederland. Als het online platform in een andere lidstaat gevestigd is, kan de ACM o.a. meldingen over overtredingen naar de digitale diensten coördinator van de desbetreffende lidstaat sturen of hen verzoeken handhavend op te treden.

Vraag 5

Bent u bekend met het toenemende bewijs dat social media een negatief effect heeft op jongeren? Wat vindt u ervan dat sociale mediabedrijven tot op heden nog niet aan wetgeving voldoen?

Het kabinet ziet dat er steeds meer onderzoeken uitwijzen dat problematisch gebruik van sociale media ten koste gaat van de mentale en cognitieve ontwikkeling van jongeren. Dit is zorgelijk. Om de negatieve effecten van onlinediensten voor minderjarigen te beperken, wordt er ook in nieuwere wetgeving steeds meer rekening gehouden met de kwetsbare positie van kinderen, juist ook bij het gebruik van onlinediensten. Een voorbeeld daarvan is de in het antwoord op vraag 2 genoemde DSA. Dit ziet het kabinet als een goede stap in de bescherming van kinderen tegen de schadelijke effecten van bijv. sociale mediadiensten te beschermen.
Het is uiteindelijk aan de onafhankelijke toezichthouders om vast te stellen of sociale mediabedrijven aan de in de wet- en regeling gestelde wettelijke eisen voldoen en in een voorliggend geval onrechtmatig handelen. Dat is niet aan het kabinet.

Vraag 6

Is het volgens u wel haalbaar om ouderlijk toezicht onder 16 jaar te handhaven? Zo nee, hoe kijkt u naar de mogelijkheid om deze uitzondering niet meer mogelijk te maken en een social media-account pas vanaf 16 toe te staan?

Het kabinet erkent dat het in de praktijk moeilijk kan zijn om te bepalen wanneer ouderlijke toestemming vereist is, omdat er sprake is van een gebruiker, die jonger is dan zestien jaar. Dit betekent echter niet dat sociale media-gebruik tot 16 jaar moet worden verboden. Uit wetenschappelijk onderzoek8 blijkt dat sociale media voor jongeren ook positieve effecten kunnen hebben. Zo kan het kinderen helpen op een veilige manier te oefenen met sociale relaties en is er op sociale media een schat aan informatie te vinden over verschillende onderwerpen. Het is echter wel belangrijk dat sociale mediabedrijven ervoor zorgen dat de online omgeving veilig is voor kinderen en dat zij niet worden blootgesteld aan onwenselijke praktijken, zoals schadelijke content, cyberpesten of verslavende elementen. Daarnaast is het van belang dat de toestemming van ouders wordt gevraagd in alle gevallen waarin dat wettelijk verplicht is. Hiervoor is het belangrijk dat online platforms op een adequate manier de leeftijd van kinderen vaststellen, zonder hiermee inbreuk te maken op de privacy van gebruikers. Dit risico bestaat bijvoorbeeld bij het gebruik van biometrie of het uploaden van een kopie van het identiteitsbewijs om leeftijd vast te stellen. Om kinderen beter te beschermen, heeft de voormalige Staatssecretaris Koninkrijksrelaties en Digitalisering een raamwerk leeftijdsverificatie laten ontwikkelen, dat ontwikkelaars van onlineproducten en diensten voor kinderen kan helpen om te komen tot een adequate vorm van leeftijdsverificatie voor hun onlineproduct of dienst.

Vraag 7

Hoe staat het met de ontwikkeling van het wetsvoorstel naar aanleiding van de aangenomen motie van de leden Ceder en Six Dijkstra voor een wetsvoorstel voor het borgen van wettelijke leeftijdsverificatie? Wanneer worden de contouren hiervan naar de Kamer gezonden?2

Verschillende betrokken ministeries zijn momenteel aan het uitwerken hoe wettelijke borging van adequate leeftijdsverificatie in de verschillende situaties vorm zou kunnen krijgen. Zo is het Ministerie van VWS al enige tijd bezig met het uitwerken van de eisen waar een betrouwbaarder leeftijdsverificatiesysteem bij de online verkoop van alcohol aan moet voldoen. De Staatssecretaris Jeugd, Preventie en Sport bereidt momenteel een wijziging van het Alcoholbesluit voor ten behoeve van het invoeren van een betrouwbaarder leeftijdsverificatiesysteem bij de online verkoop. Het streven is om begin 2025 de internetconsultatie te starten waarna het ontwerpbesluit in het kader van de voorhangprocedure wordt aangeboden aan beide Kamers.
Daarnaast heeft de Minister van Financiën de Kamer op 19 juni jl. in zijn antwoorden op Kamervragen van de leden Mohandis en Ceder over de noodzaak tot verplichte leeftijdscontrole bij Buy Now Pay Later (BNPL)-diensten geïnformeerd dat hij momenteel samen met de Staatssecretaris Participatie en Integratie en de Staatssecretaris Rechtsbescherming uitwerkt hoe leeftijdsverificatie door BNPL-aanbieders bij alle klanten wettelijk kan worden afgedwongen.10 In de tussentijd heeft ook het interdepartementale onderzoek problematische schulden aanbevolen een leeftijdsverificatie verplicht te stellen voor BNPL-aanbieders.11 De verkenning van mogelijke beleidsopties zal na de zomer met de Kamer worden gedeeld.
Voor sociale mediadiensten zijn er geen voornemens om online leeftijdsverificatie verder wettelijk te borgen. Online leeftijdsverificatie wordt in de DSA genoemd als mogelijke maatregel die online diensten kunnen nemen ten behoeve van de bescherming van de rechten van het kind. Verdere uitwerking hiervan zal, gezien de maximaal harmoniserende werking van de DSA, op Europees niveau moeten gebeuren. Hierbij is het wel belangrijk dat er bij Europese standaardisatie de afweging van belangen als privacy, non-discriminatie, inclusiviteit, veiligheid en betrouwbaarheid in acht worden genomen en dat dit niet leidt tot het verwerkingen van aanvullende persoonsgegevens teneinde de meerderjarigheid van afnemers van een dienst vast te stellen. Ik blijf dit internationaal onder de aandacht brengen.

Vraag 8

In hoeverre acht u zero proof knowledge identity proof technologie als betrouwbaar en middel om verplicht te stellen, dan wel via de wet dan wel via lagere regelgeving?

De toepassing van zero knowledge proof technologie voor online leeftijdsverificatie is nog niet op grote schaal onderzocht en het is daarom nog niet met voldoende zekerheid te zeggen dat deze toepassing voldoende betrouwbaar zal zijn voor online leeftijdsverificatie. Het zal daarbij ook per situatie kunnen verschillen welke betrouwbaarheid wenselijk is. Daarnaast moet worden opgemerkt dat het over het algemeen wenselijk is om wetgeving techniek-onafhankelijk op te stellen, aangezien technologische ontwikkelingen elkaar in rap tempo opvolgen. Het is dan ook ongewenst om specifieke technologieën in wetgeving vast te leggen. In lagere wet- en regelgeving kunnen wel vereisten worden vastgelegd, maar het is niet aan de wetgever om te bepalen welke specifieke technologie hierbij gebruikt moet worden.

Vraag 1

Bent u bekend met het onderzoek van Trollrensics over desinformatienetwerken op sociale media met als doel de Europese verkiezingen van 2024 te beïnvloeden?1

Ja, hiermee zijn we bekend.

Vraag 2

Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?

Ja. Heimelijke beïnvloeding ondermijnt onze democratische rechtsstaat en het vertrouwen in onze democratische instituties. Daarmee vormt het een bedreiging voor onze nationale veiligheid. Het is voor het kabinet van groot belang om dreigingen tegen onze samenleving tegen te gaan.

Vraag 3

Beamen de AIVD, MIVD en NCTV de resultaten van het onderzoek volledig? Met hoeveel zekerheid is te zeggen dat in Nederland niet op dezelfde schaal campagnes zijn gevoerd door buitenlandse mogendheden tijdens de verkiezingen van 2024?

Onze inlichtingen- en veiligheidsdiensten waarschuwen al langere tijd dat inmengingsactiviteiten van andere landen in toenemende mate een bedreiging vormen.2 Het netwerk ontdekt door Trollrensics was actief in Frankrijk, Duitsland en Italië. In Nederland werd het niet waargenomen. Dit netwerk past in het normbeeld waarbij Rusland voortdurend probeert westerse beeld- en besluitvorming te beïnvloeden ten gunste van Rusland, maatschappelijke tegenstellingen probeert aan te wakkeren en te versterken en onderlinge eenheid te ondermijnen. In de openbare jaarverslagen van de AIVD en MIVD is te lezen dat Rusland zijn heimelijke beïnvloedingsactiviteiten vooral op grote Europese landen richt. Dat betekent niet dat er geen risico is voor Nederland op heimelijke beïnvloeding vanuit Rusland. Rusland stelt zich in deze opportunistisch op en is in staat om in te spelen op zich voordoende kansen in kleinere landen. Bovendien kunnen beïnvloedingscampagnes tegen bondgenoten ook indirect gevolgen hebben voor Nederland.

Vraag 4

Hebben de AIVD en MIVD signalen opgevangen dat soortgelijke desinformatiecampagnes in Nederland zijn gevoerd tijdens de verkiezingen van 2024? Zo ja, zijn deze effectief bestreden? Wat was de schaal van deze campagne(s)?

De diensten hebben een divers instrumentarium om heimelijke beïnvloeding te onderzoeken en waar nodig de samenleving, instanties en/of personen te alerteren. Het kabinet kan in het openbaar geen mededelingen doen naar waar de inlichtingen- en veiligheidsdiensten al dan niet onderzoek naar doen. Het is voor het werk van de inlichtingen- en veiligheidsdiensten immers van doorslaggevend belang dat zij in het belang van onze nationale veiligheid, geheimhouding en bronbescherming waarborgen. U kunt ervan uitgaan dat de diensten hun wettelijke bevoegdheden kunnen en zullen inzetten om heimelijke beïnvloeding te onderkennen en waar mogelijk, tegen te gaan.

Vraag 5

Draagt Nederland als wereldwijde host van online diensten, waaronder servers die gebruikt worden in Russische desinformatiecampagnes zoals recent bevestigd door de AIVD2, een bijzondere verantwoordelijkheid in het bestrijden van desinformatie? Zo ja, hoe kan hier effectief tegen worden opgetreden met respect voor de privacy van onschuldige internetgebruikers?

Aanbieders van hostingdiensten (inclusief online platformen) hebben bepaalde verantwoordelijkheden voor de informatie die zij hosten, die nader beschreven staan in de Digitaledienstenverordening (DSA). Dit betekent onder andere dat wanneer desinformatie de vorm heeft van illegale inhoud de DSA diverse bepalingen bevat die aanbieders van hostingdiensten een verantwoordelijkheid geven in de bestrijding daarvan. Artikel 6 DSA bepaalt dat aanbieders van hostingdiensten in beginsel niet aansprakelijk zijn voor informatie die gebruikers op hun servers plaatsen en opslaan. Zodra zij er echter kennis van krijgen dat ze illegale inhoud hosten, dan zijn ze verplicht om prompt te handelen en die inhoud te verwijderen of de toegang ertoe te blokkeren. Doen ze dat niet, dan kan de Europese Commissie, als toezichthouder van de DSA, ze wél aansprakelijk stellen voor die illegale inhoud. De DSA verplicht hen ook om meldingen van illegale inhoud mogelijk te maken en verduidelijkt dat dergelijke meldingen leiden tot kennis in de zin van artikel 6 (artikel 16, derde lid). Daarmee is er niet alleen een verplichting maar ook een prikkel om dat soort meldingen op te volgen.
Een puur hostingsbedrijf kan veelal niet ingrijpen op het niveau van specifieke inhoud van internetgebruikers, maar wel op het niveau van een hele server of website. Bijvoorbeeld door die ontoegankelijk te maken. Ingrepen door hostingbedrijven zijn daardoor over het algemeen minder proportioneel dan ingrepen door de website-eigenaar of de dienst die op de servers van het hostingbedrijf draait.
Niet alle desinformatie is illegaal. Niettemin kan het schadelijk zijn. Voor die gevallen bevat de DSA verplichtingen voor zeer grote online platformen. Zeer grote online platformen zoals X moeten daardoor in aanvulling op de verplichtingen waar alle aanbieders van hostingdiensten aan dienen te voldoen, verantwoordelijkheid nemen tegen desinformatiecampagnes, bijvoorbeeld in de vorm van niet-authentieke manipulatie van die diensten, op hun platformen. Dit probleem moet Europa-breed en bij de bron worden aangepakt. Artikel 34 en 35 van de DSA, die betrekking hebben op risicobeoordeling en risicobeperking, verplichten sociale media platforms als X of Facebook om maatregelen te nemen tegen gecoördineerd niet-authentiek gedrag en desinformatiecampagnes. Het is de Europese Commissie die hierop toezicht houdt vanuit de Digital Services Act (DSA). Meer informatie over de wijze waarop de Europese Commissie dit heeft ingevuld rondom de Europese Parlementsverkiezing is te vinden in het recentelijk gepubliceerde rapport hierover.4

Vraag 6

Zijn er nog andere voorbeelden bekend waar Nederland een faciliterende rol speelde in beïnvloedingscampagnes gericht op andere landen? Hoe wordt dit ondervangen?

Nederland is een belangrijk knooppunt in mondiale digitale netwerken en infrastructuur. Het is voor veel statelijke actoren aantrekkelijk om misbruik te maken van Nederlandse ICT-infrastructuur, omdat deze van hoge kwaliteit is en eenvoudig is in te zetten. De AIVD, MIVD en NCTV waarschuwen daarom al langer voor het risico van misbruik van Nederlandse infrastructuur door statelijke actoren.5 Het is een belangrijke bevoegdheid en tegelijkertijd een taak van de AIVD en de MIVD om heimelijke beïnvloeding te onderkennen en tegen te gaan. Ook als de beïnvloeding in een ander land plaatsvindt en gebruik maakt van Nederlandse infrastructuur. Op 9 juli jl. is uw Kamer geïnformeerd over de verstoring van een Russische digitale beïnvloedingsoperatie, gericht op de beïnvloeding van het publieke debat in de Verenigde Staten van Amerika. Bij deze beïnvloedingsoperatie werd gebruik gemaakt van een server in Nederland. De MIVD rapporteerde in 2022 over routers die door de Russische militaire inlichtingendienst (Glavnoje Razvedyvatelnoje Oepravlenije, GROe) gebruikt worden als aanvalsinfrastructuur en de verstoring van dat netwerk.6 In 2023 zag de MIVD dat Russische actoren gebruik blijven maken van gehackte infrastructuur van onschuldige gebruikers ten behoeve van digitale spionage-, sabotage- en beïnvloedingsactiviteiten.7
Het is van belang om de Nederlandse ICT-infrastructuur in generieke zin weerbaarder te maken tegen misbruik, daarom zet het kabinet in op de uitvoering van de Nederlandse Cybersecurity Strategie.8

Vraag 7

Doet de regering uws inziens voldoende om desinformatiecampagnes in Nederland als ook beïnvloedingscampagnes die gehost worden vanuit Nederland tegen te gaan?

Het kabinet heeft in de Voortgangsbrief Rijksbrede strategie desinformatie, die in juni aan de Tweede Kamer is verzonden, beschreven wat zij deed en welke nieuwe acties zij voornemens zijn te ondernemen. Deze acties zijn onder andere gericht op het versterken van de weerbaarheid van burgers tegen desinformatie.9
Zie verder het antwoord op vraag 5.

Vraag 8

Zijn er tijdens de Europese verkiezingen in 2024 aanvullende maatregelen genomen om desinformatienetwerken tegen te gaan? Zo ja, welke en bleken deze effectief? Zo nee, waarom niet?

Ja, er zijn maatregelen genomen in aanvulling op reeds bestaande maatregelen, zowel in samenwerking op Europees niveau, als aanvullende maatregelen op nationaal niveau.
De Europese Dienst voor extern optreden (EDEO) heeft netwerken van statelijke actoren tijdens de Europese verkiezingen beter in beeld gebracht door deze te identificeren en hierover artikelen te publiceren op de website EUvsDisinfo.10
De Europese Commissie heeft met enkele van de sociale media platformen, NGO’s en nationale toezichthouders, waaronder de ACM, een zogenoemde «stresstest» gevoerd. Hierbij testte de Commissie samen met de platformen of zij klaar waren voor heimelijke verkiezingsbeïnvloeding, zoals desinformatienetwerken, op hun platform en hoe daarmee om te gaan.11 Verder heeft de Commissie richtsnoeren gepubliceerd voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOPS en VLOSE) inzake de beperking van systeemrisico’s voor verkiezingsprocessen.12 Sinds de inwerkingtreding van de DSA is de ACM in Nederland aangewezen als digitaledienstencoördinator. Bij de afgelopen EP-verkiezing was de ACM betrokken bij onder andere de verkiezingstafel.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt samen met andere EU-lidstaten via mechanismen zoals het Rapid Alert System (RAS), de voor de verkiezingen ingestelde geïntegreerde regeling politieke crisis­respons (IPCR) en het European Cooperation Network on Elections (ECNE) om informatie en acties te coördineren en de weerbaarheid te vergroten.
Op nationaal niveau neemt het Ministerie van BZK tijdens de verkiezingen standaard extra maatregelen om de effecten van desinformatienetwerken te verminderen.13 Dit gaat op de eerste plaats om begrijpelijke en transparante communicatie over het verkiezingsproces en de stemprocedure. Als burgers weten hoe het verkiezingsproces werkt, zijn ze minder vatbaar voor desinformatie over dit onderwerp. Daarnaast organiseerde het Ministerie BZK wederom een verkiezingstafels voor vertegenwoordigers van de gemeenten, de Kiesraad en alle veiligheidspartners (Politie, OM, ACM en betrokken ministeries), waar mogelijke risico’s worden besproken die ondermijnend zijn voor het verkiezingsproces. Verder organiseerde het ministerie een webinar voor gemeenteambtenaren waar specifiek is ingegaan op het tegengaan van desinformatie.
Tot slot kan het Ministerie van BZK in bijzondere gevallen haar trusted flagger status inzetten, waardoor meldingen door sociale media platformen met prioriteit worden behandeld. De sociale mediabedrijven maken hierbij altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of actie gerechtvaardigd is. Het ministerie heeft geen bevoegdheid bepaalde content te laten verwijderen. Deze status is voor de EP-verkiezing eenmalig ingezet bij het platform X om een algemene waarschuwing te geven dat er wellicht valse berichten worden verspreid over het verkiezingsproces. Uw Kamer wordt hierover nader geïnformeerd in de evaluatie van de EP-verkiezingen. De Minister van BZK streeft ernaar deze evaluatie begin november aan uw Kamer toe te sturen.
Uit rapporten van de onder de DSA opgerichte Europese digitaledienstenraad en de EDMO (het factcheckers consortium) Task Force blijkt dat er, ondanks pogingen van desinformatienetwerken, geen grote of structurele problemen zijn geweest bij de Europese verkiezingen.14 Ook de nieuwe, onder de DSA opgerichte, Europese digitaledienstenraad concludeert op dit moment dat er geen grootschalige of systemische incidenten hebben plaatsgevonden waardoor het verloop van de Europese verkiezingen is verstoord.15

Vraag 9

Biedt de bestaande Europese wet- en regelgeving, met name via de Digital Services Act, voldoende mogelijkheden om op te treden tegen desinformatiecampagnes? Welke nationale en Europese maatregelen zijn er verder nog nodig om desinformatie effectief te bestrijden?

Ja, de desinformatiecampagnes zoals omschreven in het onderzoek van Trollrensics, vonden plaats op X. Dit platform geldt als een zeer grote online platform en valt sinds augustus 2023 onder de DSA. De DSA bevat verschillende bepalingen over inhoudsmoderatie door aanbieders van online tussenhandeldiensten. Volgens de definitie van het begrip «inhoudsmoderatie» (artikel 3, onderdeel t, van de DSA) gaat het dan om zowel illegale inhoud als om informatie die in strijd is met de algemene voorwaarden die de aanbieder toepast, bijvoorbeeld omdat hij deze onwenselijk of schadelijk acht. Desinformatie kan zowel de vorm aannemen van illegale inhoud als schadelijke inhoud. In het geval van het laatste, kan desinformatie en andere schadelijke inhoud vallen onder contractuele beperkingen die in de algemene voorwaarden opgenomen zijn. Daarnaast kan desinformatie ook vallen onder zogenaamde «systeemrisico» zoals beschreven in artikel 34 van de verordening. Tegen dergelijke schadelijke inhoud moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken.
Aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines moeten daarom, bij de beoordeling van systeemrisico’s, bijzondere aandacht besteden aan de manier waarop hun diensten (kunnen) worden gebruikt om misleidende of bedrieglijke inhoud, met inbegrip van desinformatie en gecoördineerde desinformatiecampagnes, te verspreiden of versterken. Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om toezicht te houden op zeer grote online platformen en onlinezoekmachines. Bij het treffen van maatregelen moeten platformen de rechten van burgers beschermen, zoals het recht op privacy en de vrijheid van meningsuiting.
Daarnaast is uw Kamer recentelijk geïnformeerd over de nieuwe maatregelen die wij nemen in de Rijksbrede strategie voor de effectieve aanpak van desinformatie.16 Het Ministerie van BZK heeft opdracht gegeven tot een brede verkenning waarin wordt onderzocht hoe de kwaliteit van het open publieke debat beter kan worden gewaarborgd. Daarbij wordt onderzocht welke kwetsbaarheden het open publieke debat kent, waaronder de wijze waarop desinformatie de Nederlandse democratische rechtsstaat kan ondermijnen en welke interventies het open publieke debat beter kunnen beschermen. Over dit onderzoek en de eerste resultaten wordt uw Kamer eind 2024 geïnformeerd.

Vraag 10

Doen grote online platforms volgens u voldoende om desinformatiecampagnes op hun kanalen te bestrijden? Zo ja, waaruit blijkt dat? Zo niet, van welke online platforms verwacht u meer actie en is de Digital Services Act, onder andere, voldoende uitgerust om hen hiertoe te dwingen?

De DSA verplicht zeer grote online platforms en zoekmachines om tenminste jaarlijks een risicobeoordeling te verrichten om te onderzoeken of hun diensten vatbaar zijn voor systeemrisico’s. De verspreiding van desinformatie kan zo’n systeemrisico vormen. Indien dergelijke systeemrisico’s aanwezig zijn, moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken. Dergelijke maatregelen kunnen de aanpassing van hun diensten, online-interfaces, algemene voorwaarden inhoudsmoderatieprocedures, algoritmische systemen of aanbevelingssystemen omvatten.
Het is nu nog te vroeg om volledig te kunnen vaststellen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om systeemrisico’s, waaronder de verspreiding van desinformatie, te mitigeren. Dat oordeel is in de eerste plaats aan de Europese Commissie als bevoegde toezichthouder. In het geval van niet-naleving van de bepalingen door zeer grote online platformen en zeer grote onlinezoekmachines kan de Europese Commissie handhavingsmaatregelen. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de wereldwijde omzet van een zeer groot online platform.
De Europese Commissie is voortvarend gestart met het toezicht, ook op de verplichtingen van artikel 34 en 35 DSA. Op 18 december 2023 is ze een formele procedure gestart tegen X. Onder meer omdat ze twijfelt aan de doeltreffendheid van de maatregelen die X neemt ter bestrijding van desinformatie. Deze procedure loopt nog. Op 12 juli j.l. heeft de Europese Commissie zijn voorlopige bevindingen naar X gestuurd.17 Daarnaast is ze een formele procedure gestart tegen Meta. De systeemrisico-analyses van Meta, de risico’s van desinformatie, en de maatregelen die Meta daartoe heeft genomen zijn onderdeel van die procedure.18 Wij volgen de voortgang van deze procedures en ondersteunen de Europese Commissie waar nodig in haar rol als toezichthouder op de naleving van de DSA.

Vraag 11

Welke stappen gaat u nemen om samen met uw ambtsgenoten in de EU op te treden tegen deze vorm van buitenlandse verkiezingsbeïnvloeding? Bepleit u samen met hen een gezamenlijke boodschap richting de nieuwe Europese Commissie?

Het hoofdlijnenakkoord omschrijft dat de overheid zich inzet om de maatschappij weerbaar te maken tegen desinformatie. Dit belang dragen we ook in de EU uit. Het kabinet staat in EU verband in nauw contact met andere landen waar het buitenlandse beïnvloeding betreft. Concrete voorbeelden hiervan zijn het Europese Rapid Alert System (RAS) en het European cooperation network on elections (ECNE). In deze gremia zijn onder andere signalen over desinformatie, maatregelen om hiermee om te gaan en de laatste wetenschappelijke inzichten uitgewisseld. Leden van de Europese lidstaten doen mee om de negatieve impact van desinformatie zo effectief mogelijk aan te pakken en van elkaar te leren. Via deze wegen worden ook FIMI-campagnes19 gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Waar nodig wordt gekeken naar een gezamenlijke reactie. Nederland participeert actief, o.a. door via het Rapid Alert System vertaalde versies van de Rijksbrede Strategie en de Kamerbrief Weerbaarheid Verkiezingsproces te delen.
De nieuwe Europese Commissie zal op het onderwerp desinformatie nieuwe stappen willen zetten. Dat blijkt uit de politieke richtlijnen van de herkozen Commissievoorzitter.20 Het is nu aan de Commissie om binnen hun mandaat met nieuwe voorstellen te komen. Uw Kamer wordt hier te zijner tijd over geïnformeerd.

Vraag 12

Wat is de stand van zaken van de motie van de leden Piri en Paternotte over het in de Europese Raad pleiten voor onderzoek naar buitenlandse inmenging in de Europese Parlementsverkiezingen?3

Deze motie is uitgevoerd. De Minister-President heeft tijdens de informele Europese Raad van 17 juni 2024 zijn zorgen overgebracht over mogelijke buitenlandse inmenging in de EP-verkiezingen.22 De Minister-President gaf daarbij aan dat een onderzoek wenselijk is als er indicaties van inmenging zijn. Een dergelijk onderzoek op Europees niveau zou in de eerste plaats aan het EP zijn, in samenwerking met de Belgische autoriteiten.

Vraag 13

Kunt u de vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.

Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.

Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.

Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.

Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.

Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.

Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.

Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.

Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.

Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.

Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.

Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.

Vraag 1

Bent u bekend met het volgende bericht van de heer Musk?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Bent u bekend met het vijf dagen eerder verschenen artikel «Het rommelt bij OpenAI, de maker van ChatGPT: kritiek op veilig gebruik van artificial intelligence komt van binnen en buiten» gepubliceerd door Business Insiders Nederland op 5 juni 2024?2

Ja, ik heb kennisgenomen van dit bericht.

Vraag 3

Deelt u de opvatting van de heer Musk dat de integratie van OpenAI op OS-niveau van Apple producten, zoals verkondigd door Apple op de WWDC (Worldwide Developers Conference), een potentieel veiligheidsrisico kan vormen voor deze apparaten? Zo nee, waarom niet?

Het integreren van producten van derde partijen in Apple producten, maar ook producten van vergelijkbare partijen, is een veel voorkomend proces. Dit integratieproces kan veiligheidsrisico's met zich mee brengen, waarbij de potentiële kwetsbaarheden over het algemeen toenemen naarmate de integratie diepgaander wordt. In het specifieke geval van AI-integratie binnen een besturingssysteem, zoals de integratie van OpenAI op OS-niveau, worden deze risico's verder geïntensiveerd. Deze vorm van integratie vereist namelijk toegang tot gevoelige gegevens en kerncomponenten van het OS, wat verder gaat dan conventionele integraties. Apple heeft aangegeven in openbare berichtgeving dat er in dit proces data wordt uitgewisseld met externe partijen. Ook heeft Apple in openbare berichtgeving aangegeven maatregelen te hebben getroffen om de cybersecurity en dataprivacy te borgen. Daar zijn geen technische details over openbaar gemaakt. Uiteraard moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8.
Apple heeft overigens de uitrol van de integratie van ChatGTP van OpenAI binnen de EU uitgesteld (zie hiervoor ook de beantwoording van vraag 6, 7 en 8).

Vraag 4

Deelt u de mening dat de scheidingslijn tussen «lokaal opgeslagen» en «opgehaald/gedeeld middels geautoriseerde apps» geen heldere barrière kent en derhalve flinterdun genoemd mag worden? Graag een onderbouwing van uw beantwoording.

De scheidingslijn tussen lokaal opgeslagen gegevens en gedeelde gegevens is technisch gezien duidelijk, namelijk dat lokaal opgeslagen gegevens zich bevinden op het apparaat van de gebruiker, terwijl gedeelde gegevens worden overgedragen naar externe servers. Tegelijkertijd is voor gebruikers niet altijd duidelijk wat er wel of niet gebeurt met hun gegevens. Dit komt door de complexiteit van moderne besturingssystemen en de voortdurende balans tussen gebruiksgemak en beveiliging. Hierdoor kan lokale informatie op verschillende manieren, zowel actief (aangevinkt door de gebruiker) als automatisch (bijvoorbeeld via virusscans, en spellingcheckers), met externen worden gedeeld zonder dat de gebruiker zich hiervan bewust is.

Vraag 5

Vindt u dat dergelijk potentieel veiligheidsrisico voor een overheidsorgaan onwenselijk is? Zo nee, waarom niet?

In algemene zin kunnen veiligheidsrisico’s die ontstaan door integraties van producten van derde partijen in een besturingssysteem onwenselijk zijn voor de overheid. Zo is een risico van oneigenlijk delen en verwerken van gegevens van smartphonegebruikers onwenselijk. Tegelijkertijd zijn er maatregelen mogelijk om deze risico’s te mitigeren. Ook moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8. Apple geeft aan te werken aan uitgebreide bescherming van persoonsgegevens voor hun AI-toepassingen, bijvoorbeeld middels «Private Cloud Compute (PCC)»3. De PCC ontvangt gegevens van het toestel van de gebruiker voor het uitvoeren van een AI-toepassing wanneer deze niet op het toestel zelf kunnen worden uitgevoerd. Na ontvangst worden de gegevens gebruikt voor het uitvoeren en worden deze na gebruik gelijk verwijderd. Gegevens in de PCC worden volgens Apple niet gedeeld met derden en zouden ook niet door Apple verder worden verwerkt.

Vraag 6

Wat bent u voornemens te gaan doen om hieraan gerelateerde potentiële veiligheidsrisico’s in kaart te brengen en tevens in te perken?

Voor het inzetten van AI-toepassing binnen de Rijksoverheid gelden verschillende risico mitigerende maatregelen. Deze maatregelen zijn verwerkt in zowel (EU) wet- en regelgeving alsook de inkoopvoorwaarden voor ICT. Dit betekent enerzijds dat Apple zelf verantwoordelijk is voor het naleven van de inkoopvoorwaarden en anderzijds zij op wet- en regelgeving getoetst en gecontroleerd worden door Rijksoverheidsorganisaties en toezichthouders.
Voor het gebruik van generatieve AI-toepassingen, zoals die van Apple, geldt nog steeds het voorlopige standpunt generatieve AI over het gebruik door Rijksorganisaties van generatieve AI.4 Hierin staat dat voor het inzetten van een AI-toepassing, deze onderworpen moet worden aan een Impact Assessment Mensenrechten Algoritme (IAMA) en een Data Protection Impact Assessment (DPIA). De uitkomsten van de DPIA en IAMA dienen voor inzet van de toepassing ter advies aan de (departementale) Chief Information Officer (CIO) en de Functionaris Gegevensbescherming (FG) te worden voorgelegd. Door middel van deze maatregelen worden potentiële veiligheidsrisico’s op tijd gesignaleerd en kan er doelmatig ingegrepen worden.
Leveranciers hebben ook een eigen verantwoordelijkheid om te voldoen aan wetgeving en inkoopvoorwaarden. Zoals in antwoord op vraag 3 benoemd, heeft Apple vooralsnog de uitrol van de AI integratie binnen de EU uitgesteld.

Vraag 7

In hoeverre past een integratie van AI op OS-niveau binnen de kaders van de DMA, DSA, AI-Act en andere relevante wetten, regels en verordeningen?

Het is aan de toezichthouders en uiteindelijk aan de rechters op Europees en nationaal niveau om te bepalen in hoeverre een integratie van AI op OS-niveau binnen de bestaande kaders van relevante wet- en regelgeving past. In de Digital Markets Act (DMA) en de AI-verordening staan bepalingen die ingaan op onder andere interoperabiliteitsverplichtingen en de verantwoordelijkheden binnen de waardeketen van AI. Besturingssystemen vallen niet binnen de reikwijdte van de Digital Services Act (DSA).
Apple is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. De iOS-diensten van Apple vallen onder het toepassingsgebied van de DMA en zijn door de Commissie aangewezen als kernplatformdienst in de categorie besturingssysteem (artikel 2, tweede lid, onder f). Dit betekent dat Apple moet zorgen voor effectieve naleving van de maatregelen in de DMA die van toepassing zijn op besturingssystemen, zoals het verbod op het combineren van data of de interoperabiliteitsverplichtingen. Op basis van artikel 5, tweede lid, van de DMA mag Apple bijvoorbeeld niet zonder toestemming persoonsgegevens gebruiken in andere diensten die Apple afzonderlijk aanbiedt.
Onder de DMA zijn diensten die gebruikmaken van AI niet opgenomen als afzonderlijke kernplatformdienst. Uit overweging 14 van de DMA volgt echter dat de definitie van kernplatformdiensten voor de toepassing van deze verordening technologieneutraal is en ook diensten omvat die langs verschillende wegen worden aangeboden. De onderliggende technologie waar het besturingssysteem op leunt, kan op deze wijze dus ook onder het toepassingsgebied van de DMA komen te vallen. Dat betekent echter niet dat de DMA zich verzet tegen een integratie van AI op OS-niveau, mits Apple zich voor haar iOS-diensten houdt aan de verplichtingen en verboden die volgen uit de DMA.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 2 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stelt aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.

Vraag 8

Wat gaat u doen om de privacy van onze burgers te borgen?

De privacy van burgers binnen het digitale domein wordt op verschillende manieren geborgd. Binnen de EU wordt het grondrecht op gegevensbescherming wettelijk beschermd via de Algemene Verordening Gegevensbescherming (AVG). Toezicht en handhaving op de rechtmatigheid van gegevensverwerking in de publiek en private sector wordt in Nederland gedaan door de Autoriteit Persoonsgegevens (AP).
De AP is een onafhankelijke toezichthouder en heeft ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. Zo heeft de AP als toezichthoudend autoriteit de bevoegdheid om organisaties te gelasten alle informatie voor hun onderzoek te verstrekken (art. 58, AVG). Ook is de AP bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. Sancties die de AP kan opleggen zijn: waarschuwingen, berispingen, last onder dwangsom, boetes (maximaal 20 miljoen of 4% van de wereldwijde jaaromzet) of een verwerkingsverbod.
In de casus van Apple wordt het toezicht niet door de AP opgepakt, maar door de Ierse privacyautoriteit. Het Europese hoofdkantoor van Apple is namelijk gevestigd in Cork, Ierland. Dit houdt in dat, aangezien de hoofdvestiging zich in Ierland bevindt, de leidende toezichthoudende autoriteit conform artikel 56 uit de AVG de Ierse toezichthouder is. De Ierse toezichthouder heeft eenzelfde mandaat en bevoegdheden als de Nederlandse AP en zij werken bij grensoverschrijdende gegevensverwerkingen nauw samen. Deze samenwerking vindt plaats middels de European Data Protection Board (EDPB).

Vraag 1

Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.

Vraag 2

Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3

Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.

Vraag 3

Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.

Vraag 4

Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.

Vraag 5

Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.

Vraag 6

Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.

Vraag 7

Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?

Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.

Vraag 8

Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?

Zie antwoord vraag 7.

Vraag 9

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?

Zie antwoord vraag 7.

Vraag 10

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?

Zie antwoord vraag 7.

Vraag 11

Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?

Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.

Vraag 12

Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?

Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 13

Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?

Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 14

Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?

Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.

Vraag 15

Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?

Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.

Vraag 16

Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?

De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.