Het bericht ‘Pleidooi voor AI-richtlijn op scholen: 'Risico's groot, bewustzijn laag'’ |
|
Ilana Rooderkerk (D66) |
|
Mariëlle Paul (VVD) |
|
![]() |
Bent u bekend met het pleidooi van de Algemene Onderwijsbond (AOb) voor een AI-richtlijn op scholen?1
Ja.
Welk inzicht heeft u in het gebruik van artificiële intelligentie (AI) door scholen? Heeft u een overzicht van welke AI-tools worden ingezet door scholen zelf?
In algemene zin hebben we inzicht in het gebruik van AI door scholen en welke tools dat zijn. In de meest recente Monitor Digitalisering Onderwijs (MDO, voorheen MYRA) 2023 van Kennisnet, de PO-Raad en de VO-raad is leraren gevraagd naar het gebruik van digitale middelen2. In het primair onderwijs maakte in 2023 63 procent van de leraren gebruik van dashboards waarop de voortgang van leerlingen te volgen is (Snappet, Gynzy, Prowise Learn, Rekentuin) en 40 procent gebruikte adaptieve gepersonaliseerde digitale leermiddelen.3 In het voortgezet onderwijs betrof dit respectievelijk 31 procent en 29 procent van de leraren.4 In de MDO 2025 zal leraren specifiek gevraagd worden of zij AI (apps of toepassingen) bij de lessen en lesvoorbereiding gebruiken en over welke kennis en vaardigheden zij op dit terrein beschikken
Heeft u inzicht in de manier waarop door leerlingen gebruik wordt gemaakt van AI voor het maken van werkstukken en huiswerkopdrachten en hoe scholen hiermee omgaan?
Ik heb geen inzicht in de manier waarop leerlingen thuis gebruik maken van AI voor het maken van werkstukken en huiswerkopdrachten.
Op welke wijze heeft AI een plek in de nieuwe kerndoelen voor digitale geletterdheid? Wanneer zijn deze definitief verankerd?
Begin maart 2024 heeft de SLO de conceptkerndoelen digitale geletterdheid opgeleverd. In deze concepten is AI expliciet opgenomen. Momenteel worden de kerndoelen op scholen beproefd op bruikbaarheid en wordt geëvalueerd hoe goed ze aansluiten bij de praktijk. Daarnaast zal dit najaar de wetenschappelijke Curriculumcommissie een advies uitbrengen over de conceptkerndoelen.
In oktober ontvangt uw Kamer een brief waarin wordt toegelicht hoe hier invulling aan wordt gegeven.
Vindt u het goed dat leerlingendata terechtkomt in handen van grote AI-bedrijven? Hoe verhoudt dit zich tot de Algemene verordening gegevensbescherming (AVG) en wat gaat u hieraan doen?
Ik vind het belangrijk dat de (digitale) veiligheid en privacy van de onderwijsomgeving van leerlingen en onderwijspersoneel geborgd is. Het is in de eerste plaats aan de schoolbesturen om hun (digitale) onderwijs vorm te geven, en daarbij te kiezen of, en zo ja welke, AI-producten ze hierbij inzetten. AI kan het onderwijs ondersteunen, mits bewust gekozen en verantwoord toegepast. De handreiking AI van Kennisnet biedt handvatten om te zorgen voor sociale veiligheid en een pedagogisch klimaat bij AI op school.5 Daarnaast is het van groot belang dat de persoonsgegevens van leerlingen bij het gebruik van AI-systemen goed worden beschermd. De website Aanpak IBP van Kennisnet helpt scholen om de AVG goed na te leven. Relevant is onder meer dat de school een verwerkersovereenkomst afsluit met de leverancier van het AI-systeem waarin contractueel wordt vastgelegd dat de leverancier de gegevens alleen mag gebruiken voor de doelen die de school aangeeft. Ook is de school in de meeste gevallen verplicht om een data protection impact assessment (DPIA ofwel een privacyonderzoek) uit te voeren als in een AI-systeem persoonsgegevens worden verwerkt, waarmee de privacyrisico’s in kaart worden gebracht en maatregelen genomen worden om deze te beperken. Omdat dit voor scholen intensief en tijdrovend kan zijn, voeren de ICT-coöperaties SURF en SIVON namens de onderwijssector DPIA’s uit op digitale producten die in het onderwijs gebruikt worden. Dat doen ze niet alleen bij Nederlandse aanbieders, maar ook voor grote internationale bedrijven zoals Google en Microsoft. In dit kader zijn afspraken gemaakt met onder andere Zoom, Google en Microsoft over het beschermen van de privacy van leerlingen, studenten en medewerkers. Ik bevorder via het Programma Digitaal Veilig Onderwijs dat SIVON ook DPIA’s kan uitvoeren op andere digitale producten die in het funderend onderwijs worden gebruikt.
Denkt u dat leerkrachten en scholen voldoende toegerust zijn om AI veilig in te zetten en de inzet ervan door leerlingen te herkennen en te bespreken?
Ik vind het belangrijk dat het onderwijs AI op een doordachte en verantwoorde manier toepast, met aandacht voor publieke waarden zoals privacy en kansengelijkheid en dat leraren bewuste en weloverwogen keuzes kunnen maken over het gebruik van AI. Leraren moeten de technologie kunnen gebruiken, en begrijpen hoe AI-systemen werken, wat hun beperkingen zijn en welke ethische vraagstukken daarbij komen kijken. Dit vraagt van leraren dat zijzelf ook digitaal vaardig zijn.
Daarom ondersteun ik leraren op verschillende manieren bij de inzet van AI in het onderwijs. Er zijn concrete handvatten beschikbaar, zoals de handreiking AI in het onderwijs van Stichting Kennisnet die scholen helpt verantwoorde keuzes te maken rondom AI, met richtlijnen voor beleid en professionalisering. En er is de gratis online AI-cursus van de Nederlandse AI-coalitie voor docenten in het primair en voortgezet onderwijs. Het Expertisepunt Digitale Geletterdheid biedt daarnaast ondersteuning aan het po, vo, s(v)o en mbo. Tot slot werken we samen met Vlaanderen aan digitale professionalisering voor leraren. We gaan samen onderzoeken hoe we leraren op slimme manieren beter kunnen ondersteunen bij het aanleren van digitale vaardigheden.
Bent u bekend met het bericht «Meer kennis algoritmen nodig op scholen, «anders risico op discriminatie»»?2
Ja.
Deelt u de zorgen van het College voor de Rechten van de Mens over dat de inzet van adaptieve leermiddelen kan leiden tot kansenongelijkheid?
Ik ben het met het College eens dat het van belang is dat systemen die gebruikt worden in het onderwijs niet leiden tot uitsluiting of discriminatie. Kinderen mogen nooit de dupe worden van discriminatie, ook niet wanneer die impliciet in algoritmes is ingebouwd. Hoewel de onderzoekers aangeven dat er op dit moment geen concrete voorbeelden te vinden zijn van discriminatie of uitsluiting door algoritmes in het funderend onderwijs, is het ook in de toekomst van belang dat dit geen plaats krijgt in de (digitale) onderwijssystemen. Daartoe is recent de nieuwe AI-verordening in werking getreden. Deze Europese wet stelt verdere grenzen aan de toepassing van algoritmes in het onderwijs. Zo wordt het gebruik van een aantal typen AI en algoritmes ingedeeld in de hoog-risico-categorie, waarin extra eisen zijn opgenomen. Systemen die zich richten op onder andere toelating tot het onderwijs of het beoordelen van een passend onderwijsniveau vallen in deze categorie. Als onderwijsinstellingen deze systemen willen inzetten, dienen zij aanvullende maatregelen te treffen om te voorkomen dat gebruik van deze systemen kansenongelijkheid in de hand werkt.
Op welke wijze wordt toezicht gehouden op de algoritmes van programma’s zoals Snappet, Gynzy en andere lesmethoden?
Op Europees niveau biedt de recent geïntroduceerde AI-verordening een juridisch kader om ervoor te zorgen dat AI-systemen veilig en ethisch worden ingezet. De komende tijd zal ik samen met de onderwijssector verkennen hoe we de maatregelen binnen de AI-verordening het beste kunnen vormgeven.
Op nationaal niveau speelt het Nationaal Onderwijslab AI (NOLAI) een belangrijke rol in het waarborgen van de kwaliteit, kansengelijkheid en de regie van leraren in de verantwoorde ontwikkeling en toepassing van AI in het onderwijs. Zo maakt NOLAI in het wetenschappelijk programma de pedagogische, maatschappelijke en sociale gevolgen van intelligente technologie in onderwijs inzichtelijk. In het onlangs gepubliceerde referentiekader wordt de werkwijze van het Onderwijslab uitgelegd.7 Daarnaast biedt het opschalingsplan van NOLAI waardevolle inzichten in de integratie van AI-producten in het onderwijs, waarbij de visie van scholen en de vaardigheden van leraren centraal staan. Leraren worden uitgerust met de benodigde kennis en tools om AI op een verantwoorde en effectieve manier in hun onderwijspraktijk te integreren en zorgt voor een duurzame en brede implementatie van AI-producten in het funderend onderwijs.
Hoe gaat u transparantie, uitlegbaarheid en de eerlijkheid van deze algoritmes waarborgen?
Zie antwoord vraag 9.
Heeft u inzicht in hoeveel scholen zelfstandig richtlijnen of beleid hebben opgesteld voor het gebruik van AI?
Ik vind het belangrijk dat scholen bewuste en verantwoorde keuzes maken over het gebruik van AI op basis van een AI-beleid dat past bij de visie op onderwijs en de kernwaarden van de school. Scholen kunnen hiervoor gebruikmaken van het Vier-in-balans model8 en de Handreiking AI in het onderwijs9 van Kennisnet. In de Monitor Digitalisering Onderwijs 2025 zullen onder meer vragen worden opgenomen over visie en beleid van het schoolbestuur omtrent AI, en of de school richtlijnen heeft over verantwoord gebruik van AI in de klas.
Bent u bereid om in gesprek te gaan samen met de AOb en scholen die vooroplopen als het gaat om AI-beleid om lessen te trekken voor een eventuele landelijke richtlijn?
In onze huidige digitale maatschappij, waar technologische innovaties zich snel ontwikkelen, is het noodzakelijk dat we scholen ondersteunen bij de doordachte inzet en gebruik van AI in de klas. In het kader van de gesprekken die ik zal voeren met de onderwijssector over de AI-verordening en hoe we de maatregelen en het toezicht daarop vormgeven, ga ik graag in gesprek met de AOb, de andere onderwijspartners en scholen. Tegelijkertijd wil ik benadrukken dat er al op verschillende manieren ondersteuning wordt geboden aan schoolbestuurders, schoolleiders en leraren. Door inzichten te bundelen kunnen we de samenwerking tussen alle betrokken partijen versterken.
Bent u bereid om samen met de AOb de handschoen op te pakken voor een richtlijn voor AI in de klas? Zo nee, waarom niet?
Zie antwoord vraag 12.
Op welke wijze is er met de betrokken regio’s overleg gepleegd over en instemming verkregen van de voorgestelde verdeling van de Beethoven-gelden, gezien de negatieve reacties van met name de regio’s Twente en Groningen in de media op het advies? Bent u van mening dat met dit advies de motie van het lid Van Hijum c.s. (Kamerstuk 36 550, nr. 7) voldoende is uitgevoerd?
Het doel van het Nationaal Versterkingsplan is het zo spoedig mogelijk opleiden van extra technische talenten die hun werkkring daadwerkelijk kiezen in de microchipindustrie. De aanpak is vanaf de start een inhoudelijk proces geweest, leidend naar noodzakelijke effectiviteit: het juiste talent, op de juiste plaats, in de juiste tijd.
Samen met de vier betrokken regio’s uit het convenant is een iteratief en collaboratief proces doorlopen met als doel het opleiden van extra technische talent voor de locaties waar de vraag vanuit de microchipindustrie zich bevindt. Het begrip regio is hier breed en niet specifiek gedefinieerd. Dit heeft primair betrekking op de bereidheid tot forenzen naar de industrie. In alle vier de regio’s hebben dialoogsessies plaatsgevonden met speciaal gezant Hans de Jong en vertegenwoordigers van de Rijksoverheid, waarin ook aandacht besteed is aan de talentvraag van de industrie uit de eigen regio en de landelijke talentbehoefte. In deze sessies is het uitgangspunt gehanteerd dat de regionale talentvraag voor het op te leiden microchip-talent door de industrie gevalideerd moet zijn. Ook zijn er doorlopend gezamenlijke regio-overleggen geweest met de regiocoördinatoren voor tussentijdse afstemming en zijn er individuele afstemmingmomenten geweest.
Aan de regio’s is gevraagd binnen de kaders van de regionale uitvraag1, in samenwerking met regionale partners, een conceptplan te maken. Er is ruimschoots gelegenheid geboden om vragen te stellen over de aard en inhoud van de opdracht. De ingediende conceptplannen bleken gezamenlijk niet te passen binnen de gestelde doelen. Bovendien werd het door het kabinet beschikbaar gestelde budget met ongeveer een factor 4 overschreden.
In het overleg met de regiocoördinatoren werd het voorstel gedaan om als tussenstap de microchipindustrie te consulteren over de huidige en toekomstige wervingspraktijk en dit medebepalend te laten zijn voor de criteria rondom de toewijzing van middelen. Een vertegenwoordiging van microchipbedrijven (zowel grote bedrijven als mkb) geeft aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Mbo-talent komt momenteel voor ruim 95% uit de eigen regio, hbo-talent voor ca. 80% en wo-talent voor 50%. De bedrijven verwachten geen grote verschuivingen in dit beeld richting de toekomst. De wervingspraktijk van de bedrijven en de geografische locaties waar deze industrie in Nederland doorgroeit op basis van bedrijfsplannen, hebben we na verificatie als leidende factor beschouwd voor de reservering van de middelen over de regio’s. Door de vraag van de microchipsector (de huidige en toekomstige wervingspraktijk) en het door het kabinet beschikbaar gestelde budget als uitgangspunten te nemen, zijn de reserveringen voor verschillende regio's lager dan zoals door hen zelf voorgesteld in de conceptplannen.
In het debat met de Minister van Financiën heeft het lid Van Hijum aangegeven dat er een inhoudelijke relatie moet zijn tussen datgene wat een regio levert en het aandeel dat men krijgt. De in de motie Van Hijum2 genoemde evenwichtigheid moet volgens het kabinet gezien worden in het licht van de talentopgave van de microchipsector. Het kabinet heeft de evenwichtige verdeling vervolgens gemaakt op basis van de vraagarticulatie van de microchipindustrie. Het kabinet is van mening dat dit advies aansluit op de motie van het lid Van Hijum c.s.
Op welke wijze zijn de adviescommissie en de partijen van het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» gekomen tot de selectie van de betrokken regio’s? Ziet u dit wellicht voor andere regio’s ook gelden, gezien de aanwezigheid van regio Groningen in dit consortium waar geen microchipindustrie zit, maar de adviescommissie wel de potentie voor langjarige ontwikkeling ziet? Zo ja, voor welke?
In de Kamerbrief van 28 maart 20243 beschrijft het kabinet dat chipbedrijven en toeleveranciers in Nederland met grote uitdagingen kampen op het gebied van technisch geschoold personeel op alle niveaus. De regiegroep heeft uitvoering gegeven aan het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector». De investeringen zijn gericht op het mogelijk maken van de schaalsprong van de microchipsector in Nederland. Ongeveer 70% van de werkgelegenheid van de microchipsector is momenteel in de Brainportregio. De nabijheid en bereikbaarheid van onderwijsinstellingen ten opzichte van de plek waar microchipbedrijven zijn gevestigd spelen een belangrijke rol bij de werving van talent. In het antwoord op vraag 1 wordt beschreven dat microchipbedrijven mbo-talent, en in iets mindere mate hbo-talent, zo dicht mogelijk werven bij de geografische plek waar zij zijn gevestigd.
Daarnaast geldt dat voor wo-talent, en in mindere mate hbo-talent breder gekeken is naar de opleidingen die een bijdrage leveren aan het vergroten van het technisch talent in Nederland. Daaruit komt naar voren dat naast de Brainportregio ook Twente en Delft geografische regio’s zijn om talent op te leiden en te werven. Wo-talent is volgens het bedrijfsleven en de bij het kabinet bekende gegevens, significant mobieler en wordt voor een groter deel geworven ook vanuit andere opleidingsplaatsen. Hierin speelt ook Groningen een steeds belangrijkere rol, aangezien met name de Rijksuniversiteit Groningen een kwalitatieve bijdrage levert aan het opleiden van technische studenten. De vier in het convenant genoemde regio's hebben de mogelijkheid om voor hun opleidingsplannen ook andere regio's te betrekken. Gedurende de totstandkoming van het advies zijn regio’s die hebben aangegeven een aantoonbare bijdrage te kunnen leveren aan de opgave, uitgenodigd zich bij een van de vier regio’s aan te sluiten. Zo lopen er momenteel al gesprekken tussen Brainport en enkele andere regio's die niet in het convenant benoemd zijn.
Is er overwogen om de bijbehorende mbo/hbo-opleidingen uit de regio Limburg actief te betrekken in de plannen, gezien de relatieve nabijheid van de Limburgse maakindustrie en het feit dat er volgens de «uitvraag regionale voorstellen» aanzienlijk wat personeel uit Limburg afkomstig is? Is er overwogen om met de grote sluiting van Nedcar in Borne, op 45 autominuten van Veldhoven, actief technisch personeel aan te trekken?
Ja, bij de uitvraag naar de vier regio’s is een groot aantal onderwijsinstellingen, inclusief onderwijsinstellingen uit Limburg en de onderwijskoepels, op deze uitvraag gewezen. Er is een oproep gedaan aan instellingen die een fundamentele bijdrage kunnen leveren aan de talentopgave van de microchipsector om zich bij een van de vier regio’s te melden. Er wordt op dit moment actief gesproken door Brainport met Limburgse onderwijsinstellingen. Het is aan de regio’s om te bezien op welke wijze zij een bijdrage kunnen leveren aan de talentopgave van de industrie binnen de kaders van de uitvraag. Kwaliteit van de samenwerking is opgenomen als criterium in het analysekader dat wordt gebruikt bij het beoordelen van de plannen.
De sluiting van autobouwer VDL Nedcar heeft helaas tot ontslagen geleid. Voormalig VDL Nedcar-personeel kan zich uiteraard kandidaat stellen voor openstaande vacatures in de Brainportregio. Op dit moment sluiten de vaardigheden van het voormalig personeel niet altijd direct aan op de vraag van de microchipindustrie. Er bestaat hier ook een bredere behoefte om tot een betere aansluiting te komen op de arbeidsmarkt. Daarom is er vanuit het Europees Sociaal Fonds € 1,2 miljoen beschikbaar gesteld voor scholing en begeleiding van de ontslagen VDL Nedcar-medewerkers die nog geen nieuwe baan hebben gevonden. De Provincie Limburg, de Zuid-Limburgse gemeenten en het UWV (verenigd in de Arbeidsmarktregio Zuid-Limburg) en het Ministerie van Sociale Zaken en Werkgelegenheid stellen daar bovenop gezamenlijk € 800.000,– beschikbaar. Het budget zal vooral worden ingezet voor een integraal pakket van dienstverlening bestaande uit loopbaanoriëntatie, -begeleiding en -advies, aangevuld met scholings- en ontwikkeltrajecten.
Kunt u een overzicht geven van de beschikbare opleidingsplaatsen per relevante studierichting per regio? Hoeveel opleidingsplaatsen worden er per jaar ingevuld, hoeveel studenten studeren er per jaar momenteel af en hoeveel dit er in 2030 zouden moeten zijn? Kunnen de beschikbare bedragen per regio ook worden onderverdeeld naar mbo, hbo en wo?
Tot en met 2030 wordt de verwachte behoefte aan extra talent van de microchipindustrie geschat op ongeveer 38.000 medewerkers. Het gaat hierbij om extra vacatures bovenop het natuurlijk verloop. Deze schatting is gebaseerd op een enquête onder chipbedrijven en andere bekende cijfers over de industrie, onder meer van het CBS en RVO. Er is in de enquête ook gevraagd naar het scholingsniveau van de talentbehoefte. Deze gegevens zijn gecombineerd met data over het huidige opleidingsniveau in de microchipindustrie en resulteert in een behoefte van de sector die als volgt is verdeeld: 39% mbo, 23% hbo en 38% wo-niveau. In de regionale uitvraag is in bijlage 2 en 3 aangegeven wat relevante studierichtingen voor de microchipindustrie zijn. Daarbij is ruimte gelaten aan regio’s om daar breed naar te kijken. Immers, niet alle functies in de microchipsector zijn één-op-één te vertalen naar een opleiding. Regio’s kunnen andere afwegingen in de selectie van relevante opleidingen maken als dit past bij de vraag van de sector. Daarom kan het kabinet pas van de oplevering van de definitieve plannen van de regio's inzicht geven in de huidige studentenaantallen per relevante studierichting en de aantallen die volgens de plannen in 2030 behaald kunnen worden. Regio's moeten in hun definitieve plannen aantonen dat ze het op te leiden talent ook daadwerkelijk kunnen aantrekken.
De definitieve onderverdeling van de bedragen naar mbo, hbo en wo verschillen per regio en wordt pas duidelijk als de regio’s hun definitieve herijkte plannen hebben ingediend. Nadat de plannen definitief zijn ingediend, zal het kabinet uw Kamer informeren over de onderverdeling per opleidingssector.
Op welke manier voorziet u dat deze investeringen leiden tot meer technisch geschoold personeel voor de chipsector? Op welke manier gaat het geld resulteren in het realiseren van de genoemde actielijnen, zoals het verhogen van het blijfpercentage («stay rate») van internationale studenten en kenniswerkers, het vergroten van de diversiteit van studenten, waaronder het aantrekken van meer vrouwelijke studenten, en het vergroten van de in- en uitstroom in tijden van dalende studentenaantallen?
De investeringen omvatten een breed palet aan maatregelen, die elk een bijdrage leveren aan de totale beschikbaarheid van talent voor de microchipsector. Gezien de grote verwachte personeelstekorten, is het belangrijk om alle maatregelen die tot meer talent kunnen leiden mee te nemen.
Onderwijsinstellingen worden met deze investeringen in staat gesteld acties te ondernemen om meer talent op te leiden, te werven, te behouden en in samenwerking met het bedrijfsleven toe te leiden naar de microchipsector. Zo kunnen de regio’s met deze investeringen bijvoorbeeld programma’s ontwikkelen om internationale studenten te koppelen aan banen in de microchipsector om het blijfpercentage te verhogen. Ook kunnen instellingen met deze middelen hun voorlichting en werving anders inrichten en genderbias doorbreken, zodat ondervertegenwoordigde doelgroepen meer worden aangetrokken. Het is aan de regio’s om vanuit hun inhoudelijke kennis met maatregelen te komen. Komende tijd zullen de regio’s hiermee aan de slag gaan om te komen tot herijking van hun plannen. We vragen regio's hierbij nauw samen te werken met de microchipindustrie om de aansluiting tussen onderwijs en bedrijfsleven zo goed mogelijk te maken.
Welke ervaringen, successen en mislukkingen uit de initiatieven om meer docenten, verpleegkundigen en ander talent voor tekortsectoren op te leiden worden meegenomen in deze plannen? Hoe wordt er voorkomen dat het aantrekken van meer studenten voor STEM-opleidingen ten koste gaan van het aantal studenten dat kiest voor de zorg of het onderwijs?
Bij de regionale uitvraag zijn voorbeelden van effectieve interventies aan de regio’s beschikbaar gesteld. Hierin zijn geleerde lessen van aanpakken in andere sectoren en initiatieven verwerkt. Ook geeft het recente onderzoek «Studiekeuze in beweging»4 een beeld over de verwachte effecten van maatregelen en initiatieven om meer studenten te verleiden om een opleiding te volgen in tekortsectoren. Maatregelen als het hanteren van een arbeidsmarktgerelateerde numerus fixus, verlaging van het lesgeld, het geven van een diplomabonus en het bieden van een warme overdracht van studie naar werk zijn onderzocht.
Omdat de instroom van initiële studenten in het vervolgonderwijs over de gehele linie daalt door demografische ontwikkelingen, kunnen verdringingseffecten met andere opleidingen zoals in de zorg of het onderwijs niet worden uitgesloten. Om deze effecten te verkleinen, werken de regio’s nadrukkelijk aan het vergroten van de vijver van talent, zoals het bij- en omscholen van onbenut arbeidspotentieel en het gericht aantrekken van internationaal talent.
Wat is internationaal bekend qua best-practices voor het laten afstuderen van meer studenten in de techniek? Op welke wijze zullen deze STEM-studenten vervolgens worden worden om voor de microchipsector te kiezen?
Ook in andere landen van Europa is er een groeiende vraag naar technisch personeel die groter is dan de ontwikkeling van het aanbod. In het rapport «Arbeidsmarktkrapte technici: ontwikkelingen, verklaringen en handelingsperspectieven»5 is in opdracht van de Ministeries van OCW, EZK en SZW in 2022 daarom ook gekeken naar de Europese context. Binnen de EU is bijvoorbeeld Portugal één van de landen die relatief hoog scoort in het percentage studenten en afgestudeerden van technische opleidingen. Omdat de onderwijssystemen, de arbeidsmarkt en de beroepscontext in landen in grote mate verschillen, vindt er een veelheid van verschillende (beleids)initiatieven plaats over heel Europa, gericht op het stimuleren van het aanbod van technici. Desondanks blijken deze verschillende initiatieven niet genoeg om de schaarste aan technici op te lossen. De meeste initiatieven proberen de kwaliteit van het primair en secundair onderwijs ten aanzien van het techniekonderwijs te bevorderen en tegelijkertijd het imago van de techniek onder jongeren te verbeteren. Ook wordt in sommige landen, althans in de minderheid van de Europese landen, aandacht besteed aan het werven van technici in het buitenland of aan het terug laten keren van buitenlandse studenten naar het thuisland.
Binnen de Nederlandse onderwijsinstellingen is er de laatste jaren al veel werk gestoken in het verkennen van best-practices om tekorten in sectoren in relatief korte tijd aan te pakken. Een voorbeeld hiervan is het aantrekken van buitenlandse afgestudeerde wo-bachelorstudenten, die met een master in Nederland klaargestoomd worden voor onze arbeidsmarkt.
Zoals benoemd in de regionale uitvraag kunnen regio's ook gebruikmaken bij het opstellen van hun plannen van de kennis en expertise van Platform Talent voor Technologie (PTvT). PTvT is lid en initiator van de EU STEM Coalition, waarin op Europees vlak best-practices worden uitgewisseld.
In de regionale uitvraag en in het analysekader6 is opgenomen dat de regio’s duidelijk dienen te onderbouwen dat het extra opgeleide talent ook bij de vraag van de microchipsector terechtkomt («delivery rate»). In het toetsen van de kwaliteit van de herijkte plannen van de regio’s in het najaar is aandacht voor de initiatieven die in de regio’s worden ontplooid opdat het opgeleide talent daadwerkelijk emplooi zal vinden in de microchipindustrie.
Op welke wijze is aan bovenstaande vragen aandacht besteed in de ingediende regionale plannen? Is het mogelijk om inzage te krijgen in deze plannen?
De afgelopen maanden is een zorgvuldig proces doorlopen waarin de regio’s hun conceptplannen konden opleveren. Zoals aangegeven hebben de regio’s plannen ingediend die gezamenlijk de beschikbare middelen ver te boven gingen en eveneens onvoldoende aantoonden hoe het opgeleide talent ook daadwerkelijk in de microchipindustrie terecht zou komen. Het is nu aan de regio’s om voor oktober met herijkte plannen te komen. De definitieve plannen waar de regio's mee aan de slag zullen gaan zal het kabinet met uw Kamer delen.
Hoe beoordeelt u het idee om juist de groei in steden in Groningen en Twente meer te stimuleren, gezien het feit dat daar de beschikbaarheid van studentenhuisvesting minder een probleem is dan in de andere twee regio’s?
De grondslag van het Nationaal Versterkingsplan van Microchip-talent is talent opleiden dat ook daadwerkelijk zijn werkkring vindt in de microchipindustrie zodat de groei van deze industrie in Nederland mogelijk wordt gemaakt. Het zwaartepunt van de groeivraag ligt voor de komende jaren bij ASML en de Brainportregio. De microchipbedrijven geven aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Dit geldt ook – zij het in mindere mate – voor het wo-talent. Deze overwegingen, gevoed door de huidige en toekomstige wervingspraktijk van bedrijven, hebben ertoe geleid dat het zwaartepunt van het Versterkingsplan ook in de Brainportregio is. Regionale plannen dienen rekenschap te geven van de huisvestingsvraag. Dit plan mag er niet toe leiden dat studenten worden geworven terwijl er geen huisvestingsplek is.
Hoe denkt u de groei van de chipindustrie in de andere regio’s te kunnen laten groeien om zo de voorzieningen in Brainport te ontlasten, gezien het feit dat de leefbaarheid en voorzieningen in de Brainportregio door de schaalsprong onder druk staan?
Voor onze welvaart is het van groot belang om de microchipindustrie en hun toeleveringsketens in Nederland te laten doorgroeien en doorinvesteren. Het kabinet onderschrijft dat dit in de Brainportregio ook om een ontwikkelopgave vraagt voor de leefbaarheid en het voorzieningenniveau. In het «Convenant Rijk en regio investeringen in ondernemingsklimaat microchipsector»7 is hiermee rekening gehouden, door goede afspraken te maken over de bekostiging door het Rijk en de Brainportregio op het gebied van woningbouw en bereikbaarheid. Daarnaast is er in het convenant afgesproken dat Rijk en regio een verkenning starten naar de sociaal-maatschappelijke opgaven, waaronder sociale cohesie, primair- en voorgezet onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. Op basis van deze verkenning zal het kabinet samen met de regio bezien wat nodig is. De verkenning komt eind dit jaar beschikbaar.
Daarnaast werkt het Ministerie van Economische Zaken aan het Meerjarenprogramma voor bovenregionale samenwerking tussen hightech-brandpunten. Dit programma beoogt hightech-bedrijven die op langere termijn niet kunnen doorgroeien of doorinvesteren op hun huidige locatie, te helpen om die groei wel mogelijk te maken in een andere regio, om deze bedrijven zo wel in Nederland te behouden. Dit is bijvoorbeeld aan de orde als onvoldoende ruimte beschikbaar is en/of de druk op de omgeving te groot. Ook microchip start-ups en scale-ups komen in aanmerking voor dit programma. Dit programma komt eveneens eind dit jaar beschikbaar.
Lijkt het u niet logischer om anders te alloceren dan volgens de huidige wervingspraktijk, waarbij de sterkste regio van dit moment automatisch het meeste geld krijgt toebedeeld, gezien het belang van de stimulering van de ontwikkeling in economisch relatief zwakkere regio’s (uitgangpunt van «elke regio telt»)?
Nee, zie hiervoor ook de antwoorden vraag 9 en 12. Het uitgangspunt van het Nationaal Versterkingsplan van Microchip-talent is een specifiek plan gericht op de microchipindustrie. Het doel is de groei van de microchipsector in Nederland mogelijk maken en het versterkingsplan is ter ondersteuning daarvan. Bij de totstandkoming van de reserveringen is de toekomstige wervingspraktijk van de micro-chipsector medebepalend geweest.
Hoe ziet u de mogelijkheden om heel Nederland zo breed mogelijk te kunnen laten meeprofiteren met de groei van de chipindustrie? Op welke manier gaat de resterende drie procent worden ingevuld?
De groei van de microchipsector levert veel op voor heel Nederland. De microchipsector is enorm belangrijk voor ons toekomstig verdienvermogen. Waar de sector in 2021 nog € 39,1 miljard aan omzet in Nederland had, zal de omzet naar verwachting tot 2030 verdubbelen. Dit geldt niet alleen voor het grootbedrijf, maar ook voor het mkb in de toeleveringsketen. Deze sector levert dus een belangrijke bijdrage aan de Nederlandse economie en daarmee aan onze zorg, veiligheid, onderwijs, sociale voorzieningen en vele andere belangrijke overheidstaken. Daarbij vergroot een succesvolle microchipsector onze strategische autonomie in de wereld.
De voorgenomen investeringsbeslissing van ASML gaat over een nieuwe fabriek in Eindhoven en mede hierdoor zal de werkgelegenheid van de microchipsector in de Brainportregio alleen maar verder toenemen (die is nu al zo’n 70% van de in totaal ruim 50.000 werknemers). Nabijheid van onderwijs- en kennisinstellingen is de bepalende succesfactor om deze groei te kunnen accommoderen en de daaruit voortvloeide welvaart voor Nederland te behouden. Te weinig beschikbaar talent in de regio waar zij gevestigd zijn kan leiden tot een heroverweging van investeringen in Nederland. Gezien het nationale belang van deze uitbreiding, is het kabinet van mening dat de vraag vanuit de sector leidend moet zijn in de verdeling van de middelen.
Het resterende budget van € 14 miljoen wordt op drie manieren ingevuld: intensivering/bijstelling van de reservering op basis van geactualiseerde plannen, investeringen in andere regio’s en/of landelijke activiteiten. Ook hier geldt dat de inhoudelijke, industrie gedreven opgave de basis vormt voor invulling van het resterende budget.
Bent u bereid om daar actief industriepolitiek beleid voor te ontwikkelen, bijvoorbeeld door naast de infrastructurele investeringen in de Brainportregio, ook te investeren in infrastructuur in Twente, Arnhem/Nijmegen, Groningen, Almere, en Limburg?
Er is bestaand beleid om infrastructurele investeringsbeslissingen te kunnen nemen. Besluitvorming hierover vindt plaats in het bestuurlijk overleg Meerjarenprogramma Infrastructuur, Ruimte en Transport (BO-MIRT). In dit bestuurlijk overleg worden op regionaal niveau beslissingen genomen door Rijk en regio op het gebied van de ontsluiting van woningen, economische toplocaties, weginfrastructuur en ook nieuwe OV-verbindingen. De Minister van Infrastructuur en Waterstaat neemt hierin het voortouw, en verschillende andere relevante Ministers nemen ook deel aan deze overleggen.
Bedrijfsactiviteiten verplaatsen of uitbreiden naar een andere regio dan waar bedrijven nu gevestigd zijn, is over het algemeen onwenselijk voor bedrijven en laat zich bovendien lastig sturen door de overheid. Het scheppen van de juiste condities om economische ecosystemen te ontwikkelen duurt decennia. Daar is gezien de scope en timing van dit plan geen tijd voor.
Deelt u de mening dat deze regio’s het voordeel hebben dat er meer ruimte is voor woningbouw en dat zorg en onderwijsvoorzieningen in deze regio’s minder onder druk staan dan in de Brainportregio?
De druk op de woningbouw, zorg en onderwijsvoorzieningen is afhankelijk van de hoeveelheid mensen en de nieuwe bedrijvigheid in een bepaalde regio. In de Brainportregio komen er naar verwachting tot en met 2030 26.000 nieuwe banen bij in de microchipindustrie. Het kabinet erkent dat dit tot een toenemende druk op de huisvesting in de regio leidt. Daarom zijn er in het bredere convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» maatregelen genomen om de woningbouw in de Brainportregio te versnellen. De groei van de microchipsector zal in absolute aantallen de komende jaren voornamelijk in de Brainportregio plaatsvinden. Vanuit het bedrijfsleven worden nabijheidsfactoren van bijvoorbeeld de aanleverende industrie, huidige eigen vestigingen en talent als zeer belangrijke reden genoemd voor hun investeringsbeslissingen, wat ertoe leidt dat deze groei niet zomaar kan worden doorgeleid naar een andere regio met minder druk op de voorzieningen. Wel zal de groei in de bredere zone rond Eindhoven geaccommodeerd moeten worden, wat er bijvoorbeeld toe leidt dat de Brainportregio kijkt naar mogelijkheden voor de woningbouw in aangrenzende regio's.
Kunt u aangeven wat de afgesproken co-financieringsvoorwaarden zijn bij de investeringen, in welke regio’s die bedragen zullen worden besteed en waaraan?
In de Kamerbrief van 16 juli 20248 heeft het kabinet vermeld dat, om tot een daadwerkelijke toekenning van de regionale plannen te komen, een nadere uitwerking door betrokken regio’s nodig is. Er is nu een bedrag per regio gereserveerd. Op basis van de kwaliteit van de herijkte plannen die voor 29 september ingediend moeten worden, zullen bedragen aan de regio’s worden toegekend. Als de plannen (nog) niet van voldoende kwaliteit zijn, kan worden besloten dat de middelen (nog) niet worden toegekend. Pas op basis van de herijkte plannen zal duidelijk worden waaraan de middelen besteed gaan worden.
Hierop sluit de cofinancieringsvraag aan, waarbij het kabinet de volgende uitgangspunten hanteert:
Bent u bereid om Twente, Groningen en Delft extra te ondersteunen op het gebeid van regionale strategievorming en de triple-helix manier van werken om zo een gelijk speelveld te creëren bij het uitwerken van plannen en hierbij te leren van de langjarige ervaring hiermee in de Brainport regio?
Het kabinet vindt het belangrijk een gelijk speelveld te hanteren. Bijvoorbeeld door een helder proces in te richten en door het hanteren van een openbaar analysekader bij de toetsing van de kwaliteit van de plannen. Daarnaast hecht het Kabinet eraan dat door Twente, Groningen, Delft en de Brainportregio wordt samengewerkt aan de vraag voor het opleiden van voldoende microchip talent.
Zoals benoemd in de regionale uitvraag is aan alle regio’s de kennis en expertise van Platform Talent voor Technologie (PTvT), die ruime ervaring hebben met het opbouwen van triple-helix samenwerkingsverbanden, beschikbaar gesteld. Ook binnen de monitoringsaanpak wordt ingezet op extra ondersteuning en lerend vermogen. Er vindt onderlinge intervisie plaats (via peer-reviews) en partijen worden uitgedaagd om optimaal van elkaars kennis, kunde en ervaring te leren. De bereidheid om te leren, bij te sturen en door te ontwikkelen door zowel de regio’s als de overheid staat centraal.
Kunt u deze vragen afzonderlijk en binnen drie weken beantwoorden?
Ja, de vragen zijn afzonderlijk beantwoord. Gezien de benodigde interdepartementale afstemming hebben we uw vragen zo snel als mogelijk beantwoord.
Het bericht ‘ Dure reclamecampagne blijkt flop: nauwelijks ‘ouderlijk toezicht’ op Instagram’ |
|
Don Ceder (CU) |
|
Zsolt Szabó (VVD) |
|
![]() |
Bent u bekend met het artikel «Dure reclamefilmpje blijkt flop: nauwelijks «ouderlijk toezicht» op Instagram»?1
Ja, ik ben hiermee bekend.
Kunt u aangeven wat de wettelijke verplichtingen zijn ten aanzien van social mediagebruik onder 16 jaar? In hoeverre voldoen social mediabedrijven, en specifiek META, hieraan? Acht u deze aanpak voldoende?
Rechtmatige verwerking van persoonsgegevens bij online diensten, zoals Meta, van kinderen die de leeftijd van 16 jaar nog niet hebben bereikt mogen volgens de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) alleen met toestemming van de ouders of de wettelijke vertegenwoordiger worden verwerkt. Dit betekent dat een kind jonger dan zestien jaar enkel een account mag aanmaken als hiervoor door de ouder of wettelijke vertegenwoordiger toestemming is gegeven. Bedrijven die online persoonsgegevens van kinderen verwerken zijn volgens de AVG verplicht een redelijke inspanning te leveren om te controleren of er daadwerkelijk toestemming is gegeven. Naast deze wettelijke verplichting kiezen diverse sociale mediaplatforms, waaronder Instagram, ervoor om kinderen jonger dan 13 jaar in elk geval niet toe te laten tot hun platform. Deze regel volgt echter niet uit een wettelijk vereiste. Uit onderzoek van Ofcom, de Britse mediatoezichthouder, blijkt dat 60% van de kinderen tussen de 8 en 12 jaar een sociale media-account hebben. Hoewel dit onderzoek specifiek ziet op Britse kinderen is het aannemelijk dat deze aantallen in Nederland vergelijkbaar zijn. Dit zijn zorgelijke aantallen en het is belangrijk dat dit wordt teruggebracht en dat sociale media platforms aan de wetgeving (ouderlijke toestemming onder de 16 jaar) en aan hun eigen beleid (veelal geen account onder de dertien jaar) voldoen.
Het is aan de Europese toezichthouders (in Nederland is dit de Autoriteit Persoonsgegevens (AP)) dan wel aan de toezichthoudende autoriteit van de hoofdvestiging in een andere lidstaat, om als onafhankelijke toezichthouder toe te zien op de naleving van de AVG en waar nodig handhavend op te treden voor zover de toezichthouder daar de competentie toe heeft.
De Digitaledienstenverordening (DSA), die in februari van dit jaar volledig van toepassing is geworden, verplicht bovendien onlineplatforms die toegankelijk zijn voor minderjarigen om passende en evenredige maatregelen te nemen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen (artikel 28 DSA, eerste lid). De Autoriteit Consument & markt (ACM) en de AP zijn de beoogde toezichthouders op de naleving van een groot deel van de DSA waarbij de ACM digitaledienstencoördinator is. Beide toezichthouders zullen worden aangewezen in de uitvoeringswet DSA (uDSA). De uDSA is echter nog niet officieel aangenomen. Vooralsnog is de ACM aangewezen als voorlopige bevoegde autoriteit.
Zeer grote online platforms moeten daarnaast op grond van de DSA ook de systeemrisico’s voor de bescherming van minderjarigen in kaart brengen en mitigeren. Het gaat hierbij onder andere om de werkelijke of voorzienbare negatieve effecten op de bescherming van minderjarigen. Een ander relevant systeemrisico in dit kader zijn ernstige negatieve gevolgen voor het lichamelijke en geestelijke welzijn van personen. Zeer grote online platforms moeten dus nadrukkelijk rekening houden met de negatieve effecten die hun algoritmes kunnen hebben op kinderen en zij moeten deze systemen zo nodig aanpassen. Zij moeten dit bovendien laten onderzoeken door externe auditors. De Europese Commissie (EC) houdt toezicht op de naleving van deze verplichtingen voor de zeer grote online zoekmachines en platforms, waar Instagram en Facebook onder vallen. Ook het Europees Centrum voor Algoritmische Transparantie is mede hiertoe opgezet.
Er zijn dus verschillende wettelijke verplichtingen die beogen kinderen online te beschermen. De DSA is een belangrijke stap voor de bescherming van kinderen in de online wereld. Deze verordening is echter recentelijk pas van toepassing geworden. De voor de DSA noodzakelijk nationale uDSA is bovendien vertraagd waardoor ook de start van het toezicht op de DSA nog niet volledig operationeel is. Het kabinet zal de uitwerking van de DSA in de praktijk monitoren. De verordening voorziet bovendien in een tweetal evaluaties; per 17 november 2025 en 17 november 2027. Het kabinet wil de uitkomsten van deze evaluaties afwachten voordat er een uitspraak kan worden gedaan of het voorgenomen stelsel met regulering via de DSA voldoende handvatten biedt.
De EC werkt daarnaast aan de uitwerking van richtsnoeren onder de DSA over de bescherming van minderjarigen online. Deze richtsnoeren zullen, zodra ze zijn aangenomen, advies geven over hoe onlineplatforms een hoog niveau van privacy, veiligheid en beveiliging voor minderjarigen online moeten implementeren. De EC heeft aangegeven hierbij in te willen zetten op een risico gebaseerde aanpak, gebaseerd op kinderrechten impact assessments.
Naast deze eerdergenoemde meer specifieke verplichtingen om kinderen te beschermen, moeten bedrijven zich richting alle consumenten, waaronder kinderen, houden aan het consumentenrecht. Zo mogen bedrijven consumenten niet misleiden (een vorm van een oneerlijke handelspraktijk). Wat een oneerlijke handelspraktijk is kan per situatie anders zijn. Daarbij wordt o.a. rekening gehouden met de kwetsbaarheid van consumenten. Sommige groepen, zoals kinderen, zijn extra kwetsbaar en vaak gevoeliger voor verleidingstechnieken.
De ACM houdt in Nederland toezicht op de naleving van het consumentenrecht door bedrijven en heeft in haar eerder gepubliceerde Leidraad Bescherming online consument, invulling gegeven aan de norm voor online misleiding. Daarbij wordt ook ingegaan op praktijken gericht op kinderen.2
Welke stappen heeft de overheid tot nu toe gezet om niet naleving van Tech bedrijven te handhaven? Zijn er inmiddels sancties uitgedeeld, zo ja welke? Kunt u deze uitsplitsen per bedrijf?
De toezichthouders hebben verschillende middelen en instrumenten tot hun beschikking om te handhaven. Zo is de EC onder de DSA eind april een nalevingszaak gestart naar TikTok, en medio mei naar Instagram en Facebook. Deze zaak ziet onder andere op de verslavende werking van deze diensten en het gebruik van informatiefuiken.3 Wanneer de EC na afronden van dit onderzoek vaststelt dat er sprake is van een inbreuk kan zij een boete opleggen van maximaal 6% van de totale wereldwijde jaaromzet. Het is aan de verschillende toezichthouders om toezicht te houden op de naleving van de eerdergenoemde regelgeving daar waar die competentie niet bij de EC ligt.
Eerder heeft de Autoriteit Persoonsgegevens (AP) een boete opgelegd aan TikTok4. De AP was destijds de bevoegde toezichthouder, voordat TikTok haar Europese hoofdvestiging naar Ierland verhuisde. Daarna heeft ook de Ierse Data Protection Commission (DPC) op 1 september 2023 aan TikTok een boete opgelegd van 345 miljoen Euro wegens meerdere schendingen van de AVG.5 Omdat de hoofdvestiging van TikTok in de EU in Ierland is gevestigd, was de DPC de competente toezichthouder. Dit onderzoek is in nauwe samenwerking met de AP uitgevoerd.
Naast handhaving zet de overheid ook in op het de ontwikkeling van instrumenten om ontwikkelaars van onlinediensten te ondersteunen bij het creëren van leeftijdsgeschikte ontwerpen, waarbij de risico’s op schending van kinderrechten zoveel mogelijk worden beperkt. Zo heeft het vorige kabinet een kinderrechten impact assessment (KIA) ontwikkeld en een geactualiseerde Code voor kinderrechten opgesteld. Deze KIA’s zullen jaarlijks worden uitgevoerd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, op sociale mediaplatformen die veel door kinderen worden gebruikt.6 De uitvoering van de eerste kinderrechten impact assessments is recent gestart. De eerste resultaten worden begin 2025 verwacht. Deze resultaten zullen na afronding met uw Kamer worden gedeeld.
Welke sanctiemiddelen staan er nog steeds open die nog niet ingezet zijn en gaat u deze inzetten om naleving van de wet af te dwingen?
Zoals in het antwoord op vraag 3 is toegelicht, is er door de EC een onderzoek gestart onder de DSA en beoordeelt de AP, of de toezichthoudende autoriteit van de hoofdvestiging in een andere lidstaat, per geval en uit eigen beweging of er aan de AVG is voldaan en of er al dan niet handhavings- en onderzoeksbevoegdheden ingezet dienen te worden. Er bestaat hierin geen rol voor het ministerie, enkel de onafhankelijke toezichthouder heeft handhavings- en onderzoeksbevoegdheden. Deze handhavings- en onderzoeksbevoegdheden kunnen bestaan uit het doen van onderzoek naar de naleving van wetten die zien op het gegevensbeschermingsrecht, waarbij ingezet kan worden op het inzien van gegevensverwerkingen, bijvoorbeeld in de vorm van het inzien van het register of logging dan wel het doen van audits. Daarnaast worden grote partijen die hun diensten ook aanbieden aan kinderen door de AP en haar Europese collega’s bevraagd op de risico’s voor kinderen en hoe deze partijen risico’s mitigeren om aan de wetgeving te voldoen. Tot slot heeft de AP dit jaar kritische vragen gesteld aan een groot techbedrijf dat een chatbot gericht op kinderen op de markt bracht.7
Ook heeft de AP de mogelijkheid om gegevensverwerkingen stop te zetten en kunnen dwangsommen of boetes worden opgelegd. Het is aan de toezichthouder of zij tot handhaving overgaat. Vanuit de DSA kan de AP optreden als het gaat om het verbod op profileren met gebruik van gegevens van kinderen (art. 28, tweede lid). De overheid, anders dan de eerdergenoemde toezichthouders, zoals genoemd in vraag 3, kan geen sanctiemiddelen inzetten.
Zodra de ACM volledig bevoegd is om toezicht te houden op de DSA, kan zij handhavend optreden tegen online platforms bij overtreding van de open norm dat zij maatregelen moeten nemen om een «hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen» (art. 28, eerste lid). Denk hierbij onder andere aan het opleggen van een boete of een last om een overtreding te staken. Deze handhavingsbevoegdheid beperkt zich tot aanbieders van online platforms met een hoofdvestiging of wettelijk vertegenwoordiger in Nederland. Als het online platform in een andere lidstaat gevestigd is, kan de ACM o.a. meldingen over overtredingen naar de digitale diensten coördinator van de desbetreffende lidstaat sturen of hen verzoeken handhavend op te treden.
Bent u bekend met het toenemende bewijs dat social media een negatief effect heeft op jongeren? Wat vindt u ervan dat sociale mediabedrijven tot op heden nog niet aan wetgeving voldoen?
Het kabinet ziet dat er steeds meer onderzoeken uitwijzen dat problematisch gebruik van sociale media ten koste gaat van de mentale en cognitieve ontwikkeling van jongeren. Dit is zorgelijk. Om de negatieve effecten van onlinediensten voor minderjarigen te beperken, wordt er ook in nieuwere wetgeving steeds meer rekening gehouden met de kwetsbare positie van kinderen, juist ook bij het gebruik van onlinediensten. Een voorbeeld daarvan is de in het antwoord op vraag 2 genoemde DSA. Dit ziet het kabinet als een goede stap in de bescherming van kinderen tegen de schadelijke effecten van bijv. sociale mediadiensten te beschermen.
Het is uiteindelijk aan de onafhankelijke toezichthouders om vast te stellen of sociale mediabedrijven aan de in de wet- en regeling gestelde wettelijke eisen voldoen en in een voorliggend geval onrechtmatig handelen. Dat is niet aan het kabinet.
Is het volgens u wel haalbaar om ouderlijk toezicht onder 16 jaar te handhaven? Zo nee, hoe kijkt u naar de mogelijkheid om deze uitzondering niet meer mogelijk te maken en een social media-account pas vanaf 16 toe te staan?
Het kabinet erkent dat het in de praktijk moeilijk kan zijn om te bepalen wanneer ouderlijke toestemming vereist is, omdat er sprake is van een gebruiker, die jonger is dan zestien jaar. Dit betekent echter niet dat sociale media-gebruik tot 16 jaar moet worden verboden. Uit wetenschappelijk onderzoek8 blijkt dat sociale media voor jongeren ook positieve effecten kunnen hebben. Zo kan het kinderen helpen op een veilige manier te oefenen met sociale relaties en is er op sociale media een schat aan informatie te vinden over verschillende onderwerpen. Het is echter wel belangrijk dat sociale mediabedrijven ervoor zorgen dat de online omgeving veilig is voor kinderen en dat zij niet worden blootgesteld aan onwenselijke praktijken, zoals schadelijke content, cyberpesten of verslavende elementen. Daarnaast is het van belang dat de toestemming van ouders wordt gevraagd in alle gevallen waarin dat wettelijk verplicht is. Hiervoor is het belangrijk dat online platforms op een adequate manier de leeftijd van kinderen vaststellen, zonder hiermee inbreuk te maken op de privacy van gebruikers. Dit risico bestaat bijvoorbeeld bij het gebruik van biometrie of het uploaden van een kopie van het identiteitsbewijs om leeftijd vast te stellen. Om kinderen beter te beschermen, heeft de voormalige Staatssecretaris Koninkrijksrelaties en Digitalisering een raamwerk leeftijdsverificatie laten ontwikkelen, dat ontwikkelaars van onlineproducten en diensten voor kinderen kan helpen om te komen tot een adequate vorm van leeftijdsverificatie voor hun onlineproduct of dienst.
Hoe staat het met de ontwikkeling van het wetsvoorstel naar aanleiding van de aangenomen motie van de leden Ceder en Six Dijkstra voor een wetsvoorstel voor het borgen van wettelijke leeftijdsverificatie? Wanneer worden de contouren hiervan naar de Kamer gezonden?2
Verschillende betrokken ministeries zijn momenteel aan het uitwerken hoe wettelijke borging van adequate leeftijdsverificatie in de verschillende situaties vorm zou kunnen krijgen. Zo is het Ministerie van VWS al enige tijd bezig met het uitwerken van de eisen waar een betrouwbaarder leeftijdsverificatiesysteem bij de online verkoop van alcohol aan moet voldoen. De Staatssecretaris Jeugd, Preventie en Sport bereidt momenteel een wijziging van het Alcoholbesluit voor ten behoeve van het invoeren van een betrouwbaarder leeftijdsverificatiesysteem bij de online verkoop. Het streven is om begin 2025 de internetconsultatie te starten waarna het ontwerpbesluit in het kader van de voorhangprocedure wordt aangeboden aan beide Kamers.
Daarnaast heeft de Minister van Financiën de Kamer op 19 juni jl. in zijn antwoorden op Kamervragen van de leden Mohandis en Ceder over de noodzaak tot verplichte leeftijdscontrole bij Buy Now Pay Later (BNPL)-diensten geïnformeerd dat hij momenteel samen met de Staatssecretaris Participatie en Integratie en de Staatssecretaris Rechtsbescherming uitwerkt hoe leeftijdsverificatie door BNPL-aanbieders bij alle klanten wettelijk kan worden afgedwongen.10 In de tussentijd heeft ook het interdepartementale onderzoek problematische schulden aanbevolen een leeftijdsverificatie verplicht te stellen voor BNPL-aanbieders.11 De verkenning van mogelijke beleidsopties zal na de zomer met de Kamer worden gedeeld.
Voor sociale mediadiensten zijn er geen voornemens om online leeftijdsverificatie verder wettelijk te borgen. Online leeftijdsverificatie wordt in de DSA genoemd als mogelijke maatregel die online diensten kunnen nemen ten behoeve van de bescherming van de rechten van het kind. Verdere uitwerking hiervan zal, gezien de maximaal harmoniserende werking van de DSA, op Europees niveau moeten gebeuren. Hierbij is het wel belangrijk dat er bij Europese standaardisatie de afweging van belangen als privacy, non-discriminatie, inclusiviteit, veiligheid en betrouwbaarheid in acht worden genomen en dat dit niet leidt tot het verwerkingen van aanvullende persoonsgegevens teneinde de meerderjarigheid van afnemers van een dienst vast te stellen. Ik blijf dit internationaal onder de aandacht brengen.
In hoeverre acht u zero proof knowledge identity proof technologie als betrouwbaar en middel om verplicht te stellen, dan wel via de wet dan wel via lagere regelgeving?
De toepassing van zero knowledge proof technologie voor online leeftijdsverificatie is nog niet op grote schaal onderzocht en het is daarom nog niet met voldoende zekerheid te zeggen dat deze toepassing voldoende betrouwbaar zal zijn voor online leeftijdsverificatie. Het zal daarbij ook per situatie kunnen verschillen welke betrouwbaarheid wenselijk is. Daarnaast moet worden opgemerkt dat het over het algemeen wenselijk is om wetgeving techniek-onafhankelijk op te stellen, aangezien technologische ontwikkelingen elkaar in rap tempo opvolgen. Het is dan ook ongewenst om specifieke technologieën in wetgeving vast te leggen. In lagere wet- en regelgeving kunnen wel vereisten worden vastgelegd, maar het is niet aan de wetgever om te bepalen welke specifieke technologie hierbij gebruikt moet worden.
Het onderzoek van Trollrensics over desinformatienetwerken tijdens de EU verkiezingen |
|
Barbara Kathmann (PvdA), Kati Piri (PvdA) |
|
Zsolt Szabó (VVD), Judith Uitermark (minister ) (NSC), Caspar Veldkamp (minister ) (NSC) |
|
![]() |
Bent u bekend met het onderzoek van Trollrensics over desinformatienetwerken op sociale media met als doel de Europese verkiezingen van 2024 te beïnvloeden?1
Ja, hiermee zijn we bekend.
Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?
Ja. Heimelijke beïnvloeding ondermijnt onze democratische rechtsstaat en het vertrouwen in onze democratische instituties. Daarmee vormt het een bedreiging voor onze nationale veiligheid. Het is voor het kabinet van groot belang om dreigingen tegen onze samenleving tegen te gaan.
Beamen de AIVD, MIVD en NCTV de resultaten van het onderzoek volledig? Met hoeveel zekerheid is te zeggen dat in Nederland niet op dezelfde schaal campagnes zijn gevoerd door buitenlandse mogendheden tijdens de verkiezingen van 2024?
Onze inlichtingen- en veiligheidsdiensten waarschuwen al langere tijd dat inmengingsactiviteiten van andere landen in toenemende mate een bedreiging vormen.2 Het netwerk ontdekt door Trollrensics was actief in Frankrijk, Duitsland en Italië. In Nederland werd het niet waargenomen. Dit netwerk past in het normbeeld waarbij Rusland voortdurend probeert westerse beeld- en besluitvorming te beïnvloeden ten gunste van Rusland, maatschappelijke tegenstellingen probeert aan te wakkeren en te versterken en onderlinge eenheid te ondermijnen. In de openbare jaarverslagen van de AIVD en MIVD is te lezen dat Rusland zijn heimelijke beïnvloedingsactiviteiten vooral op grote Europese landen richt. Dat betekent niet dat er geen risico is voor Nederland op heimelijke beïnvloeding vanuit Rusland. Rusland stelt zich in deze opportunistisch op en is in staat om in te spelen op zich voordoende kansen in kleinere landen. Bovendien kunnen beïnvloedingscampagnes tegen bondgenoten ook indirect gevolgen hebben voor Nederland.
Hebben de AIVD en MIVD signalen opgevangen dat soortgelijke desinformatiecampagnes in Nederland zijn gevoerd tijdens de verkiezingen van 2024? Zo ja, zijn deze effectief bestreden? Wat was de schaal van deze campagne(s)?
De diensten hebben een divers instrumentarium om heimelijke beïnvloeding te onderzoeken en waar nodig de samenleving, instanties en/of personen te alerteren. Het kabinet kan in het openbaar geen mededelingen doen naar waar de inlichtingen- en veiligheidsdiensten al dan niet onderzoek naar doen. Het is voor het werk van de inlichtingen- en veiligheidsdiensten immers van doorslaggevend belang dat zij in het belang van onze nationale veiligheid, geheimhouding en bronbescherming waarborgen. U kunt ervan uitgaan dat de diensten hun wettelijke bevoegdheden kunnen en zullen inzetten om heimelijke beïnvloeding te onderkennen en waar mogelijk, tegen te gaan.
Draagt Nederland als wereldwijde host van online diensten, waaronder servers die gebruikt worden in Russische desinformatiecampagnes zoals recent bevestigd door de AIVD2, een bijzondere verantwoordelijkheid in het bestrijden van desinformatie? Zo ja, hoe kan hier effectief tegen worden opgetreden met respect voor de privacy van onschuldige internetgebruikers?
Aanbieders van hostingdiensten (inclusief online platformen) hebben bepaalde verantwoordelijkheden voor de informatie die zij hosten, die nader beschreven staan in de Digitaledienstenverordening (DSA). Dit betekent onder andere dat wanneer desinformatie de vorm heeft van illegale inhoud de DSA diverse bepalingen bevat die aanbieders van hostingdiensten een verantwoordelijkheid geven in de bestrijding daarvan. Artikel 6 DSA bepaalt dat aanbieders van hostingdiensten in beginsel niet aansprakelijk zijn voor informatie die gebruikers op hun servers plaatsen en opslaan. Zodra zij er echter kennis van krijgen dat ze illegale inhoud hosten, dan zijn ze verplicht om prompt te handelen en die inhoud te verwijderen of de toegang ertoe te blokkeren. Doen ze dat niet, dan kan de Europese Commissie, als toezichthouder van de DSA, ze wél aansprakelijk stellen voor die illegale inhoud. De DSA verplicht hen ook om meldingen van illegale inhoud mogelijk te maken en verduidelijkt dat dergelijke meldingen leiden tot kennis in de zin van artikel 6 (artikel 16, derde lid). Daarmee is er niet alleen een verplichting maar ook een prikkel om dat soort meldingen op te volgen.
Een puur hostingsbedrijf kan veelal niet ingrijpen op het niveau van specifieke inhoud van internetgebruikers, maar wel op het niveau van een hele server of website. Bijvoorbeeld door die ontoegankelijk te maken. Ingrepen door hostingbedrijven zijn daardoor over het algemeen minder proportioneel dan ingrepen door de website-eigenaar of de dienst die op de servers van het hostingbedrijf draait.
Niet alle desinformatie is illegaal. Niettemin kan het schadelijk zijn. Voor die gevallen bevat de DSA verplichtingen voor zeer grote online platformen. Zeer grote online platformen zoals X moeten daardoor in aanvulling op de verplichtingen waar alle aanbieders van hostingdiensten aan dienen te voldoen, verantwoordelijkheid nemen tegen desinformatiecampagnes, bijvoorbeeld in de vorm van niet-authentieke manipulatie van die diensten, op hun platformen. Dit probleem moet Europa-breed en bij de bron worden aangepakt. Artikel 34 en 35 van de DSA, die betrekking hebben op risicobeoordeling en risicobeperking, verplichten sociale media platforms als X of Facebook om maatregelen te nemen tegen gecoördineerd niet-authentiek gedrag en desinformatiecampagnes. Het is de Europese Commissie die hierop toezicht houdt vanuit de Digital Services Act (DSA). Meer informatie over de wijze waarop de Europese Commissie dit heeft ingevuld rondom de Europese Parlementsverkiezing is te vinden in het recentelijk gepubliceerde rapport hierover.4
Zijn er nog andere voorbeelden bekend waar Nederland een faciliterende rol speelde in beïnvloedingscampagnes gericht op andere landen? Hoe wordt dit ondervangen?
Nederland is een belangrijk knooppunt in mondiale digitale netwerken en infrastructuur. Het is voor veel statelijke actoren aantrekkelijk om misbruik te maken van Nederlandse ICT-infrastructuur, omdat deze van hoge kwaliteit is en eenvoudig is in te zetten. De AIVD, MIVD en NCTV waarschuwen daarom al langer voor het risico van misbruik van Nederlandse infrastructuur door statelijke actoren.5 Het is een belangrijke bevoegdheid en tegelijkertijd een taak van de AIVD en de MIVD om heimelijke beïnvloeding te onderkennen en tegen te gaan. Ook als de beïnvloeding in een ander land plaatsvindt en gebruik maakt van Nederlandse infrastructuur. Op 9 juli jl. is uw Kamer geïnformeerd over de verstoring van een Russische digitale beïnvloedingsoperatie, gericht op de beïnvloeding van het publieke debat in de Verenigde Staten van Amerika. Bij deze beïnvloedingsoperatie werd gebruik gemaakt van een server in Nederland. De MIVD rapporteerde in 2022 over routers die door de Russische militaire inlichtingendienst (Glavnoje Razvedyvatelnoje Oepravlenije, GROe) gebruikt worden als aanvalsinfrastructuur en de verstoring van dat netwerk.6 In 2023 zag de MIVD dat Russische actoren gebruik blijven maken van gehackte infrastructuur van onschuldige gebruikers ten behoeve van digitale spionage-, sabotage- en beïnvloedingsactiviteiten.7
Het is van belang om de Nederlandse ICT-infrastructuur in generieke zin weerbaarder te maken tegen misbruik, daarom zet het kabinet in op de uitvoering van de Nederlandse Cybersecurity Strategie.8
Doet de regering uws inziens voldoende om desinformatiecampagnes in Nederland als ook beïnvloedingscampagnes die gehost worden vanuit Nederland tegen te gaan?
Het kabinet heeft in de Voortgangsbrief Rijksbrede strategie desinformatie, die in juni aan de Tweede Kamer is verzonden, beschreven wat zij deed en welke nieuwe acties zij voornemens zijn te ondernemen. Deze acties zijn onder andere gericht op het versterken van de weerbaarheid van burgers tegen desinformatie.9
Zie verder het antwoord op vraag 5.
Zijn er tijdens de Europese verkiezingen in 2024 aanvullende maatregelen genomen om desinformatienetwerken tegen te gaan? Zo ja, welke en bleken deze effectief? Zo nee, waarom niet?
Ja, er zijn maatregelen genomen in aanvulling op reeds bestaande maatregelen, zowel in samenwerking op Europees niveau, als aanvullende maatregelen op nationaal niveau.
De Europese Dienst voor extern optreden (EDEO) heeft netwerken van statelijke actoren tijdens de Europese verkiezingen beter in beeld gebracht door deze te identificeren en hierover artikelen te publiceren op de website EUvsDisinfo.10
De Europese Commissie heeft met enkele van de sociale media platformen, NGO’s en nationale toezichthouders, waaronder de ACM, een zogenoemde «stresstest» gevoerd. Hierbij testte de Commissie samen met de platformen of zij klaar waren voor heimelijke verkiezingsbeïnvloeding, zoals desinformatienetwerken, op hun platform en hoe daarmee om te gaan.11 Verder heeft de Commissie richtsnoeren gepubliceerd voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOPS en VLOSE) inzake de beperking van systeemrisico’s voor verkiezingsprocessen.12 Sinds de inwerkingtreding van de DSA is de ACM in Nederland aangewezen als digitaledienstencoördinator. Bij de afgelopen EP-verkiezing was de ACM betrokken bij onder andere de verkiezingstafel.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt samen met andere EU-lidstaten via mechanismen zoals het Rapid Alert System (RAS), de voor de verkiezingen ingestelde geïntegreerde regeling politieke crisisrespons (IPCR) en het European Cooperation Network on Elections (ECNE) om informatie en acties te coördineren en de weerbaarheid te vergroten.
Op nationaal niveau neemt het Ministerie van BZK tijdens de verkiezingen standaard extra maatregelen om de effecten van desinformatienetwerken te verminderen.13 Dit gaat op de eerste plaats om begrijpelijke en transparante communicatie over het verkiezingsproces en de stemprocedure. Als burgers weten hoe het verkiezingsproces werkt, zijn ze minder vatbaar voor desinformatie over dit onderwerp. Daarnaast organiseerde het Ministerie BZK wederom een verkiezingstafels voor vertegenwoordigers van de gemeenten, de Kiesraad en alle veiligheidspartners (Politie, OM, ACM en betrokken ministeries), waar mogelijke risico’s worden besproken die ondermijnend zijn voor het verkiezingsproces. Verder organiseerde het ministerie een webinar voor gemeenteambtenaren waar specifiek is ingegaan op het tegengaan van desinformatie.
Tot slot kan het Ministerie van BZK in bijzondere gevallen haar trusted flagger status inzetten, waardoor meldingen door sociale media platformen met prioriteit worden behandeld. De sociale mediabedrijven maken hierbij altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of actie gerechtvaardigd is. Het ministerie heeft geen bevoegdheid bepaalde content te laten verwijderen. Deze status is voor de EP-verkiezing eenmalig ingezet bij het platform X om een algemene waarschuwing te geven dat er wellicht valse berichten worden verspreid over het verkiezingsproces. Uw Kamer wordt hierover nader geïnformeerd in de evaluatie van de EP-verkiezingen. De Minister van BZK streeft ernaar deze evaluatie begin november aan uw Kamer toe te sturen.
Uit rapporten van de onder de DSA opgerichte Europese digitaledienstenraad en de EDMO (het factcheckers consortium) Task Force blijkt dat er, ondanks pogingen van desinformatienetwerken, geen grote of structurele problemen zijn geweest bij de Europese verkiezingen.14 Ook de nieuwe, onder de DSA opgerichte, Europese digitaledienstenraad concludeert op dit moment dat er geen grootschalige of systemische incidenten hebben plaatsgevonden waardoor het verloop van de Europese verkiezingen is verstoord.15
Biedt de bestaande Europese wet- en regelgeving, met name via de Digital Services Act, voldoende mogelijkheden om op te treden tegen desinformatiecampagnes? Welke nationale en Europese maatregelen zijn er verder nog nodig om desinformatie effectief te bestrijden?
Ja, de desinformatiecampagnes zoals omschreven in het onderzoek van Trollrensics, vonden plaats op X. Dit platform geldt als een zeer grote online platform en valt sinds augustus 2023 onder de DSA. De DSA bevat verschillende bepalingen over inhoudsmoderatie door aanbieders van online tussenhandeldiensten. Volgens de definitie van het begrip «inhoudsmoderatie» (artikel 3, onderdeel t, van de DSA) gaat het dan om zowel illegale inhoud als om informatie die in strijd is met de algemene voorwaarden die de aanbieder toepast, bijvoorbeeld omdat hij deze onwenselijk of schadelijk acht. Desinformatie kan zowel de vorm aannemen van illegale inhoud als schadelijke inhoud. In het geval van het laatste, kan desinformatie en andere schadelijke inhoud vallen onder contractuele beperkingen die in de algemene voorwaarden opgenomen zijn. Daarnaast kan desinformatie ook vallen onder zogenaamde «systeemrisico» zoals beschreven in artikel 34 van de verordening. Tegen dergelijke schadelijke inhoud moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken.
Aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines moeten daarom, bij de beoordeling van systeemrisico’s, bijzondere aandacht besteden aan de manier waarop hun diensten (kunnen) worden gebruikt om misleidende of bedrieglijke inhoud, met inbegrip van desinformatie en gecoördineerde desinformatiecampagnes, te verspreiden of versterken. Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om toezicht te houden op zeer grote online platformen en onlinezoekmachines. Bij het treffen van maatregelen moeten platformen de rechten van burgers beschermen, zoals het recht op privacy en de vrijheid van meningsuiting.
Daarnaast is uw Kamer recentelijk geïnformeerd over de nieuwe maatregelen die wij nemen in de Rijksbrede strategie voor de effectieve aanpak van desinformatie.16 Het Ministerie van BZK heeft opdracht gegeven tot een brede verkenning waarin wordt onderzocht hoe de kwaliteit van het open publieke debat beter kan worden gewaarborgd. Daarbij wordt onderzocht welke kwetsbaarheden het open publieke debat kent, waaronder de wijze waarop desinformatie de Nederlandse democratische rechtsstaat kan ondermijnen en welke interventies het open publieke debat beter kunnen beschermen. Over dit onderzoek en de eerste resultaten wordt uw Kamer eind 2024 geïnformeerd.
Doen grote online platforms volgens u voldoende om desinformatiecampagnes op hun kanalen te bestrijden? Zo ja, waaruit blijkt dat? Zo niet, van welke online platforms verwacht u meer actie en is de Digital Services Act, onder andere, voldoende uitgerust om hen hiertoe te dwingen?
De DSA verplicht zeer grote online platforms en zoekmachines om tenminste jaarlijks een risicobeoordeling te verrichten om te onderzoeken of hun diensten vatbaar zijn voor systeemrisico’s. De verspreiding van desinformatie kan zo’n systeemrisico vormen. Indien dergelijke systeemrisico’s aanwezig zijn, moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken. Dergelijke maatregelen kunnen de aanpassing van hun diensten, online-interfaces, algemene voorwaarden inhoudsmoderatieprocedures, algoritmische systemen of aanbevelingssystemen omvatten.
Het is nu nog te vroeg om volledig te kunnen vaststellen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om systeemrisico’s, waaronder de verspreiding van desinformatie, te mitigeren. Dat oordeel is in de eerste plaats aan de Europese Commissie als bevoegde toezichthouder. In het geval van niet-naleving van de bepalingen door zeer grote online platformen en zeer grote onlinezoekmachines kan de Europese Commissie handhavingsmaatregelen. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de wereldwijde omzet van een zeer groot online platform.
De Europese Commissie is voortvarend gestart met het toezicht, ook op de verplichtingen van artikel 34 en 35 DSA. Op 18 december 2023 is ze een formele procedure gestart tegen X. Onder meer omdat ze twijfelt aan de doeltreffendheid van de maatregelen die X neemt ter bestrijding van desinformatie. Deze procedure loopt nog. Op 12 juli j.l. heeft de Europese Commissie zijn voorlopige bevindingen naar X gestuurd.17 Daarnaast is ze een formele procedure gestart tegen Meta. De systeemrisico-analyses van Meta, de risico’s van desinformatie, en de maatregelen die Meta daartoe heeft genomen zijn onderdeel van die procedure.18 Wij volgen de voortgang van deze procedures en ondersteunen de Europese Commissie waar nodig in haar rol als toezichthouder op de naleving van de DSA.
Welke stappen gaat u nemen om samen met uw ambtsgenoten in de EU op te treden tegen deze vorm van buitenlandse verkiezingsbeïnvloeding? Bepleit u samen met hen een gezamenlijke boodschap richting de nieuwe Europese Commissie?
Het hoofdlijnenakkoord omschrijft dat de overheid zich inzet om de maatschappij weerbaar te maken tegen desinformatie. Dit belang dragen we ook in de EU uit. Het kabinet staat in EU verband in nauw contact met andere landen waar het buitenlandse beïnvloeding betreft. Concrete voorbeelden hiervan zijn het Europese Rapid Alert System (RAS) en het European cooperation network on elections (ECNE). In deze gremia zijn onder andere signalen over desinformatie, maatregelen om hiermee om te gaan en de laatste wetenschappelijke inzichten uitgewisseld. Leden van de Europese lidstaten doen mee om de negatieve impact van desinformatie zo effectief mogelijk aan te pakken en van elkaar te leren. Via deze wegen worden ook FIMI-campagnes19 gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Waar nodig wordt gekeken naar een gezamenlijke reactie. Nederland participeert actief, o.a. door via het Rapid Alert System vertaalde versies van de Rijksbrede Strategie en de Kamerbrief Weerbaarheid Verkiezingsproces te delen.
De nieuwe Europese Commissie zal op het onderwerp desinformatie nieuwe stappen willen zetten. Dat blijkt uit de politieke richtlijnen van de herkozen Commissievoorzitter.20 Het is nu aan de Commissie om binnen hun mandaat met nieuwe voorstellen te komen. Uw Kamer wordt hier te zijner tijd over geïnformeerd.
Wat is de stand van zaken van de motie van de leden Piri en Paternotte over het in de Europese Raad pleiten voor onderzoek naar buitenlandse inmenging in de Europese Parlementsverkiezingen?3
Deze motie is uitgevoerd. De Minister-President heeft tijdens de informele Europese Raad van 17 juni 2024 zijn zorgen overgebracht over mogelijke buitenlandse inmenging in de EP-verkiezingen.22 De Minister-President gaf daarbij aan dat een onderzoek wenselijk is als er indicaties van inmenging zijn. Een dergelijk onderzoek op Europees niveau zou in de eerste plaats aan het EP zijn, in samenwerking met de Belgische autoriteiten.
Kunt u de vragen afzonderlijk van elkaar beantwoorden?
Ja.
Het bericht ‘Meta schort AI-plannen in Europa op na druk toezichthouders’ |
|
Barbara Kathmann (PvdA) |
|
Micky Adriaansens (VVD), Alexandra van Huffelen (D66) |
|
![]() |
Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1
Ja, ik heb kennisgenomen van dit bericht.
Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?
In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).
Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?
Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.
Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3
Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.
Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?
Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.
Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?
Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.
Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?
Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.
Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?
Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.
Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?
Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.
Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?
Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.
Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?
Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.
Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?
De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.
Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?
Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.
Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?
Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.
Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?
Ja.
Bent u bekend met het volgende bericht van de heer Musk?1
Ja, ik heb kennisgenomen van dit bericht.
Bent u bekend met het vijf dagen eerder verschenen artikel «Het rommelt bij OpenAI, de maker van ChatGPT: kritiek op veilig gebruik van artificial intelligence komt van binnen en buiten» gepubliceerd door Business Insiders Nederland op 5 juni 2024?2
Ja, ik heb kennisgenomen van dit bericht.
Deelt u de opvatting van de heer Musk dat de integratie van OpenAI op OS-niveau van Apple producten, zoals verkondigd door Apple op de WWDC (Worldwide Developers Conference), een potentieel veiligheidsrisico kan vormen voor deze apparaten? Zo nee, waarom niet?
Het integreren van producten van derde partijen in Apple producten, maar ook producten van vergelijkbare partijen, is een veel voorkomend proces. Dit integratieproces kan veiligheidsrisico's met zich mee brengen, waarbij de potentiële kwetsbaarheden over het algemeen toenemen naarmate de integratie diepgaander wordt. In het specifieke geval van AI-integratie binnen een besturingssysteem, zoals de integratie van OpenAI op OS-niveau, worden deze risico's verder geïntensiveerd. Deze vorm van integratie vereist namelijk toegang tot gevoelige gegevens en kerncomponenten van het OS, wat verder gaat dan conventionele integraties. Apple heeft aangegeven in openbare berichtgeving dat er in dit proces data wordt uitgewisseld met externe partijen. Ook heeft Apple in openbare berichtgeving aangegeven maatregelen te hebben getroffen om de cybersecurity en dataprivacy te borgen. Daar zijn geen technische details over openbaar gemaakt. Uiteraard moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8.
Apple heeft overigens de uitrol van de integratie van ChatGTP van OpenAI binnen de EU uitgesteld (zie hiervoor ook de beantwoording van vraag 6, 7 en 8).
Deelt u de mening dat de scheidingslijn tussen «lokaal opgeslagen» en «opgehaald/gedeeld middels geautoriseerde apps» geen heldere barrière kent en derhalve flinterdun genoemd mag worden? Graag een onderbouwing van uw beantwoording.
De scheidingslijn tussen lokaal opgeslagen gegevens en gedeelde gegevens is technisch gezien duidelijk, namelijk dat lokaal opgeslagen gegevens zich bevinden op het apparaat van de gebruiker, terwijl gedeelde gegevens worden overgedragen naar externe servers. Tegelijkertijd is voor gebruikers niet altijd duidelijk wat er wel of niet gebeurt met hun gegevens. Dit komt door de complexiteit van moderne besturingssystemen en de voortdurende balans tussen gebruiksgemak en beveiliging. Hierdoor kan lokale informatie op verschillende manieren, zowel actief (aangevinkt door de gebruiker) als automatisch (bijvoorbeeld via virusscans, en spellingcheckers), met externen worden gedeeld zonder dat de gebruiker zich hiervan bewust is.
Vindt u dat dergelijk potentieel veiligheidsrisico voor een overheidsorgaan onwenselijk is? Zo nee, waarom niet?
In algemene zin kunnen veiligheidsrisico’s die ontstaan door integraties van producten van derde partijen in een besturingssysteem onwenselijk zijn voor de overheid. Zo is een risico van oneigenlijk delen en verwerken van gegevens van smartphonegebruikers onwenselijk. Tegelijkertijd zijn er maatregelen mogelijk om deze risico’s te mitigeren. Ook moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8. Apple geeft aan te werken aan uitgebreide bescherming van persoonsgegevens voor hun AI-toepassingen, bijvoorbeeld middels «Private Cloud Compute (PCC)»3. De PCC ontvangt gegevens van het toestel van de gebruiker voor het uitvoeren van een AI-toepassing wanneer deze niet op het toestel zelf kunnen worden uitgevoerd. Na ontvangst worden de gegevens gebruikt voor het uitvoeren en worden deze na gebruik gelijk verwijderd. Gegevens in de PCC worden volgens Apple niet gedeeld met derden en zouden ook niet door Apple verder worden verwerkt.
Wat bent u voornemens te gaan doen om hieraan gerelateerde potentiële veiligheidsrisico’s in kaart te brengen en tevens in te perken?
Voor het inzetten van AI-toepassing binnen de Rijksoverheid gelden verschillende risico mitigerende maatregelen. Deze maatregelen zijn verwerkt in zowel (EU) wet- en regelgeving alsook de inkoopvoorwaarden voor ICT. Dit betekent enerzijds dat Apple zelf verantwoordelijk is voor het naleven van de inkoopvoorwaarden en anderzijds zij op wet- en regelgeving getoetst en gecontroleerd worden door Rijksoverheidsorganisaties en toezichthouders.
Voor het gebruik van generatieve AI-toepassingen, zoals die van Apple, geldt nog steeds het voorlopige standpunt generatieve AI over het gebruik door Rijksorganisaties van generatieve AI.4 Hierin staat dat voor het inzetten van een AI-toepassing, deze onderworpen moet worden aan een Impact Assessment Mensenrechten Algoritme (IAMA) en een Data Protection Impact Assessment (DPIA). De uitkomsten van de DPIA en IAMA dienen voor inzet van de toepassing ter advies aan de (departementale) Chief Information Officer (CIO) en de Functionaris Gegevensbescherming (FG) te worden voorgelegd. Door middel van deze maatregelen worden potentiële veiligheidsrisico’s op tijd gesignaleerd en kan er doelmatig ingegrepen worden.
Leveranciers hebben ook een eigen verantwoordelijkheid om te voldoen aan wetgeving en inkoopvoorwaarden. Zoals in antwoord op vraag 3 benoemd, heeft Apple vooralsnog de uitrol van de AI integratie binnen de EU uitgesteld.
In hoeverre past een integratie van AI op OS-niveau binnen de kaders van de DMA, DSA, AI-Act en andere relevante wetten, regels en verordeningen?
Het is aan de toezichthouders en uiteindelijk aan de rechters op Europees en nationaal niveau om te bepalen in hoeverre een integratie van AI op OS-niveau binnen de bestaande kaders van relevante wet- en regelgeving past. In de Digital Markets Act (DMA) en de AI-verordening staan bepalingen die ingaan op onder andere interoperabiliteitsverplichtingen en de verantwoordelijkheden binnen de waardeketen van AI. Besturingssystemen vallen niet binnen de reikwijdte van de Digital Services Act (DSA).
Apple is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. De iOS-diensten van Apple vallen onder het toepassingsgebied van de DMA en zijn door de Commissie aangewezen als kernplatformdienst in de categorie besturingssysteem (artikel 2, tweede lid, onder f). Dit betekent dat Apple moet zorgen voor effectieve naleving van de maatregelen in de DMA die van toepassing zijn op besturingssystemen, zoals het verbod op het combineren van data of de interoperabiliteitsverplichtingen. Op basis van artikel 5, tweede lid, van de DMA mag Apple bijvoorbeeld niet zonder toestemming persoonsgegevens gebruiken in andere diensten die Apple afzonderlijk aanbiedt.
Onder de DMA zijn diensten die gebruikmaken van AI niet opgenomen als afzonderlijke kernplatformdienst. Uit overweging 14 van de DMA volgt echter dat de definitie van kernplatformdiensten voor de toepassing van deze verordening technologieneutraal is en ook diensten omvat die langs verschillende wegen worden aangeboden. De onderliggende technologie waar het besturingssysteem op leunt, kan op deze wijze dus ook onder het toepassingsgebied van de DMA komen te vallen. Dat betekent echter niet dat de DMA zich verzet tegen een integratie van AI op OS-niveau, mits Apple zich voor haar iOS-diensten houdt aan de verplichtingen en verboden die volgen uit de DMA.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 2 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stelt aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Wat gaat u doen om de privacy van onze burgers te borgen?
De privacy van burgers binnen het digitale domein wordt op verschillende manieren geborgd. Binnen de EU wordt het grondrecht op gegevensbescherming wettelijk beschermd via de Algemene Verordening Gegevensbescherming (AVG). Toezicht en handhaving op de rechtmatigheid van gegevensverwerking in de publiek en private sector wordt in Nederland gedaan door de Autoriteit Persoonsgegevens (AP).
De AP is een onafhankelijke toezichthouder en heeft ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. Zo heeft de AP als toezichthoudend autoriteit de bevoegdheid om organisaties te gelasten alle informatie voor hun onderzoek te verstrekken (art. 58, AVG). Ook is de AP bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. Sancties die de AP kan opleggen zijn: waarschuwingen, berispingen, last onder dwangsom, boetes (maximaal 20 miljoen of 4% van de wereldwijde jaaromzet) of een verwerkingsverbod.
In de casus van Apple wordt het toezicht niet door de AP opgepakt, maar door de Ierse privacyautoriteit. Het Europese hoofdkantoor van Apple is namelijk gevestigd in Cork, Ierland. Dit houdt in dat, aangezien de hoofdvestiging zich in Ierland bevindt, de leidende toezichthoudende autoriteit conform artikel 56 uit de AVG de Ierse toezichthouder is. De Ierse toezichthouder heeft eenzelfde mandaat en bevoegdheden als de Nederlandse AP en zij werken bij grensoverschrijdende gegevensverwerkingen nauw samen. Deze samenwerking vindt plaats middels de European Data Protection Board (EDPB).
Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?
Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.
Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3
Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.
Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?
Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.
Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?
Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.
Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?
Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.
Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?
Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.
Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?
Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.
Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?
Zie antwoord vraag 7.
Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?
Zie antwoord vraag 7.
Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?
Zie antwoord vraag 7.
Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?
Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.
Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?
Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.
Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?
Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.
Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?
Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.
Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?
Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.
Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?
De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.
Het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht |
|
Queeny Rajkowski (VVD) |
|
Alexandra van Huffelen (D66), Micky Adriaansens (VVD) |
|
![]() |
Bent u bekend met het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht?1 Herkent u de zorgen zoals geuit in de brief van huidig en voormalig werknemers van OpenAI? Zo ja, hoe ziet de Minister het mogelijke gevaar van het versterken van ongelijkheid en het verspreiden van desinformatie door AI (in Nederland)? Welke gevaren ziet de Minister nog meer?
Ja, hier ben ik mee bekend. Ik herken de risico’s die worden genoemd in de brief en de bezorgdheid over het effect dat artificiële intelligentie (AI) kan hebben op het creëren en verspreiden van mis- en desinformatie.
Generatieve AI zoals de producten van OpenAI maken het in potentie makkelijker om mis- en desinformatie te creëren. Om deze risico’s te beperken zijn regels opgesteld in de AI-verordening. Zo moeten aanbieders van AI-systemen die synthetische content2 genereren ervoor zorgen dat de output van het AI-systeem wordt gemarkeerd in een machineleesbaar formaat en detecteerbaar zijn als kunstmatig gegenereerd of gemanipuleerd. Dit maakt het makkelijker voor grote online platforms om systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content te identificeren en te beperken. Verder geldt dat AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum, of van het stemgedrag bij verkiezingen of referenda als hoog-risico worden geclassificeerd vanuit de AI-verordening. Aanbieders van deze systemen moeten dan ook voldoen aan de eisen en verplichtingen voor AI-systemen met een hoog risico, zoals het identificeren en voorkomen van risico’s. OpenAI verbiedt dan ook het gebruik van hun producten voor politieke beïnvloeding.
Het kabinet wil dat deze risico’s van generatieve AI worden ingeperkt en aangepakt, maar ook de kansen van generatieve AI benutten voor het tegengaan van desinformatie. In de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie3, die onlangs vanuit mijn ambtsvoorgangers, aan uw Kamer is verzonden, wordt dieper ingegaan op de impact van generatieve AI en het verspreiden van desinformatie.
Het kabinet erkent ook het risico dat AI kan hebben op groeiende ongelijkheid en de sociaaleconomische implicaties. Daarom steunt zij ook het eerder aangevraagd advies van het vorige kabinet hierover aan de Sociaal Economische Raad4, zodat het kabinet samen met werkgevers en werknemers actie kan ondernemen om de impact van AI op de samenleving op een verantwoorde manier een vervolg te geven. De AI-verordening heeft als doel om risico’s van AI-systemen aan te pakken, waaronder het risico op discriminatie wat ongelijkheid veroorzaakt en kan vergroten. De AI-verordening bepaalt dat onder meer risico’s op aantasting van fundamentele rechten zoals het recht op non-discriminatie moeten worden aangepakt bij de ontwikkeling van AI-systemen en bij de inzet van AI-systemen door overheidsinstanties.
Hoe ziet u in algemene zin het spanningsveld tussen het feit dat de AI Act pas in haar volledige vorm over enkele jaren in werking treedt en dat het op dit moment wenselijk kan zijn om toezicht te houden en daar waar nodig in te grijpen bij organisatie die maatschappij veranderende technieken uitbrengen, zoals kunstmatige intelligentie en large language models?
Als het gaat om het reguleren van AI als product binnen de EU en in Nederland, vormt de AI-verordening hiervoor het juridisch fundament. De AI-verordening is in werking getreden op 1 augustus jl. en wordt stapsgewijs van toepassing. Zo zijn bepaalde AI-praktijken al na 6 maanden verboden. De eisen voor AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI naar verwachting ook onder vallen) zijn al na 12 maanden van toepassing. Hieronder vallen ook de zwaardere eisen wanneer deze modellen ook voor systeemrisico’s kunnen zorgen. Voor de eisen aan hoog-risico AI-toepassingseisen gelden termijnen van 24 en 36 maanden. Het is belangrijk dat ontwikkelaars en gebruiksverantwoordelijken van deze AI-modellen en systemen voldoende tijd hebben om zich goed te kunnen voorbereiden op het van toepassing worden van de eisen.
Het kabinet neemt nu al stappen om risico’s van (generatieve) AI te adresseren. Daarom wordt in Nederland al hard gewerkt aan het versterken van het toezicht op AI, mede in voorbereiding op de AI-verordening. Zo is onder de Autoriteit Persoonsgegevens (AP) de Directie Coördinatie Algoritmes (DCA) opgericht om het toezicht op algoritmes en AI in Nederland te versterken. Dit doet zij door risico’s van algoritmes en AI te signaleren en analyseren, samenwerking tussen toezichthouders te versterken en guidance te bevorderen. Daarnaast hebben de Rijksinspectie Digitale Infrastructuur (RDI) en de DCA in 2024 samen 3,1 miljoen euro ontvangen van het Ministerie van Economische Zaken om Nederland te kunnen voorbereiden op het inrichten van toezicht op de AI-verordening. De RDI en DCA bieden in de loop van dit jaar een definitief advies aan over de inrichting van het toezicht op de AI-verordening aan de bewindspersonen van Economische Zaken, Binnenlandse Zaken en Koninkrijksrelaties en Justitie en Veiligheid. Daarna wordt de voorgenomen inrichting van het toezicht opgenomen in de uitvoeringswet die aan het parlement wordt voorgelegd via de gebruikelijke wegen.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 1 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stellen aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Het AI-bureau («AI Office») van de Europese Commissie is bevoegd om toezicht te houden op AI-modellen voor algemene doeleinden. De eisen voor deze modellen treden 1 augustus 2025 in werking, waarna het AI-bureau kan gaan controleren of deze worden nageleefd.
Er wordt niet gewacht tot de AI-verordening van toepassing is om veilige ontwikkeling en gebruik van AI te bevorderen. Zo heeft de Europese Commissie recent het «AI Pact» gelanceerd. Dit AI Pact heeft als doel om organisaties vroegtijdig aan de AI-verordening te laten voldoen. Aan de ene kant door informatie en best practices tussen organisaties uit te wisselen, en aan de andere kant door organisaties te motiveren om toe te zeggen dat ze vroegtijdig aan de eisen zullen voldoen. Daarnaast ontwikkelt het AI-bureau al verschillende instrumenten die bijdragen aan een effectieve uitvoering van de AI-verordening, zoals richtsnoeren en lagere wetgeving die de AI-verordening verder duidelijk maken, praktijkcodes, benchmarks en het ondersteunen en bundelen van kennis uit de verschillende adviesorganen. Daarbij draagt de Commissie namens de Europese lidstaten bij aan internationale gedragscodes voor geavanceerde AI-systemen, zoals de Hiroshima gedragscode van de G7.5 Nederland volgt deze ontwikkelingen nauw en werkt tijdens de implementatie van de AI-verordening via verschillende adviesorganen nauw samen met het Europese AI-bureau.
Daarnaast bestaan er al verschillende wetten die niet specifiek over AI gaan, maar die wel normen bevatten waarmee de inzet van AI wordt gereguleerd. De Algemene Verordening Persoonsgegevens (AVG) biedt bijvoorbeeld juridische kaders bij geautomatiseerde besluitvorming met behulp van AI en bij het verwerken van persoonsgegevens voor het trainen of gebruik van AI. Op grond van de AVG hebben EU privacy toezichthouders ervoor gezorgd dat ChatGPT extra privacy waarborgen biedt. De Algemene wet bestuursrecht (Awb) stelt normen aan de kwaliteit van overheidsbesluiten en de motivering daarvan, ook als daar AI voor wordt gebruikt. De Algemene wet gelijke behandeling (Awgb) beschermt tegen discriminatie als AI-systemen worden gebruikt bij het aanbieden van bijvoorbeeld werk, goederen en diensten.
Tenslotte zijn er de afgelopen jaren verschillende (niet-regulerende) beleidsacties op nationaal niveau opgezet die ook bijdragen aan een verantwoorde inzet van AI. Voorbeelden hiervan zijn het algoritmeregister voor AI dat wordt gebruikt door de overheid6, de ELSA-labs7, het investeringsprogramma AiNed, het ROBUST programma en het impact assessment mensenrechten algoritmes (IAMA).
Welke mogelijkheden zijn er in afwachting van de volledige inwerkingtreding van de AI-Act om de negatieve risico’s van AI op de samenleving te mitigeren? Zijn er mogelijkheden om op te treden tegen activiteiten en handelingen die nu formeel nog niet als illegaal bestempeld zijn onder de AI-Act, maar dat wel gaan zijn zodra de volledige AI-Act in werking zal treden?
Het is pas mogelijk om juridisch op te treden tegen activiteiten en handelingen op het moment dat zij illegaal zijn. Alhoewel de AI-verordening nog niet (volledig) van toepassing is, kunnen bepaalde activiteiten en handelingen op dit moment al wel illegaal zijn op grond van bestaande juridische kaders, zoals non-discriminatiewetgeving. Bijvoorbeeld als deze activiteiten en handelingen onrechtmatig zijn.
Overigens is het denkbaar dat activiteiten en handelingen illegaal zijn, terwijl het toezicht daarop en de handhaving daarvan op dat moment nog niet zijn gerealiseerd. Zo zijn de verboden in de AI-verordening van toepassing met ingang van 1 februari 2025, terwijl het toezicht op en de handhaving van de verboden pas 6 maanden later geregeld hoeft te zijn.8 Voor het inzetten van toezichtsbevoegdheden of handhavend optreden is een grondslag in de nationale (formele) wet noodzakelijk.9 Tot die tijd is een overtreding van de verboden wel onrechtmatig en kan een procedure gestart worden bij de civiele rechter. Tevens kan een toezichthouder, na de aanwijzing bij of krachtens formele wet, zo nodig met terugwerkende kracht handhaven.
Wat kan er nu al gedaan worden om te voorkomen dat (de toepassing van) generatieve en specifieke AI gevaarlijk wordt? Deelt de Minister de mening dat het belangrijk is om niet te wachten op de AI-Act en nu al stappen te ondernemen, gezien de snelle ontwikkelingen als het gaat om (de toepassing van) verschillende soorten AI? Welke maatregelen neemt de Minister hiervoor? Zo nee, waarom niet?
Zie antwoord vraag 2.
Deelt u de mening dat de AI-adviesraad, zoals om gevraagd in de motie-Rajkowski (Kamerstuk 21501-33-1041), er zo snel mogelijk moet komen om na te kunnen denken over mogelijke acties als het gaat om (de toepassing van) AI op het gebied van veiligheid, weerbaarheid, wenselijkheid, innovatie en strategische autonomie? Op welke termijn kunnen we een dergelijke raad verwachten? Welke maatregelen of besluiten moeten er nog genomen worden?
Genoemde motie vraagt de regering om te onderzoeken of een Nederlands adviserend orgaan van toegevoegde waarde kan zijn om de overheid op korte termijn te adviseren bij ontwikkelingen rondom kunstmatige intelligentie. Door het vorige kabinet is gemeld dat er een verkenning wordt gedaan naar het inrichten van een AI-adviesraad en de laatste stand van zaken van vóór de zomer10. Die verkenning continueert het huidig kabinet. Aan de nadere vormgeving van de adviesraad, inbegrepen haar bevoegdheden, wordt nog gewerkt. Hierbij wordt er ook juridisch bekeken welke mogelijkheden de Kaderwet Adviescolleges hiertoe biedt. Ik verwacht dit najaar de uitkomsten van dit onderzoek met uw Kamer te kunnen delen.
Deelt u de mening dat het wenselijk is om in te zetten op Nederlandse/Europese ontwikkeling van kunstmatige intelligentie met de focus op publieke waarden met positieve maatschappelijke en economische effecten en dat een AI-fabriek hier een interessant instrument voor kan zijn? Deelt u de mening dat het wenselijk kan zijn om een AI-fabriek, eventueel in Europese samenwerking, te plaatsen in Nederland en het daarmee een mooie aanvulling kan zijn op ons digitale knooppunt en het versterken van onze digitale economie van de toekomst? Zo ja, op welke manier gaat u zich hiervoor inzetten in Europa? Zo nee, waarom niet?
Het AI-beleid in Nederland heeft zich sinds 2019 gericht op het versterken van het waardengedreven AI-ecosysteem waar onze publieke belangen, zoals fundamentele rechten, zijn geborgd en we de maatschappelijke en economische kansen verzilveren. Dit gebeurt onder meer via de publiek-private Nederlandse AI Coalitie (NLAIC), het AiNed investeringsprogramma (Nationaal Groeifonds) en de inzet voor de AI-verordening. Om het Europese AI-ecosysteem verder te versterken, heeft de Europese Commissie in januari 2024 het AI-innovatiepakket gelanceerd. In de BNC-fiches hierover is positief gereageerd op het voorstel van de Commissie om AI-fabrieken te ontwikkelen.11 Het voorstel voor amendering van de verordening omtrent de voortzetting van de gemeenschappelijke onderneming voor High Performance Computing (HPC) is 23 mei jl. goedgekeurd door de Raad van Concurrentievermogen.
In de Kamerbrief «Verkenning mogelijkheden AI-faciliteit»12 van 4 juni jl. is uw Kamer onlangs geïnformeerd over drie scenario’s die de Ministeries van OCW, BZK en EZ momenteel aan het verkennen zijn, namelijk: 1) bestaande middelen gebruiken, 2) meer investeringen in Europese AI-faciliteiten binnen EuroHPC, en 3) AI-faciliteit in Nederland, waarbij deze faciliteit onderdeel uitmaakt van het bredere Europese supercomputerecosysteem (gemeenschappelijke onderneming EuroHPC). Per scenario brengen de betrokken ministeries momenteel de meerwaarde en haalbaarheid in kaart. Hierin is onder meer aandacht voor de impact op maatschappelijke en economische belangen.
De scenario-aanpak is bedoeld om een zorgvuldige afweging te kunnen maken door het kabinet, omdat er aanzienlijke investeringen mee gemoeid kunnen zijn.
Bent u bereid om, eventueel met Europese collega’s in gesprek te gaan met de Europese Commissie over hoe er op korte termijn gezorgd kan worden dat OpenAI openheid geeft over een aantal zaken zodat we het tegengaan van misbruik van kunstmatige intelligentie en andere onwenselijke effecten kunnen mitigeren? Zo nee, waarom niet?
Zoals ook aangegeven in het antwoord op vraag 2 tot en met 4, zal het AI-bureau van de Europese Commissie toezicht gaan houden op AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI ook onder vallen). Om ervoor te zorgen dat de aanbieders van deze modellen weten hoe ze aan de gestelde eisen moeten voldoen, worden er codes of practice opgesteld. Dit zijn praktische richtsnoeren die in samenwerking met de lidstaten en andere belanghebbenden worden opgesteld.
Hoewel de Commissie na een jaar bevoegdheden heeft om naleving van de regels te eisen, treedt zij in het kader van het opstellen van de codes of practice daarvoor al wel in dialoog met onder andere aanbieders en gebruikers van AI-modellen voor algemene doeleinden. Indien de Commissie signalen krijgt over de negatieve gevolgen van deze AI-modellen, kan hierover ook de dialoog aangegaan worden met de ontwikkelaars.
Via de recent opgerichte AI-Board is Nederland actief betrokken bij deze ontwikkelingen en staan we in nauw contact met de Europese Commissie over de bredere uitwerking van de AI-verordening.
Fiches over digitalisering in de door de informateurs aangeboden formatiestukken |
|
Barbara Kathmann (PvdA) |
|
Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
|
![]() |
Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?
Ja, dat klopt.
Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?
Het hoofdfiche digitalisering is ten behoeve van de formatietafel opgesteld onder auspiciën van de Ambtelijke Commissie Digitalisering (ACD). Alle departementen zijn op hoog-ambtelijk niveau in deze commissie vertegenwoordigd.
De onderliggende fiches zijn gemaakt door verschillende departementen. Om een integraal beeld te bieden, hebben departementen aangegeven welke fiches zij hebben opgesteld die kunnen worden verbonden aan de opgaven op het gebied van digitalisering die in het hoofdfiche digitalisering worden genoemd. Deze onderliggende fiches zijn niet vastgesteld in de ACD. De verschillende departementen zijn zelf verantwoordelijk voor deze fiches en hebben dan ook zelf een afweging gemaakt om een bepaald fiche te verbinden aan het hoofdfiche digitalisering.
Ik ben niet bekend met eventuele andere fiches die raken aan digitale zaken dan de zeventwintig fiches die in het hoofdfiche zijn opgenomen.
Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?
Uit artikel 5.4 van de Wet open overheid (Woo) volgt dat in beginsel geldt dat documenten die ten behoeve van de formatie zijn opgesteld – zoals de onderhavige fiches – uitgezonderd zijn van openbaarheid totdat de formatie is afgerond. Deze bepaling werkt ook door in de wijze waarop ik met het verzoek vanuit uw Kamer dien om te gaan.
Dit betekent dat alle fiches eventueel pas openbaar gemaakt kunnen worden als de formatie is afgerond. Hierbij geldt, als in antwoord op vraag 2 genoemd, dat het hier gaat om fiches van verschillende departementen. De afweging om de fiches nadien openbaar te maken is aan de dan verantwoordelijke bewindspersonen. Hierbij geldt als gedeeld uitgangspunt dat dergelijke stukken in beginsel openbaar kunnen worden gemaakt, met dien verstande dat er ook redenen kunnen zijn om dat niet te doen, dan wel om gedeeltelijk te verstrekken.
Het Convenant Rijk en regio investeringen in ondernemingsklimaat microchipsector |
|
Femke Zeedijk-Raeven (D66) |
|
Micky Adriaansens (minister economische zaken) (VVD) |
|
![]() |
Wat is de status van dit document? Is het daadwerkelijk ondertekend op 28 maart 2024 door de partijen? Wat zal er ter besluitvorming aan de kamer worden voorgelegd?
Het convenant maakt deel uit van een pakket aan afspraken. Rijk, regio en bedrijfsleven trekken tot en met 2030 in totaal 2,51 miljard euro uit voor dit pakket. Daarvan wordt 1,73 miljard euro bijgedragen door het Rijk en 778 miljoen euro door de regio en het bedrijfsleven. De afspraken in het convenant zijn voor het Rijk onder voorbehoud van instemming door de Staten-Generaal en voor de regio onder voorbehoud van instemming door provinciale staten van Noord-Brabant, goedkeuring door de 21 gemeenten in de Brainportregio (regio Zuidoost-Brabant) en de bijdrage door private partijen. De voorzitter van de Stichting Brainport handelt hierbij namens de samenwerkende overheden, kennisinstellingen en bedrijven in de Brainportregio. De rol van de voorzitter van de Stichting Brainport is om die instemming voorafgaand aan de ondertekening van het convenant te verkrijgen. Het proces voor deze instemming loopt. Hierbij worden geen bottlenecks verwacht. Naar verwachting kan het convenant binnen afzienbare tijd worden ondertekend.
Kunt u toelichten wat de rol is van Stichting Brainport als vertegenwoordiger van de samenwerkende partijen? In hoeverre heeft Stichting Brainport de mogelijkheid om partijen in de regio te houden aan de afspraken?
Zie antwoord vraag 1.
Waarom is ervoor gekozen om een vertegenwoordiging van het bedrijfsleven of grote bedrijven als ASML, NXP en Philips niet afzonderlijk te laten mee tekenen?
Het convenant beschrijft hoe het Rijk en de decentrale overheden zich verhouden tot de gemaakte afspraken om de groei van ASML en de hightech maakindustrie te kunnen accommoderen en wie daarbij welke financiële verplichtingen heeft. Het gaat hierbij om een intensivering op het oorspronkelijke pakket van 1,6 miljard euro uit 2022. Dit behoeft geen mede ondertekening door het bedrijfsleven. De Stichting Brainport vertegenwoordigt de samenwerkende overheden, kennisinstellingen en bedrijven in de Brainportregio.
Waar bestond het oorspronkelijke pakket van 1,7 miljard euro uit? Kunt u de bedragen onderverdelen in talentontwikkeling, woningen en mobiliteit?
Uit de vraagstelling leiden we af dat u hiermee doelt op het oorspronkelijke pakket van 1,6 miljard euro uit 2022. Tijdens het BO-MIRT (Meerjarenprogramma Infrastructuur, Ruimte en Transport) van 9 november 2022 hebben Rijk en regio samen bekend gemaakt 1,6 miljard euro te investeren om de sterke groei van economische activiteiten in de Brainportregio te kunnen accommoderen. De financiering van dit pakket is gericht op bereikbaarheid van wonen en werken. Daarvoor zijn verschillende financieringsbronnen aan Rijks- en regiozijde ingezet. De grootste rijksbijdrage kwam uit de middelen voor Woningbouw en Mobiliteit voor de ontsluiting van de grootschalige woningbouwlocaties. Deze investeringen dragen bij aan de opgave van de realisatie van 50.000 nieuwe woningen tot en met 2030 (opgave 2022). Het maakt de verwachte reizigersgroei in het openbare vervoer mogelijk, aanpassingen van de weginfrastructuur onder meer voor de ontsluiting van de economische toplocaties en het verbeteren van bestaande spoorlijnen. Naast de middelen voor infrastructuur is een deel van de Rijksmiddelen (ad 23 miljoen euro) direct toe te wijzen aan de woningbouwimpuls. In het oorspronkelijke pakket zitten geen middelen voor talentontwikkeling.
Hoe zal de structurele bijdrage van 80,5 miljoen euro aan talentontwikkeling worden gedekt?
De structurele kosten vanaf 2031 van het Nationaal versterkingsplan van microchip-talent worden voor de helft gedekt door het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) en voor de andere helft door het Ministerie van Economische Zaken en Klimaat (EZK). Het OCW-gedeelte wordt gedekt op de OCW-begroting. Hiervoor worden vanaf 2028 de resterende middelen van de maatregel afschaffing halvering van collegegeld ingezet (deze maatregel is stopgezet vanaf collegejaar 2024/2025). Ook worden van de Aanvullende Post de resterende middelen voor het fonds Onderzoek & Wetenschap in 2030 en 2031 hiervoor ingezet. Voor de resterende dekking wordt vanaf 2031 structureel omgebogen op de bekostiging van het mbo, hbo, wo en de onderzoeksbekostiging bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Het EZK-gedeelte hiervan wordt gedekt op de EZK-begroting. De dekking vindt vanaf 2031 plaats en wordt vooralsnog bekostigd uit de post PPS-Innovatiemodule. De PPS-Innovatiemodule draagt bij aan publiek-private samenwerkingsprogramma’s onder meer voor de hightech systemen- en materialensector.
Is al bekend wat de bijdrage zal zijn van private partijen in de genoemde bedragen? Kunt u deze bijdrage uitsplitsen naar talentontwikkeling, woningbouw, mobiliteit en netcongestie?
De private bijdrage is onderdeel van de regionale cofinanciering. In het convenant zijn geen afspraken gemaakt over de hoogte van de private bijdrage als onderdeel van de regionale cofinanciering. Voor wat betreft de opgave voor talentontwikkeling moet de bijdrage door private partijen volgen uit de dialoog die met partijen gevoerd zal worden voor het kunnen opstellen van het Nationaal versterkingsplan van microchip-talent. Zie hiervoor tevens het antwoord bij vraag 9. Voor wat betreft de ruimtelijke schaalsprong (mobiliteit en woningbouw) betrof de private bijdrage tijdens het oorspronkelijke pakket (2022) 1/3 deel van de regionale bijdrage. Het is aan de regio zelf om ook voor het nieuwe pakket hier samen met de private partijen tot overeenstemming te komen. Het convenant regelt geen afspraken over de private bijdrage voor netcongestie.
Is hierbij uitgegaan van de verdeling van 1/3 van 1/3, zoals dat bij het voorgaande pakket de afspraak was? Waarom wel, of waarom niet?
Zie antwoord vraag 6.
Deelt de u de mening dat, gezien de winstgevendheid van de chipsector en gezien precedentwerking voor eventueel toekomstige overeenkomsten, een significante bijdrage van de sector zelf een vereiste is?
Ja, het belang voor de chipsector zelf is evident. En dit belang zal ook terugkomen in de afspraken van de nadere uitwerking van het convenant.
Kunt u de tekst «het zwaartepunt ligt in de regio» met betrekking tot talentontwikkeling nader toelichten? Wat zou de juiste verdeling zijn tussen de Brainport regio en andere regio’s (Twente, Delft, Groningen)?
Het doel van deze investeringen is meer talent voor de halfgeleiderindustrie. In de Brainportregio ligt het zwaartepunt van de halfgeleiderindustrie. Hieruit volgt dat er relatief meer investeringen en activiteiten in de Brainportregio neerslaan en daarom komt het zwaartepunt van de investeringen in de Brainportregio te liggen.
De precieze verdeling van de middelen moet nog worden bepaald en ook hoe dat in de andere regio’s kan neerslaan. Daarvoor geldt dat we zullen kijken naar waar de middelen de meeste impact hebben op de talentvraag van de halfgeleiderindustrie. Ik verwacht uw Kamer in het najaar te informeren over de verdeling van de middelen.
Overwegende dat reistijden binnen Nederland relatief klein zijn en talent zich makkelijk verspreid over Nederland, deelt u de mening dat wat betreft talentontwikkeling het zwaartepunt niet noodzakelijkerwijs op de Brainport regio zou hoeven te liggen? Wat is de reden om dit wel te doen?
Onderdeel van het maatregelenpakket rond talentontwikkeling is een Nationaal versterkingsplan van microchip-talent gericht op het landelijk versterken van de gehele waaier, van om- en bijscholen en het opleiden van mbo, hbo en wo studenten. De bereidheid om te reizen en de bereidheid om te verhuizen varieert per opleidingsniveau. Praktisch opgeleiden hebben gemiddeld genomen een kleinere actieradius van en naar werk en zijn minder vaak bereid om te verhuizen voor werk en studie dan theoretisch opgeleiden. Voor theoretisch opgeleiden is de bereidheid tot reizen en te verhuizen voor werk en studie hoger.
Hans de Jong, speciaal gezant namens het kabinet, heeft de regio’s Brainport, Twente, Groningen en Delft gevraagd om hiertoe met onderbouwde plannen te komen. Ook is het mogelijk andere regio’s, buiten de genoemde regio’s, die een substantiële bijdrage kunnen leveren aan de opgave te betrekken. Deze partijen dienen zich dan aan te sluiten bij de plannen van één van deze vier genoemde regio’s. De deadline voor indiening is 1 juli 2024, waarna deze nog verwerkt en beoordeeld worden. Vanwege de kabinetswissel op 2 juli 2024 zal dit plaatsvinden na de beëdiging van de nieuwe bewindspersonen.
Is het mogelijk om concrete en bindende afspraken te maken over de stay-rate van buitenlandse studenten? En indien ja, hoe kan dat het beste?
Buitenlandse studenten kunnen een belangrijke bijdrage leveren aan het helpen oplossen van het tekort aan talent. We kunnen buitenlandse studenten die in Nederland afstuderen niet verplichten om na hun studie in Nederland te gaan werken, maar we kunnen wel afspraken maken met instellingen en bedrijven om de kans dat zij blijven te vergroten. Om internationale studenten na hun studie succesvol te koppelen aan Nederlandse bedrijven is een integrale aanpak nodig van werving, matching, opleiding en begeleiding. Recent Nuffic onderzoek laat zien dat het hierbij ook gaat om het spreken van de taal en een thuis- of welkomstgevoel. Binnen de Wet internationalisering in balans, die op 13 mei jl. aan uw Kamer is aangeboden, wordt de zorgplicht van instellingen om de uitdrukkingsvaardigheid in het Nederlands te bevorderen verruimd zodat deze van toepassing wordt op internationale studenten. Daarbij wil de Minister van OCW samen met de instellingen bestuurlijke afspraken vastleggen hoe zij invulling geven aan deze zorgplicht. Door internationale studenten tijdens de studie de mogelijkheid te bieden te werken aan de taalvaardigheid in het Nederlands, zal het niet spreken van de taal in mindere mate een belemmering vormen om na de studie in Nederland te blijven. In de zelfregieplannen die hogescholen en universiteiten hebben opgesteld ten aanzien van de instroom van internationale studenten, wordt op verzoek van de Minister van OCW ook aandacht besteed aan de taalvaardigheid en aan binding van internationale studenten aan de Nederlandse samenleving en arbeidsmarkt. Zowel hogescholen als universiteiten gaan aan de slag met (regionale) werkgevers om studenten te begeleiden naar banen in Nederland; ze hebben landelijke werkgroepen ingesteld om succesvolle voorbeelden daarvan uit te wisselen.1 Nadere routes naast de Wet internationalisering in balans en mogelijkheden voor de samenwerking tussen de technische onderwijsinstellingen en de bedrijven zal ik uitwerken in het Nationaal versterkingsplan van microchip-talent.
In de media is verschillende keren een inschatting gemaakt van de extra basis- en middelbare scholen die nodig zijn in de regio. Is daar ook extra investeringsgeld voor opgenomen in deze afspraken?
Als onderdeel van het convenant spreken Rijk en Regio af een verkenning te starten naar de sociaal-maatschappelijke opgaven in de gebiedsontwikkeling waaronder sociale cohesie, faciliteiten als onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. De regio verwacht bijvoorbeeld voor onderwijshuisvesting een aanvullende investering te moeten doen van circa 150 miljoen euro. Deze verkenning heeft tot doel om in beeld te krijgen wat deze opgaven zowel fysiek als financieel betekenen en welke fasering mogelijk is. Het streven is om deze verkenning voor het einde van dit jaar (2024) af te ronden.
Bovendien wordt in de Regio Deal «Thuis in Brainport» ingezet op sociaal-maatschappelijke opgaven in de regio. In de aanvraag is te lezen dat uit de praktijk blijkt dat er knelpunten zijn op sociale samenhang, de ontwikkeling van competenties & basisvaardigheden, en leefbaarheid. Voor de Regio Deal «Thuis in Brainport» is vanuit het Rijk een bedrag van 20 miljoen euro gereserveerd. De regio investeert eenzelfde bedrag als cofinanciering. De aanvraag wordt de komende periode verder uitgewerkt door de regio. De regiodeal is geen onderdeel van het convenant.
Is er tijdens de gesprekken ook gesproken over zorg en culturele voorzieningen? Hoe wordt voorzien in de benodigde groei op deze punten?
Zie antwoord vraag 12.
Wat wordt onder mobiliteit bedoeld met «afspraken maken over risicoverdeling en omgang met risico’s»? Tussen welke partijen wordt er risico verdeeld en om welke risico gaat het?
Risico’s zijn inherent aan bouwprojecten. Vertrekpunt voor de gemaakte afspraken is dat de bijdragen taakstellend zijn en dat risico’s voor nationale projecten belegd worden bij het Rijk. De risico’s van regionale projecten worden belegd bij de regio. Echter, enkele infrastructuurprojecten hebben betrekking op zowel regionale als nationale netwerken. Voor deze projecten is maatwerk noodzakelijk. Het is in alle gevallen een gezamenlijk belang van Rijk en regio om de scope en taakstellend budget in evenwicht te houden. Daarvoor zullen de risico’s actief gemanaged moeten worden. Over de omgang met risico’s op deze projecten moeten Rijk en Regio nog afspraken maken. De afspraken uit het gezamenlijk ontwikkelde afsprakenkader van de Brainportdeal in 2022 zijn hierin vertrekpunt. De Kamer is hierover geïnformeerd via de MIRT brief van 2022 (Kamerstuk 36 200 A, nr. 9) en de brief over de Bestuurlijke Overleggen Leefomgeving van 2023 (Kamerstuk 34 682, nr. 173).
Heeft u een beeld hoe de benodigde stikstofdeskundigheid die nodig is voor de infrastructuurprojecten kan worden vrijgemaakt?
Rijkswaterstaat (RWS) onderzoekt hoeveel capaciteit er nodig is voor de Rijksinfrastructuurprojecten uit het convenant, inclusief stikstofdeskundigheid. Voor de regionale projecten uit het convenant doorloopt de regio vergelijkbare stappen. Vervolgens worden afspraken gemaakt over wie deze stikstofdeskundigheid kan leveren (RWS, de regio of een marktpartij). Met die stikstofdeskundigheid kan de stikstofopgave in beeld worden gebracht. Vervolgens moeten maatregelen genomen worden en moeten vergunningen worden verleend. Per stap zal worden gekeken wat mogelijk is en wat dit betekent voor de prioritering van projecten.
Kunt u meer inzicht geven in de bestemming van de 425 miljoen euro voor woningbouw? Gaat het hier over garanties, financieringen van onrendabele top of bouwdepots zelf? Hoeveel van deze investering verwachten we terug bij verkoop van de woningen?
Van de beschikbare 425 miljoen euro is 180 miljoen euro bestemd voor het treffen van gebiedsmaatregelen in de 2 grootschalige NOVEX-woningbouwlocaties (Knoop XL en HOV-4). Deze gebiedsmaatregelen leveren een bijdrage aan de leefbaarheid van de woningbouwlocaties o.a. door groen- en watermaatregelen. Rijk en regio maken afspraken over de nadere invulling van de gebiedsmaatregelen bij het BO Leefomgeving 2025. Het gaat hierbij om het afdekken van de onrendabele top van publieke maatregelen.
Voor het versnellen van de realisatie van 17.000 (extra) woningen en 2.280 aanvullende studenteneenheden tot en met 2030 is in totaal 245 miljoen euro beschikbaar. Beide partijen werken gezamenlijk uit hoe de beschikbare middelen optimaal kunnen worden ingezet teneinde deze opgave te realiseren. Er is geen sprake van een verplichte «return on investment» bij de verkoop van woningen. Het doel is om te komen tot versnelde realisatie van voldoende betaalbare woningen in de Brainport regio. Hierbij willen we een maximaal doelbereik realiseren met de beschikbare middelen en de publieke en private middelen doelmatig en doeltreffend inzetten voor de woningbouwopgave.
Welk deel van de grond voor deze woning is in eigendom van de gemeente? Welk deel is daarnaast al beschikbaar en bestemd en welk deel moet nog worden gevonden?
De gronden waar de woningen op gebouwd worden zijn deels in publieke handen (gemeente, corporaties) en deels in private handen. Het is niet mogelijk om specifiek aan te geven welk deel van de grond voor de te bouwen woningen in eigendom is van de gemeente. Door Wet voorkeursrecht Gemeenten (WvG) te vestigen probeert de gemeente de gronden in eigen bezit uit te breiden. Een goed voorbeeld hiervoor is de gebiedsontwikkeling Fellenoord waar sprake is van voornamelijk privaat bezit maar de gemeente met actief grondbeleid haar bezit probeert te vergroten. De gemeente stuurt actief op het realiseren van woningbouw met zowel private als publieke partijen.
Welk deel van de woningen zullen sociale huur zijn? Welk deel betaalbare huur?
Er zijn geen specifieke afspraken gemaakt in het convenant over het aandeel sociale huur of betaalbare huur van de woningen. Alle woningen worden echter onderdeel van de gemaakte afspraken in de woondeal. Doel van de Woondeal is om toe te werken naar meer balans in de woningvoorraad, met een streven naar 30% sociale huurwoningen in de bestaande voorraad op provinciaal niveau, regionaal niveau en lokaal niveau. Daarbij kunnen provincies rekening houden met specifieke situaties in regio’s waarbij het toegroeien naar 30% evident niet logisch of haalbaar is.
Hoe verhoudt het woonfonds van private partijen in de regio waaronder ASML zich tot de investering?
Zoals aangegeven werken rijk en regio, waaronder publieke en private partijen, gezamenlijk uit hoe de beschikbare middelen optimaal kunnen worden ingezet teneinde deze opgave te realiseren. Het beoogde woonfonds van private partijen in de regio waaronder ASML is een voorbeeld welke meegenomen wordt in de nadere uitwerking. Het doel van de nadere uitwerking is om de beschikbare middelen zo optimaal mogelijk in te zetten om een maximaal resultaat te realiseren.
Wat zal het effect zijn van de groei van het eco-systeem op de woningtekorten in andere regio’s, zoals Twente, waar veel toeleveranciers gevestigd zijn die mee moeten groeien?
De verwachting is dat een gebied zoals Twente door deze investeringen ook een economische impuls krijgt, omdat dit naar verwachting ook een effect heeft op de toeleverende keten. Het is echter lastig dit concreet en kwantitatief te maken, omdat de vraag naar woningen uit veel meer factoren bestaat dan enkel economische groei (denk aan leefbaarheid en culturele en/of familiare banden in de regio). Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties worden op dit moment gesprekken gevoerd met de regio Twente om samen te gaan werken aan een verstedelijkingsstrategie. Daarin wordt ook het effect van de (groeiende) economie meegenomen om de verstedelijkingsbehoefte te bepalen. Op het BO Leefomgeving wordt naar verwachting een afspraak gemaakt om een gezamenlijke verstedelijkingsstrategie te maken.
Zijn er afspraken gemaakt over een energie hub op het terrein van ASML? Is de Minister het Minister het met NSC eens dat dit een goede investering zou zijn die ASML zelf kan bijdragen?
In mijn brief van 21 november 20232 heb ik u er over geïnformeerd dat Brainport Development als gebiedsregisseur optreedt, om vanuit een multistakeholder-aanpak te kunnen samenwerken aan concrete casussen van bedrijven in de Brainportregio. Hierin worden netbeheerders, gemeenten en provincie maximaal gevraagd mee te denken in mogelijkheden, op het gebied van bijvoorbeeld contracten en vergunningen. Onderdeel van deze aanpak is ook de verbinding met het Nationaal Stimuleringsprogramma Energiehubs. Ik zie energiehubs als een schakel in een sterker energiesysteem. Hierdoor kunnen bedrijven lokaal samenwerken aan de gezamenlijke energiebehoefte, het verbruik onderling verdelen, opslaan of convergeren. ASML kan ook gebruik maken van deze aanpak.
Deelt u de mening dat elektriciteitsaansluitingen van (nieuw te bouwen) huizen en publieke voorzieningen in de regio niet in gevaar moeten komen door prioriteitstelling via de MIEK? kunt u garanderen dat in dergelijke afspraken deze doelen voorrang hebben boven groei van het bedrijfsleven?
Het Meerjarenprogramma Infrastructuur Energie & Klimaat (MIEK) is gericht op tijdige realisatie van energie-infrastructuurprojecten die van groot maatschappelijk belang zijn voor de gebouwde omgeving, mobiliteit, landbouw en industrie én voor de opwek van duurzame energie. MIEK-projecten zijn hiermee gericht op brede ontwikkelingen in een bepaald gebied (waaronder mogelijk woningbouw) en zijn niet gericht op specifieke klantaansluitingen. MIEK-projecten kunnen het hiermee juist ook mogelijk maken dat huizen en publieke voorzieningen tijdig kunnen worden aangesloten, voor zover deze ontwikkelingen zijn opgenomen in een MIEK-project.
Naast bovenstaande prioritering van de uitbreidingsinvesteringen is er ook het prioriteringskader voor individuele aansluitingen. Dit kader is opgesteld door de toezichthouder Autoriteit Consument en Markt (ACM) en is op 18 april jl. gepubliceerd. Het is de exclusieve bevoegdheid van de toezichthouder om regels op te stellen voor het aansluiten van individuele partijen. Het kader van de ACM heeft als doel voorrang te geven aan individuele aansluitingen van hoog maatschappelijk belang. Het kader geeft voorrang aan congestieverzachters en aan veiligheidsfuncties en basisbehoeften zoals politie, ziekenhuizen en scholen. Het bedrijfsleven is geen specifieke categorie. Door voorrang te krijgen in de wachtrij kunnen deze partijen als eerste worden aangesloten zodra er ruimte op het net vrij komt door congestiemanagement of uitbreiding van het net. Hiermee wordt een uitzondering mogelijk gemaakt op het principe van «wie-het-eerst-komt-wie-het-eerst-maalt».
Kunt u meer kwantitatieve duidelijkheid geven over de afspraken die zijn gemaakt over de middelen uit het klimaatfonds?
Op 16 april jl. is de Voorjaarsnota 2024 aan de Kamer aangeboden, waarin ook de Klimaatbesluitvorming voor 2025 en verder zijn beslag heeft gekregen.3 Voor maatregelen ter verbetering van de benutting van elektriciteitsnetten, waaronder de financiering van de opstartfase van energyhubs, is tijdens de Voorjaarsbesluitvorming Klimaat 2023 binnen het perceel Energie-infrastructuur 166 miljoen euro vrijgemaakt voor de periode 2024–2030.4 Over de implementatie van de maatregel en de beschikbaarstelling van de middelen aan partijen worden momenteel nog afspraken gemaakt.
Kunt u deze vragen beantwoorden minimaal een week voor het door lid Sneller aangevraagde plenaire debat over het vestigingsklimaat van Nederland?
Er is nog geen datum bekend voor het aangevraagde plenaire debat over het vestigingsklimaat van Nederland.
Het bericht 'IT-bedrijf Atos dieper in schulden, overheidsklanten nemen maatregelen' |
|
Gijs Tuinman (BBB) |
|
Christophe van der Maat (staatssecretaris defensie) (VVD) |
|
![]() |
Bent u ervan op de hoogte dat Atos al jarenlang financiële problemen ervaart? Heeft u deze berichten meegenomen in de risicoanalyses in de derde voortgangsrapportage Grensverleggende IT (GrIT)?1
Defensie monitort de ontwikkelingen bij Atos nauwlettend, dit gebeurt onder de coördinatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Samen met de hoofdaannemer van het consortium Athena, Kyndryl, worden maatregelen voorbereid voor het geval Atos wegvalt. In de derde voortgangsrapportage bent u aan de hand van de op dat moment actuele informatie geïnformeerd over de situatie rondom Atos. In de vertrouwelijke bijlage van de vierde voortgangsrapportage (Kamerstuk 35 728, nr. 14) heb ik u op basis van de op dat moment beschikbare informatie geïnformeerd over de situatie rondom Atos.
De, nu openbaar bekende, grote financiële problemen (waar ook naar is gevraagd tijdens de technische briefing GrIT op 7 maart jl.) betekent voor Atos dat ze moeten overleggen met banken over hoe om te gaan met een miljardenschuld; kunt u aangeven in hoeverre dit invloed heeft op het project GrIT?
Atos is een onderaannemer van het consortium. Kyndryl is de hoofdaannemer en daarmee verantwoordelijk voor de continuïteit van de dienstverlening van het consortium. Defensie bereidt samen met Kyndryl maatregelen voor om adequaat te kunnen reageren op de ontwikkelingen bij Atos. Deze voorbereidingen zijn in een vergevorderd stadium. Doordat deze voorbereidingen tijdig worden getroffen is het op dit moment niet nodig om de doelen van het programma GrIT te wijzigen.
Vanwege de commerciële vertrouwelijkheid kan ik op dit moment niet verder ingaan op de situatie rondom Atos of de maatregelen die worden voorbereid.
Kunt u de mogelijke risico's meenemen in de vierde voortgangsrapportage GrIT?
De situatie rondom Atos en de risico’s voor het programma zijn behandeld in de vierde voortgangsrapportage dan wel de vertrouwelijke bijlage. De situatie rondom Atos wordt nauwgezet gevolgd door Defensie zodat er tijdig kan worden ingespeeld op relevante ontwikkelingen. In de komende voortgangsrapportages zal aandacht blijven voor de samenwerking met het consortium in het algemeen en de situatie rondom Atos in het bijzonder.
In hoeverre beïnvloeden de financiële problemen bij Atos de kerndoelen van het GrIT-project en zijn er risico's groter geworden waardoor doelverschuiving noodzakelijk is?
Zie antwoord vraag 2.
Wat zijn de mogelijke richtingen waarin het project GrIT zou moeten gaan om in deze gewijzigde situatie succesvol afgerond te kunnen worden?
Met de herijking van het programma worden maatregelen genomen zodat er snel resultaten behaald kunnen worden (Kamerstuk 35 728, nr. 13). Daarnaast bereidt Defensie, samen met de hoofdaannemer Kyndryl, maatregelen voor om adequaat te reageren op de situatie rondom Atos.
Kunt u de vragen beantwoorden voorafgaand aan het publiceren van de vierde voortgangsrapportage GrIT?
In het kader van de zorgvuldige beantwoording van de gestelde vragen heb ik deze niet beantwoord voor het publiceren van de vierde voortgangsrapportage GrIT op 2 april.
De Chinese cyberaanvallen op Nederlandse Kamerleden |
|
Joost Sneller (D66), Femke Zeedijk-Raeven (D66) |
|
Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA) |
|
![]() |
Bent u bekend met het bericht «Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians»?1
Ja.
Wat is uw reactie op de aantijgingen van de Verenigde Staten (VS) en het Verenigd Koninkrijk (VK) tegen deze zeven hackers, die volgens hen in opdracht van de Chinese Staat cyberaanvallen uitvoerden tegen journalisten, politici, activisten en bedrijven?
De verklaringen van de VS en het VK passen in het algemene beeld van de cyberdreiging die uitgaat van China, dat al langer wordt geschetst door de AIVD, de MIVD en de NCTV.2 Na publicatie van de Britse verklaring op 28 februari jl. heeft Nederland, zowel nationaal als via de Europese Unie (EU), solidariteit uitgesproken met het VK. De verklaringen van de VS en het VK onderstrepen de noodzaak om de groeiende cyberdreiging, samen met de EU, VS, VK en andere partners, strategischer en proactiever tegen te gaan, zoals ook beschreven in de Internationale Cyberstrategie 2023–2028.3
Deelt u de grote zorgen over de gevolgen van mogelijke Chinese cyberaanvallen?
Wij delen de zorgen over de gevolgen van Chinese cyberaanvallen. Die zorgen zijn overgebracht door de Minister-President en de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking aan de Chinese autoriteiten tijdens hun gezamenlijke bezoek aan Beijing op 26 en 27 maart jl. Daarbij is specifiek verwezen naar de recente attributie door het kabinet van een Chinese cyberaanval op het Ministerie van Defensie.
Is de hackgroep Advanced Persistent Threat Group 31 (APT31) bekend bij de Nederlandse inlichtingen-en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de dreiging daarvan voor Nederland?
Er wordt in het openbaar niet ingegaan op de werkwijze en het kennisniveau van de inlichtingen- en veiligheidsdiensten.
Zoals vermeld in het Cyber Security Beeld Nederland 2022, heeft de Chinese digitale spionage actor APT31 op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor.4 De interesse vanuit statelijke actoren in deze doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectiemogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek te verrichten.
Kunt u bevestigen dat deze groep wordt aangestuurd door het Chinese Ministerie van Staatsveiligheid?
Zie antwoord vraag 4.
Kunt u bevestigen dat deze groep gerichte aanvallen uitvoert op journalisten, politici (o.a. van de Inter-Parliamentary Alliance on China), activisten en bedrijven? Zo ja, hoe lang gebeurt dat al?
Zie antwoord vraag 4.
Klopt het voor zover bij u bekend dat APT31 zich ook richtte op Nederlandse Kamerleden? Zo ja, sinds wanneer en welke zijn dit?
Zie antwoord vraag 4.
In hoeverre kan er via deze hackaanvallen staatsgeheime informatie zijn verkregen? Kunt u daarbij specifiek ingaan op informatie die eventueel van/via Nederlandse politici is verkregen?
Zie antwoord vraag 4.
Bent u tevens bekend met het bericht «New Zealand accuses China of hacking parliament, condemns activity»?2
Ja.
Is de hackgroep ATP40 bekend bij de Nederlandse inlichtingen- en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de gevolgen daarvan?
Zie beantwoording vraag 4 t/m 8.
Het niet op tijd invoeren van de Uitvoeringswet digitaledienstenverordening (DSA) |
|
Barbara Kathmann (PvdA), Marieke Koekkoek (D66) |
|
Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Micky Adriaansens (minister economische zaken) (VVD) |
|
![]() ![]() |
Vindt u het acceptabel dat Nederland achterloopt met het implementeren van de Uitvoeringswet digitaledienstenverordening, gezien de noodzaak voor het reguleren van verslavende en polariserende online diensten?
Uiteraard is het spijtig dat het wetsvoorstel voor de Uitvoeringswet digitaledienstenverordening op 17 februari jl. nog niet tot wet verheven en in werking getreden was. Er wordt al sinds de totstandkoming van de digitaledienstenverordening (in het Engels: de Digital Services Act, hierna «DSA») aan het ontwerpwetsvoorstel voor de uitvoeringswet gewerkt. De DSA heeft een complex karakter en een breed toepassingsbereik en heeft gevolgen voor bestaande wetgeving, onder meer het Burgerlijk Wetboek, het Wetboek van Strafvordering en de Algemene wet bestuursrecht. Het zorgvuldig opstellen van het wetsvoorstel en bijbehorende memorie van toelichting in afstemming met alle betrokken partijen en het doorlopen van alle stappen van het wetgevingsproces, waaronder verplichte raadplegingen en toetsen1, hebben ervoor gezorgd dat het niet mogelijk was om de uitvoeringswetgeving binnen de termijn die de DSA voorschrijft (15 maanden) tot stand te doen komen.
In dit verband zij opgemerkt dat een uitvoeringstermijn van 15 maanden erg kort is als de uitvoering op het niveau van een formele wet dient plaats te vinden, zoals bij de DSA het geval is. Niet voor niets heeft de Nederlandse regering tijdens de onderhandelingen gepleit voor een langere uitvoeringstermijn van ten minste 18, maar liever 24 maanden. Ook in 10 andere lidstaten is tijdige uitvoering niet gelukt (zie verder antwoord op vraag 12).
Dat neemt niet weg dat we uiteraard de urgentie voelen om de bevoegde autoriteiten in Nederland aan te wijzen en van de benodigde bevoegdheden te voorzien. Om die reden heeft de Minister van Economische Zaken en Klimaat op 11 februari jl., vooruitlopend op de verdere totstandkoming en inwerkingtreding van de Uitvoeringswet digitaledienstenverordening een ministerieel aanwijzingsbesluit genomen waarin de Autoriteit Consument & Markt («ACM») voorlopig wordt aangewezen als bevoegde autoriteit en digitaledienstencoördinator.2 Dit besluit stelt de ACM in staat om een aantal handelingen ter uitvoering van de DSA alvast te verrichten. Inmiddels is het advies van de Afdeling advisering van de Raad van State van 7 februari jl. verwerkt. Het ontwerpvoorstel voor de uitvoeringswet is gereed en wordt op korte termijn voorgelegd aan de ministerraad. Naar verwachting wordt het wetsvoorstel daardoor binnenkort bij uw Kamer ingediend.
We hechten er verder aan te benadrukken dat het niet zo is dat online (tussenhandel)diensten op dit moment niet gereguleerd zijn. De DSA is sinds 17 februari jl. volledig van toepassing. Tussenhandeldiensten moeten dus aan de daarin neergelegde regels voldoen en gebruikers kunnen hun rechten onder de DSA inroepen. Bovendien moeten aangewezen «zeer grote online platforms» en «zeer grote online zoekmachines» al sinds 25 augustus 2023 volledig aan de regels uit de DSA voldoen. Laatstgenoemde diensten vallen primair onder het toezicht van de Europese Commissie, die deze taak serieus neemt en voortvarend oppakt.3
Ziet u met oog op de aankomende Europese verkiezingen de noodzaak voor het snel implementeren van de Uitvoeringswet om desinformatie zo goed mogelijk te kunnen bestrijden en de toegang tot betrouwbare informatie juist te versterken?
We zien sowieso de noodzaak om zo snel mogelijk goed en volledig uitvoering te geven aan de DSA. Het streven en de verwachting is dat het voorstel voor de uitvoeringswet op korte termijn kan worden aangeboden aan uw Kamer.
Voor wat betreft de bestrijding van desinformatie in relatie tot het Europese verkiezingsproces wordt opgemerkt dat de aanpak hiervan valt onder de DSA-regels gericht op het identificeren en beperken van systeemrisico’s door zogenaamde «zeer grote online platforms» en «zeer grote online zoekmachines», waarvan er thans 22 zijn aangewezen.4 Desinformatie kan zo’n systeemrisico vormen. Deze verplichtingen gelden uitsluitend voor de aangewezen zeer grote online platforms- en zoekmachines. Op grond van artikel 56, tweede lid, van de DSA houdt de Europese Commissie exclusief toezicht op de naleving van deze regels. Dat doet zij al sinds 25 augustus 2023. De lidstaten – en dus de op nationaal niveau aangewezen/aan te wijzen bevoegde autoriteiten – hebben geen bevoegdheid tot toezicht en handhaving ten aanzien van deze verplichtingen. Dat de nationale uitvoeringswet nog niet in werking is getreden heeft daarop geen invloed.
Waar het gaat om maatregelen voor het tegengaan van desinformatie en de toegang tot betrouwbare informatie zullen bij de Europese verkiezingen dezelfde maatregelen worden genomen als bij de Tweede Kamerverkiezingen van afgelopen november. Zie hierover de brief van de Minister van BZK over de weerbaarheid van het verkiezingsproces5.
Heeft u zonder deze Uitvoeringswet voldoende gereedschap om online platforms te dwingen tot actie als er willens en wetens desinformatie en nepnieuws wordt gedeeld op hun kanalen? Welke bevoegdheden vanuit de digitaledienstenverordening zouden u hierbij helpen?
Zoals toegelicht in het antwoord op vraag 2, valt de aanpak van desinformatie (zoals nepnieuws) onder het bereik van de regels gericht op het voorkomen van systeemrisico’s door zeer grote online platforms en zeer grote online zoekmachines (artikelen 34 en 35 van de DSA). De Europese Commissie is exclusief bevoegd voor het toezicht op en de handhaving van de verplichtingen die uitsluitend gelden ten aanzien van aanbieders van zeer grote online platforms en zeer grote online zoekmachines, waaronder de verplichtingen ten aanzien van systeemrisico’s.
De eerste 19 aangewezen zeer grote online platforms – zoals Facebook, Instagram, TikTok, X en YouTube – moeten sinds 25 augustus 2023 al aan de DSA voldoen. Sindsdien kan het strijd met de verordening opleveren als zij niet-optreden tegen desinformatie die een systeemrisico vormt. De Commissie kan daarop handhaven. Daar is de Nederlandse uitvoeringswet niet voor nodig.
Bent u het met de indieners eens dat het een zwaktebod is dat het Nederland niet is gelukt om de digitaledienstenverordening op tijd als nationale wet in te voeren, ondanks de regelmaat waarmee het kabinet verwijst naar deze verordening als voorbeeld van effectieve en noodzakelijke regulering van online diensten?
Het is spijtig dat de uitvoeringswet op 17 februari jl. nog niet tot wet verheven en in werking getreden was en de toezichthouders nog niet bevoegd zijn om toezicht te houden en te handhaven. Zoals toegelicht in het antwoord op vraag 1, was de uitvoeringstermijn echter te kort voor een zorgvuldig wetgevingsproces.
Dat de uitvoeringswet er nog niet is, betekent overigens niet dat online tussenhandeldiensten nu niet gereguleerd zijn. Vanaf 17 februari jl. moeten online diensten die onder de DSA vallen volledig aan de verplichtingen uit de verordening voldoen. De ACM en de Autoriteit persoonsgegevens (AP) kunnen, zodra de Uitvoeringswet er is, zo nodig met terugwerkende kracht optreden tegen aanbieders van tussenhandeldiensten die in Nederland gevestigd zijn of hier hun wettelijke vertegenwoordiger hebben aangewezen.
Ook wordt er opgemerkt dat een goede uitvoering van een verordening zoals de DSA meer behelst dan enkel het tot stand brengen van de uitvoeringswet. Zo wordt er sinds de adoptie van de DSA met onder meer de ACM en AP als beoogd toezichthouders samengewerkt, bijvoorbeeld om informatie over de DSA onder de aandacht te brengen van de bedrijven die er straks aan moeten voldoen en van de gebruikers en belanghebbenden die door de DSA nieuwe rechten krijgen. De ACM is bijvoorbeeld in contact gebracht met partijen die geïnteresseerd zijn in het verwerven van de status van «trusted flagger» of «erkend onderzoeker». Verder heeft de Minister van Economische Zaken en Klimaat in 2023 reeds middelen voor beide toezichthouders beschikbaar gesteld zodat zij zich kunnen voorbereiden op het moment dat de DSA volledig van toepassing wordt en zij toezicht kunnen gaan houden. Ook voor 2024 en verder zijn er inmiddels (structurele) middelen beschikbaar gesteld aan de toezichthouders. Verder heeft de Minister van Economische Zaken en Klimaat, vooruitlopend op de uitvoeringswet, het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening genomen (zie het antwoord op vraag 1).
Deelt u de mening dat het herhaaldelijk missen van deadlines voor de invoering van digitale wetgeving de rol van Nederland als koploper binnen Europa verzwakt?
Uiteraard streeft het kabinet ernaar om uitvoeringstermijnen te halen. In de praktijk blijken de termijnen die hiervoor worden gegeven in Europese regelgeving echter vaak te krap om nationaal de vereiste formele wet tot stand te brengen.
De uitvoering van wetgeving behelst, zoals in het antwoord op vraag 4 toegelicht, meer dan enkel het zorgvuldig tot stand brengen van uitvoeringswetgeving. Daar is veel op bereikt. Daarom denken we dat de beperkte vertraging die Nederland in dit geval oploopt geen substantieel negatief effect heeft op het vertrouwen in Nederland als onderdeel van de kopgroep in digitalisering.
Kunt u toelichten wat de gevolgen zijn van het niet tijdig invoeren van de wet? Kunt u ook uitleggen waarom het niet is gelukt om de Uitvoeringswet vóór de formele inwerkstelling op 17 februari 2024 nationaal in te voeren?
Dat de Uitvoeringswet nog niet tot wet verheven is, betekent dat de ACM en de AP als beoogd toezichthouders op dit moment nog geen toezichtsbevoegdheden kunnen inzetten of handhavend kunnen optreden tegen overtredingen van de DSA door diensten die onder hun bevoegdheid vallen. De redenen voor het niet tijdig invoeren van de wet zijn beschreven in de antwoorden op vragen 1, 4, en 5. Zoals toegelicht bij het antwoord op vraag 9, kan de ACM op basis van het aanwijzingsbesluit bepaalde onderdelen van de verordening wel al uitvoeren.
Wanneer verwacht u dat de invoeringswet wél is geïmplementeerd? Welke deadlines volgen er nog voor het invoeren van de digitaledienstenverordening en wat zijn de gevolgen als we deze missen?
Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat advies is inmiddels verwerkt en het wetsvoorstel zal na akkoord van de ministerraad bij uw Kamer worden ingediend. Naar verwachting wordt het wetsvoorstel medio/eind maart 2024 aan uw Kamer aangeboden. De uiteindelijke datum van inwerkingtreding is afhankelijk van de behandeling door uw Kamer en de Eerste Kamer.
Er volgen verder geen deadlines meer. De DSA is sinds 17 februari jl. volledig van toepassing.
Bent u gezien het verstrijken van de deadline in staat om het zeer recente advies van de Raad van State (14 februari 2024) op fatsoenlijke manier te verwerken en tevens genoeg tijd aan de Kamer te laten om de wet goed te controleren en zo nodig te amenderen?1
Ja. Het advies van de Raad van State is inmiddels verwerkt en het wetsvoorstel wordt op korte termijn bij uw Kamer ingediend. Het is daarna vanzelfsprekend aan uw Kamer, in haar rol als medewetgever, om te bepalen op welke wijze zij het wetsvoorstel wenst te behandelen. In dit verband hechten we er aan om op te merken dat het wetsvoorstel zich beperkt tot datgene wat noodzakelijk is voor de uitvoering van de DSA in Nederland. Daarbij gaat het om de aanwijzing van bevoegde autoriteiten en de digitaledienstencoördinator, het stellen van regels met betrekking tot hun bevoegdheden en samenwerking en de benodigde wijzigingen van andere wetten. Het wetsvoorstel zelf bevat geen nadere regels waar aanbieders van tussenhandeldiensten zich aan moeten houden. Dat zou ook niet mogelijk zijn omdat de DSA een verordening is, die rechtstreeks werkt en voorziet in maximumharmonisatie.
Welke bevoegdheid heeft de Autoriteit Consument en Markt (ACM) precies om toezicht te houden op de digitaledienstenverordening, nu hun taak niet wettelijk is vastgelegd en zij slechts «beoogd toezichthouder» is?
Bij het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening is de ACM, vooruitlopend op de verdere totstandkoming van voornoemde uitvoeringswet, aangewezen als bevoegde autoriteit en als digitaledienstencoördinator. De aanwijzing stelt de ACM in staat bepaalde onderdelen van de verordening die het karakter hebben van uitvoeringshandelingen alvast uit te voeren. Een voorbeeld is het ontvangen van contactgegevens van in Nederland gevestigde wettelijke vertegenwoordigers van buiten de Unie gevestigde aanbieders van tussenhandeldiensten (artikel 13, vierde lid, DSA). De ACM zal door de aanwijzing tevens fungeren als aanspreekpunt voor de digitaledienstencoördinatoren van andere lidstaten en de Europese Commissie in het kader van de wederzijdse bijstand (artikel 57 DSA) en in die hoedanigheid informatie kunnen uitwisselen die nodig is voor een goede uitvoering van de verordening. Daarnaast zal de ACM deel uitmaken van de digitaledienstenraad – de onafhankelijke adviesgroep van digitaledienstencoördinatoren – en kunnen deelnemen aan de besluitvorming daarin.
De ACM kan op basis van het besluit nog geen uitvoeringstaken uitvoeren die de uitoefening van openbaar gezag behelzen. Dit betekent dat de ACM nog geen toezichtsbevoegdheden kan inzetten of handhavend op kan treden. Ook is zij nog niet bevoegd om besluiten met rechtsgevolgen te nemen, zoals het certificeren van buitengerechtelijke geschilbeslechtingsorganen of het toekennen van de status van «betrouwbare flagger» of «erkende onderzoeker». Die taken kan de ACM pas uitvoeren op het moment dat de uitvoeringswet in werking is getreden.
Zoals toegelicht in het antwoord op vraag 4, beschikt de ACM wel al over financiële middelen waarmee zij al volop voorbereidingen treft om bovenstaande taken wel uit te kunnen voeren als de uitvoeringswet eenmaal tot wet verheven is. Zo heeft de ACM onder meer een meldingenloket ingericht en een leidraad opgesteld over de DSA.7
De reden dat tot dusver steeds is gesproken over «beoogd» toezichthouders, heeft te maken met het feit dat het ontwerpwetsvoorstel nog niet is aangenomen door de Tweede en Eerste Kamer. Pas als dat het geval is, is hun aanwijzing definitief.
Is de ACM in staat om te handelen volgens haar conceptleidraad zonder implementatie van de Uitvoeringswet?2 Zijn de verplichtingen in deze leidraad afdwingbaar als online platforms deze niet naleven?
De verplichtingen vloeien rechtstreeks voort uit de verordening en tussenhandeldiensten moeten daar sinds 17 februari jl. volledig aan voldoen. Gebruikers kunnen de rechten die zij op grond van de DSA hebben jegens online diensten inroepen. De DSA is dus wel degelijk afdwingbaar. Zoals toegelicht in het antwoord op vraag 9, kan de ACM op dit moment echter nog niet handhavend optreden. De leidraad gaat in op de zorgvuldigheidsverplichtingen voor tussenhandeldiensten die zijn neergelegd in de DSA en hoe de ACM die interpreteert. Zij vormt een hulpbron voor tussenhandeldiensten die uitvoering moeten geven aan de verplichtingen uit de DSA.
Hoe vaak heeft u contact met de ACM om vast te leggen wat precies haar bevoegdheden zijn? Is de Uitvoeringswet hiervoor noodzakelijk?
De ACM is intensief betrokken bij de totstandkoming van het ontwerpwetsvoorstel. Ook heeft zij een Uitvoerbaarheids- en handhaafbaarheidstoets verricht op het ontwerpwetsvoorstel.
De uitvoeringswet is noodzakelijk om de ACM als beoogd toezichthouder te voorzien van de bevoegdheden die zij op grond van (artikel 50 van) de DSA moet hebben.
Zijn er andere landen die de wet niet tijdig hebben ingevoerd? Welke landen zijn dit?
Ja. De Europese Commissie houdt een website bij met daarop een overzicht van de aangewezen digitaledienstencoördinatoren.9 Uit dit overzicht blijkt dat België, Estland, Frankrijk, Duitsland, Griekenland, Letland, Litouwen, Malta, Polen, Slowakije, überhaupt nog geen digitaledienstencoördinator hebben aangewezen. Een aantal landen heeft, net als Nederland, (voorlopig) een digitaledienstencoördinator aangewezen, vooruitlopend op uitvoeringswetgeving die nog niet is aangenomen. Voor hoeveel landen dit geldt is niet bekend.
Kunt u een overzicht geven van de wetten die betrekking hebben op digitale zaken, die momenteel niet zijn ingevoerd ondanks de verstreken deadline? Wat zijn de financiële gevolgen geweest voor het missen van de deadlines?
Verordening
Deadline1
Stand van zaken
Gevolgen2
Platform to Business Verordening (P2B) – 2019/1150/EU
Geen, verordening is sinds juli 2020 van toepassing.
Wetsvoorstel om ACM als toezichthouder aan te wijzen is in december 2022 aangeboden aan uw Kamer.3
De verordening verplicht lidstaten om te voorzien in een adequate en doeltreffende handhaving van de verordening, maar schrijft niet voor hoe dat vormgegeven moet worden. Sinds de inwerkingtreding vindt in Nederland privaatrechtelijke handhaving van de P2B door de rechter plaats. Nadien is ervoor gekozen om ook de ACM te belasten met de handhaving van de P2B-verordening. Hiertoe is een wetsvoorstel bij uw Kamer ingediend. De ACM heeft zich al voorbereid op haar toekomstige taak, onder andere door het opstellen van een leidraad waarmee zij de regels uit de verordening verder verduidelijkt. Zolang het wetsvoorstel niet is aangenomen en in werking treedt, kan de ACM niet handhavend optreden. De Europese Commissie is van oordeel dat Nederland had moeten voorzien in specifieke nationale uitvoeringsbepalingen ter handhaving van de verordening en heeft Nederland daarom in gebreke gesteld. Het wetsvoorstel neemt de bezwaren van de Commissie weg.
Data Governance Verordening (DGA) – 2022/868/EU
24 september 2023
Het voorstel uitvoeringswet DGA is in oktober 2023 aangeboden aan uw Kamer.4 De nota n.a.v. het verslag wordt op korte termijn aan uw Kamer verstuurd.
Als onderdeel van de DGA geldt een registratieverplichting voor databemiddelingsdiensten, data-altruïstische organisaties kunnen zich vrijwillig registreren. Daarnaast kunnen zij een EU-label aanvragen om het vertrouwen in hun dienst te vergroten. Zo wordt voor iedereen zichtbaar welke partijen betrouwbaar met data omgaan. Een registratie of een EU-label aanvraag is pas mogelijk vanaf het moment dat de ACM met de inwerkingtreding van de uitvoeringswet formeel wordt aangewezen als toezichthouder. Aanbieders kunnen vanaf nu wel al een pre-notificatie van registratie en EU-label indienen bij de ACM. Dit zorgt ervoor dat het registratieproces efficiënt doorlopen kan worden zodra de ACM formeel is aangewezen als toezichthouder. Ook is er nog geen bevoegd orgaan aangewezen om overheidsorganisaties bij te staan in het kader van het tweede hoofdstuk van de verordening. Daarnaast kan de ACM nog niet formeel als toezichthouder deelnemen aan het Europees Comité voor Gegevensinnovatie.
Digitale Markten Verordening (DMA) – 2022/1925/EU
Geen.
Het voorstel uitvoeringswet DMA is in januari 2024 aan uw Kamer aangeboden.5
De Commissie is als enige bevoegd tot handhaving van de DMA. Voor lidstaten is er geen verplichting om nationale toezichthouders aanvullende onderzoeksbevoegdheden te geven, maar de verordening biedt wel die mogelijkheid. In het wetsvoorstel wordt voorgesteld om de ACM deze aanvullende onderzoeksbevoegdheden te geven.
Digitale Diensten Verordening (DSA) – 2022/2065/EU
17 februari 2024
Het voorstel uitvoeringswet wordt binnen enkele weken aangeboden aan uw Kamer.
Zie het antwoord op vraag 6.
Die de verordening stelt voor de uitvoeringswetgeving.
Er zijn vooralsnog geen financiele gevolgen voorzien.
Kamerstuk 36285.
Kamerstuk 36451.
Kamerstuk 36495.
Hoe gaat u ervoor zorgen dat digitale wetgeving voortaan tijdig en degelijk wordt ingevoerd, zodat de Kamer deze ook grondig kan behandelen en tijd heeft om deze nog te amenderen?
Vanzelfsprekend streeft het kabinet altijd naar tijdige implementatie of uitvoering van Europese (digitale) wetgeving. Dat lukt echter alleen met een realistische implementatie- of uitvoeringstermijn die ruimte laat voor de vereiste nationale afstemming en wetgevingsprocedures van alle lidstaten. Daar maakt het kabinet zich hard voor tijdens het Europese wetgevingsproces en dat zal zij ook in de toekomst blijven doen. Die pogingen zijn soms succesvol en soms niet.
Dat één of meerdere implementatie/uitvoeringswetten op of na de betreffende termijn bij de Kamer worden ingediend, doet overigens niet af aan de rol en bevoegdheden van de Kamer als medewetgever.
Bent u het met de indieners eens dat het niet op tijd voorleggen van wetgeving de controlerende en medewetgevende taak van de Kamer verslechtert?
Het aan de Kamer voorleggen van wetsvoorstellen na het verstrijken van de uitvoerings- of implementatietermijn neemt naar de mening van het kabinet niet weg dat de Kamer haar controlerende en medewetgevende taak voldoende kan verrichten. Ten overvloede zij opgemerkt dat de Kamer ook tijdens de onderhandelingen over de DSA is geïnformeerd.
Deelt u de mening dat regulering van het digitale domein noodzakelijk is en we hier in het verleden te veel steken hebben laten vallen?
Regulering van het digitale domein is inderdaad wenselijk en het kabinet heeft zich daarom ook proactief opgesteld bij de totstandkoming van diverse wetgeving in het digitale domein op Europees niveau.
Kunt u deze vragen zo spoedig mogelijk en apart van elkaar beantwoorden?
Ja.
De verhuizing van het .nl domein |
|
Joost Sneller (D66), Barbara Kathmann (PvdA), Jesse Six Dijkstra (NSC) |
|
Micky Adriaansens (minister economische zaken) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
|
![]() ![]() ![]() |
Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1
Ja, ik heb hier kennis van genomen.
Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?
Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.
Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?
Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.
Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?
Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.
Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?
SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.
Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?
Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.
Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?
Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.
Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?
Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.
Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?
Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.
Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?
SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.
Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?
Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.
Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?
In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.
Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?
Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).
Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?
Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.
Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?
Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?
Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.
Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?
Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.
Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?
SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.
Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?
SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.
Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?
De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.
Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?
Ja.
Wilt u deze vragen apart van elkaar beantwoorden?
Ja.
Het bericht ‘Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid’ en het bericht ‘Telegramdealers: 'De straten hebben rust, zoals jullie wilden' |
|
Harmen Krul (CDA) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid»?1 2
Ja, daar ben ik bekend mee.
Wat vindt u ervan dat drugscriminelen in openbare Telegram-groepen ongestoord kunnen handelen in drugs, zowel softdrugs als harddrugs en designerdrugs?
Het is schokkend om te zien hoeveel van dit soort berichten rondgaan op Telegram. Het is in de eerste plaats de verantwoordelijkheid van Telegram om dit te modereren. Dit soort zelfreinigend vermogen wordt ook door andere sociale media platforms toegepast. Daar zet ik ook op in bij Telegram. We zijn daar helaas nog niet in geslaagd, omdat het moeilijk is om met Telegram in contact te komen en afspraken te maken.
De politie mag en kan, gelet op het grote aantal berichten en de schaarste in de capaciteit, niet het hele internet monitoren op berichten waarin drugs wordt aangeboden. Wel gaat de politie daar waar mogelijk over tot handhaving. De opsporing richt zich op het opsporen van de grote drugsaanbieders.
Momenteel worden samen met betrokken partijen, zoals het Openbaar Ministerie (OM) en politie, verkennende gesprekken gevoerd met als doel het opstellen van een plan van aanpak voor handhaving op de online verkoop van verboden middelen. De handhaving van de online verkoop van drugs kent uitdagingen die niet zijn voorbehouden aan de verkoop van drugs, maar breder gelden voor de online verkoop van verboden middelen. De aanpak hiervan is complex en de totstandkoming van een goed en gedragen plan hierop vergt tijd. Ik zal uw Kamer in een volgende voortgangsbrief nader informeren over de concrete voorstellen om beter te kunnen handhaven op de verkoop van drugs via online kanalen.
Herkent u het beeld dat Telegram vooral wordt gebruikt als advertentieplatform en dat dealers na het opbouwen van een vertrouwensband overstappen op andere communicatiemiddelen? Welke andere apps kent u met vergelijkbare praktijken?
Telegram voorziet behalve in groepen en kanalen ook in de mogelijkheid om één-op-één te communiceren over bijvoorbeeld betaling en aflevering. Bij frequenter contact kan inderdaad een vertrouwensband ontstaan waarna andere communicatiewijzen kunnen worden gedeeld, zoals alternatieve berichtendiensten die voorzien in interpersoonlijke privécommunicatie.
Bent u het met de stelling eens dat drugsdealers die op Telegram hun criminele praktijken uitvoeren, zoveel mogelijk opgespoord en bestraft moeten worden met medewerking van Telegram? Zo nee, waarom niet?
De criminaliteit die via Telegram plaatsvindt, moet worden bestreden. De verwachting is dat nieuwe Europese wetgeving – zoals de Digital Services Act (DSA)3 – de internetsector tot meer actie dwingt met de verplichtingen die daarin geregeld zijn. In het geval van Telegram lijkt in een adequaat moderatiebeleid voor openbare groepen4 de grootste winst te behalen. De Nederlandse strafrechtelijke aanpak heeft een beperkt effect aangezien het hier om een internationale online dienst gaat met een groot aantal gebruikers. Omdat de capaciteit binnen onze strafrechtketen beperkt is, moeten bovendien altijd keuzes gemaakt worden. Een meewerkende houding van Telegram is in alle gevallen van groot belang.
Wanneer is voor u de maat vol voor Telegram, gezien de aanhoudende berichten over online haat, bedreiging, expose-groepen, criminele praktijken en oplichting via dit platform en het feit dat Telegram hier zelf helemaal niets aan doet?
De aanwezigheid van illegale inhoud en illegale activiteiten op Telegram vind ik problematisch. Temeer omdat Telegram weinig bereidheid tot medewerking toont in het kader van zelfregulering en opsporingsonderzoeken. In de beantwoording van eerdere Kamervragen van de leden Kuik en Slootweg (CDA)5 over Telegram heb ik daarom aangegeven dat het kabinet de inspanningen verhoogt om partijen als Telegram en X op hun verantwoordelijkheden te wijzen, deels met behulp van nieuwe wetgevende instrumenten, zoals de Verordening Terroristische Online Inhoud6 en de eerdergenoemde DSA. Over de ontwerp Verordening ter voorkoming en bestrijding van seksueel kindermisbruik wordt nog onderhandeld. Deze drie verordeningen leggen aan tussenhandeldiensten meer (zorgvuldigheids)verplichtingen op, onder meer in relatie tot illegale online inhoud. Ze spelen daarom een belangrijke rol in het aanpakken van de soorten inhoud en praktijken die u noemt. Daarnaast ben ik in constante dialoog met verschillende soorten aanbieders in de internetsector, zoals via de «publiek-private samenwerking online content moderatie». Juist vanwege de constructieve samenwerking met de aldaar aanwezige platforms (zoals Meta, TikTok en Snapchat) is de afwezigheid van partijen als Telegram en X te betreuren.
Zijn de claims van Telegram dat zij wel degelijk proactief modereren op schadelijke content te verifiëren?
De gemaakte claims door Telegram zijn momenteel lastig onafhankelijk te verifiëren door een gebrek aan transparantie. De handhavingspraktijk en onderzoeken zoals die van de NOS geven een beeld van de verschillende vormen en omvang van illegale inhoud op Telegram, wat zich moeilijk verhoudt tot de gemaakte claims. De DSA brengt naar verwachting verandering in deze situatie zoals toegelicht in het antwoord op vraag 7.
Wilt u Telegram vragen bewijs te leveren van hun proactieve moderatie op schadelijke content in Nederland of Nederlandse groepen en wilt u dit onafhankelijk laten toetsen?
Zoals aangegeven spant het kabinet zich in om partijen op hun verantwoordelijkheden te wijzen. Telegram zal op grond van de DSA, die vanaf 17 februari 2024 van toepassing is op alle tussenhandeldiensten, in ieder geval jaarlijks moeten gaan rapporteren over (onder meer) inhoudsmoderatie die zij op eigen initiatief toepast, de ontvangen bevelen van lidstatelijke autoriteiten, en de omgang met meldingen van illegale inhoud van gebruikers en zogeheten betrouwbare flaggers7. Hierdoor wordt meer inzicht afgedwongen in hetgeen Telegram doet op het gebied van online content moderatie. Het is aan de toezichthouder in België – waar Telegram met de inwerkingtreding van de DSA een wettelijke vertegenwoordiger heeft aangewezen8 – om toezicht te houden op de naleving van deze eisen.
Herinnert u zich dat u in antwoord op eerdere vragen van de leden Kuik en Slootweg3 over Telegram-exposegroepen heeft aangegeven dat Telegram niet reageert op vorderingen of bevelen in het kader van opsporingsonderzoeken?
Ja, mijn beantwoording daarop is mij bekend.
Wat zijn gevolgen van het niet voldoen aan een vordering of bevel door de politie of de officier van justitie in het kader van een opsporingsonderzoek? Welke afwegingen worden daarbij gemaakt?
Wanneer Telegram niet meewerkt aan rechtshulpverzoeken en niet voldoet aan strafvorderlijke vorderingen en/of bevelen, dan is het gevolg daarvan dat onderzoek naar (een vermoeden van) strafbare feiten wordt belemmerd. In algemene zin geldt dat afhankelijk van de context en de grondslag van een vordering of bevel het niet meewerken daaraan strafrechtelijke, civielrechtelijke of bestuursrechtelijke gevolgen kan hebben.
In hoeverre zijn er mogelijkheden om medewerking van Telegram aan vorderingen of bevelen van de politie of officier van justitie af te dwingen?
In sommige gevallen zou bij niet-naleving van een vordering of bevel vanuit de politie of officier van justitie kunnen worden overgegaan op dwangmiddelen, zoals inbeslagname of strafvervolging. De eventuele inzet hiervan wordt onder andere beïnvloed door de grondslag van de vordering of het bevel, de ernst van de overtreding en ook de vestigingslocatie van een bedrijf. Van Telegram is bekend dat deze momenteel geen Nederlandse of andere Europese vestiging heeft. Wel is bekend dat Telegram met de inwerkingtreding van de DSA inmiddels een wettelijke vertegenwoordiger in België heeft aangewezen.
Klopt het dat de officier van justitie op basis van artikel 125p van het Wetboek van Strafvordering na toestemming van de rechter-commissaris, een aanbieder van een communicatiedienst kan bevelen om content ontoegankelijk te maken, en dat dit in de praktijk het blokkeren van een Telegramkanaal kan zijn, openbaar of besloten?
Ja, dat klopt.
Zo ja, kunt u aangeven waarom het blokkeren van een Telegramkanaal blijkens uw antwoord op vraag 6 van de leden Slootweg en Kuiken slechts in uitzonderlijke gevallen mogelijk is en dan alleen via de telefoon van de verdachte?
De casus waarin via de telefoon van verdachte gegevens in drie Telegram-groepen ontoegankelijk werden gemaakt, werd in de beantwoording uitzonderlijk genoemd, omdat de politie niet vaak in de positie is dat zij een Telegram-gebruiker heeft kunnen identificeren en directe toegang heeft tot diens telefoon. Dit maakte het op grond van artikel 125p Sv jo 181 Sv mogelijk om de Telegram-groepen af te sluiten zonder medewerking van Telegram.
Waarom is de politie volgens uw antwoord in vraag 6 vaak niet in de positie om een Telegramkanaal te blokkeren?
Zie antwoord vraag 12.
Wat vindt u ervan dat het blokkeren van een Telegramkanaal blijkbaar afhankelijk is van de medewerking van Telegram zelf?
In de casus waar u naar refereert in vraag 12 konden gegevens dus ontoegankelijk worden gemaakt zonder medewerking van Telegram, omdat er toegang was tot de telefoon van verdachte. Dat neemt niet weg dat een meewerkende houding van online aanbieders gewenst is, zodat bevelen die op grond van 125p Sv direct aan hen zijn gericht ook daadwerkelijk worden opgevolgd en er niet een strafbaar feit ontstaat of blijft voortbestaan door niet-naleving.
Welke mogelijkheden zijn er om de politie meer handvatten te geven om Telegramkanalen sneller te blokkeren? Vraagt de politie ook om extra mogelijkheden of bevoegdheden en zo ja, welke?
De wet voorziet in mogelijkheden voor politie en OM om online aanbieders ertoe te bewegen om strafbare inhoud ontoegankelijk te maken en personen achter accounts op te sporen. Zoals toegelicht in het antwoord op vraag 10 wordt de effectiviteit van deze middelen belemmerd wanneer een bedrijf niet op Nederlands grondgebied is gevestigd. In het geval van buitenlandse online aanbieders dient dan gebruik te worden gemaakt van een rechtshulpverzoek. Dit is vaak een tijdrovende exercitie en de uitkomst ervan is afhankelijk van de medewerking van het land waaraan het verzoek is gericht.
Verder verwijs ik naar mijn antwoord op vraag 2 over de gesprekken die gevoerd worden met onder andere politie en OM om te komen tot een plan van aanpak voor handhaving op de online verkoop van verboden middelen.
Vindt u het gerechtvaardigd om in uitzonderlijke gevallen en bij grove en herhaaldelijke schendingen op het gebied van illegale content de mogelijkheid te hebben om een app als Telegram als geheel voor een bepaalde periode uit de lucht te halen in Nederland? Kunt u uitgebreid toelichten wat de technische en juridische implicaties hiervan zouden zijn?
Het volledig verbieden of ontoegankelijk maken van een app is zeer ingrijpend. In het geval van Telegram zou hieruit een inperking van de vrijheid van meningsuiting volgen. De noodzaak hiervan moet dan in verhouding staan tot de ernst van de overtredingen waarbij de vraag speelt of lichtere middelen niet al voldoende soelaas bieden. De DSA biedt een kader waarin toezicht en sanctionering zijn geregeld en in een opbouw van handhavingsmogelijkheden is voorzien. De verordening laat in een uiterst geval en onder voorwaarden ruimte voor de toezichthouder om de rechter te verzoeken de toegang tot een dienst tijdelijk te beperken10. Doordat Telegram in België haar wettelijke vertegenwoordiger voor de DSA heeft aangewezen is de Belgische onafhankelijk toezichthouder voor de DSA hiertoe exclusief bevoegd.
Wat vindt u van het feit dat Telegram in Duitsland een boete heeft gekregen van ruim vijf miljoen euro, omdat Telegram geen aanspreekpunt in Duitsland heeft waar mensen schadelijke en criminele content kunnen melden?
Het Bundesamt für Justiz (BfJ) heeft in 2022 haar bevoegdheden als autoriteit onder de NetzDG, de Duitse netwerkhandhavingswet, gebruikt om twee boetes van in totaal € 5,125 mln aan Telegram op te leggen. De NetzDG maakt plaats voor de DSA. De DSA is namelijk maximumharmonisatie voor wat betreft de verplichtingen voor tussenhandeldiensten door de EU, waardoor dergelijke nationale wetgeving niet langer is toegestaan. De actie van het BfJ laat zien dat partijen als Telegram zich niet kunnen onttrekken aan verplichtingen die hen zijn opgelegd. Dit maakt mij hoopvol over de toepassing van de DSA die in meerdere opzichten gelijkenissen kent met de NetzDG.
Op welke manier reageren andere Europese landen op Telegram wanneer schadelijke content niet verwijderd wordt en geen opvolging wordt gegeven aan vorderingen van politie en justitie?
Het kabinet is niet op de hoogte van de praktijk in de verschillende lidstaten.
Verwacht u, gezien de trackrecord van Telegram, dat de invoering van de Digital Services Act (DSA) zal leiden tot verbetering van het gedrag van Telegram?
Het laat zich moeilijk voorspellen hoe het handelen van een partij als Telegram zich gaat ontwikkelen met de inwerkingtreding van de DSA. Tegelijkertijd is Telegram een voorbeeld dat de noodzaak voor regulering aantoont. De DSA en de eerdergenoemde wetgevingsinstrumenten in mijn antwoord op vraag 5 versterken de mogelijkheden om op te kunnen treden. Uit de praktijk zal moeten blijken welke resultaten dit oplevert. In dit kader is relevant dat de positie van Telegram onder de DSA nog niet geheel duidelijk is. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de DSA, terwijl besloten (groeps)gesprekken er buiten vallen, maar de praktijk moet dit uitwijzen. Ondertussen staat wel vast dat de DSA voor meer transparantie en dus verbetering van het gedrag door Telegram zou moeten leiden. Zie het ook het antwoord op vraag 7.
Verwacht u dat de huidige sancties onder de DSA hard genoeg zijn om online platformen zoals Telegram te dwingen verantwoordelijkheid te nemen over de activiteiten op hun platform?
Zie antwoord vraag 19.
Bent u bereid om de Kamer een brief te sturen waarin u uitgebreid toelicht aan welke bepalingen die volgen uit de DSA Telegram zich op dit moment volgens u niet houdt of waar er een risico zit?
Zoals aangegeven moet de positie van Telegram onder de DSA zich nog uitkristalliseren. Bovendien is de DSA gestoeld op het land-van-oorsprongsbeginsel voor het bepalen van bevoegdheid. Het is aan de onafhankelijke toezichthouder die is aangewezen in België, de lidstaat waar Telegram een wettelijk vertegenwoordiger heeft aangewezen, om een oordeel te vormen over de naleving van bepalingen uit de DSA door tussenhandeldiensten die onder haar bevoegdheid vallen. Het is niet aan mij om verder te oordelen of de DSA op (onderdelen van) Telegram van toepassing is, of welke onderdelen van de DSA mogelijk worden overtreden. Dat is aan de onafhankelijk toezichthouder en uiteindelijk aan de rechter en het Hof van Justitie.
Wanneer verwacht u de uitvoeringswet van de DSA naar de Kamer te sturen?
De Minister van Economische Zaken en Klimaat werkt al geruime tijd aan het ontwerpwetsvoorstel voor de Uitvoeringswet Digitaledienstenverordening. Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat wordt momenteel verwerkt. De Minister van Economische Zaken en Klimaat streeft ernaar het ontwerpwetsvoorstel daarna zo spoedig mogelijk bij de Kamer in te dienen en zal Uw Kamer daar apart over informeren.
Quantumproof encryptie |
|
Joost Sneller (D66) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het risico dat quantumcomputing encryptie zal doorbreken en daarmee toegang wordt verkregen tot een schat aan gevoelige informatie?
Ja, het is mij bekend dat krachtige quantumcomputers bepaalde versleuteling (of cryptografie) sterk kunnen verzwakken of doorbreken. Dit veroorzaakt risico’s voor de Rijksoverheid en ook voor burgers, ondernemingen en andere overheden die tijdig beheerst moeten worden.
Cryptografie zorgt voor veilige en vertrouwelijke digitale communicatie. Cryptografie houdt zich o.a. bezig met technieken om informatie op te slaan en over te dragen zodanig dat deze alleen leesbaar zijn door partijen die de juiste sleutel bezitten (vertrouwelijkheid). Daarnaast wordt het ingezet om gegevens te beschermen tegen wijzigingen (integriteit), zekerheid te verkrijgen van verzenden en ontvangen van informatie (onweerlegbaarheid) en bevestiging van identiteiten van zender en ontvanger te bewerkstelligen (authenticatie). Daarvoor zijn in ons dagelijks leven zeer veel toepassingen en cryptografie wordt om die reden overal gebruikt. Door cryptografie zijn bijvoorbeeld onze identiteitsgegevens (paspoorten) beschermd, kunnen we veilig verkeerslichten en bruggen aansturen, mailen en appen we met elkaar, betalen we met onze telefoon en we gebruiken het om vertrouwelijke informatie te versleutelen, zoals bedrijfsgeheimen of staatsgeheimen. Cryptografie vormt dan ook een onmisbaar instrument om de vertrouwelijkheid, integriteit en beschikbaarheid van processen en data te beschermen.
Met de komst van een krachtige quantumcomputer is de meeste cryptografie echter niet meer (voldoende) veilig: bestaande encryptiemethodes zullen onze digitale gegevens niet meer voldoende kunnen beschermen.
De overgang van kwetsbare cryptografie naar quantumveilige cryptografie is een technologisch ingrijpende wijziging die nog niet eerder op deze schaal is voorgekomen. Daarom moeten er nu voorbereidende acties worden ondernomen, zie ook de beantwoording bij vraag 5.
Welke kansen en risico´s ziet u op het gebied van quantum?
Er zijn met betrekking tot quantum in relatie tot quantumproof encryptie zowel kansen als risico's.
In mijn brief van 7 november 20231 heb ik u geïnformeerd over een aantal belangrijke knelpunten in de transitie naar quantumveilige cryptografie en een aantal kansen die dit biedt.
Daarnaast zijn er risico’s zoals onvoldoende bewustzijn en kennis. Voor dat laatste ontwikkel ik samen met de private sector een cryptografie opleiding om alle typen IT- beheer bij te scholen. Deze komt naar verwachting in de loop van 2024 beschikbaar.
Bent u bekend met het gegeven dat de Amerikaanse president Biden reeds een wet heeft getekend die overheidsorganisaties verplicht om te migreren naar IT-systemen die quantum-proof zijn?1
Het kabinet volgt de internationale ontwikkelingen en heeft kennis genomen van de genoemde Amerikaanse wetgeving3. Deze wetgeving geeft de verplichting aan federale overheidsinstanties om te migreren naar quantumveilige cryptografie: het adopteren van de standaarden die door het Amerikaanse National Institute of Standards and Technology dit jaar gepubliceerd worden om weerbaar te zijn tegen de dreiging van quantumtechnologie. Deze migratie en beschreven aanpak hiervoor worden ook binnen de Rijksoverheid gezien als de belangrijkste instrumenten om deze dreiging het hoofd te bieden.
De aanpak van de Rijksoverheid past bij de generieke, risicogerichte aanpak voor digitale weerbaarheid. Deze aanpak geeft ruimte om ook andere maatregelen te nemen om de hiervoor genoemde risico’s te beheersen, indien bijvoorbeeld bepaalde systemen niet kunnen migreren naar quantumveilige cryptografie.
Kunt u toelichten in hoeverre er vergelijkbare wetgeving nodig is in Nederland en in hoeverre dit wordt voorbereid?
De Amerikaanse wetgeving oplossing verplicht federale overheidsinstanties om te migreren naar quantumveilige cryptografie: namelijk het adopteren van de nieuwe standaarden van National Institute of Standards and Technology (zie vraag 3). De huidige Europese, nationale en overheidsbrede wet- en regelgeving op het gebied van informatiebeveiliging c.q. cybersecurity heeft een andere werking maar biedt voldoende aanknopingspunten om in actie te moeten komen.
Zo geeft NIS24 (Network and Information Security Directive) aan dat «state of the art» beveiligingsmaatregelen waaronder «state of the art» encryptie moeten worden toegepast. Deze richtlijn schrijft verder voor dat organisaties die onder de richtlijn vallen moeten hebben: «beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie».5 De gekozen maatregelen om de systemen te beveiligen volgt uit de risicoanalyse van de te beveiligen informatie. De Minister van Justitie en Veiligheid heeft de Kamer per brief op 31 januari geïnformeerd over de voortgang van de implementatie van de richtlijn.
Daarnaast vereisen de Baseline Informatiebeveiliging Overheid (BIO) en de voor de overheid verplichte ISO-standaarden6 dat nieuwe dreigingen en risico’s worden opgenomen in het risicomanagementproces. Deze standaarden bevatten normen ten aanzien van beleid en beheer van cryptografie. Ook andere eisen zorgen ervoor dat organisaties moeten starten met het beheersbaar maken van de dreiging van de quantumcomputer voor cryptografie – die daar kwetsbaar voor is. Een voorbeeld is de eis rondom het beheersen van kwetsbaarheden.
Welke ondersteuning wordt er nu vanuit de Rijksoverheid geboden aan organisaties om zich voor te bereiden op de komst van quantumcomputers en de effecten op encryptie?
De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van quantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen. Nu beginnen met voorbereiden is dan ook noodzakelijk om risico’s, inspanning en kosten te kunnen spreiden. Daarom is een Rijksbreed samenwerkingsprogramma opgezet: quantumveilige Cryptografie (QvC-Rijk). Hierover heb ik u in mijn brief van afgelopen november geïnformeerd7
Welke stappen kunnen organisaties nu al nemen om gegevens te beschermen tegen de komst van quantumcomputers?
Veel (overheids)organisaties en IT-leveranciers moeten zich nu al voorbereiden op risico’s die de komst van de quantumcomputer met zich meebrengen. Bijvoorbeeld organisaties die data verwerken, die over langere tijd nog vertrouwelijk moeten blijven zoals medische data of bedrijfsgeheime data. Of organisaties die systemen met een lange levensduur aanbieden, zoals bijvoorbeeld industriële automatisering8.
De volgende acties kunnen nu al door bedrijven en (overheids)instanties ondernomen worden:
De volgende maatregelen kunnen worden getroffen om wijzigingen voor te bereiden, die op een later moment noodzakelijk zullen zijn:
In hoeverre wordt er internationaal of in Europees verband samengewerkt aan de voorbereiding van versterkte encryptie(-vereisten) voor de komst van quantumcomputers?
Een heel bekende samenwerking op dit vlak is de Amerikaanse National Institute of Standards and Technology competitie voor Post quantum cryptografie9. Nederland heeft ook een inzending gedaan, welke is geselecteerd (CRYSTALS-KYBER)10 om in de nieuwe wereldwijde standaarden op te nemen.
Daarnaast wordt door de wetenschap ook op dit onderwerp internationaal samengewerkt (zie vraag 8).
Met de Franse en Duitse nationale informatiebeveiligingsinstituten bestaan onder andere vanuit de Rijksoverheid al langer samenwerkingen generiek op cybersecurity en ook cryptografie. Momenteel wordt besproken op welke onderwerpen de samenwerking en kennisdeling op het gebied van de quantumdreiging geïntensiveerd kunnen worden.
Welk onderzoek wordt er nu verricht naar quantumcomputing, en meer specifiek naar de gevolgen voor encryptie?
Departementen hebben gezamenlijk geld beschikbaar gesteld voor het oplossen van een aantal vraagstukken over cybersecurity. Dit heeft geleid tot een programma: Cybersecurity – naar een veilig en betrouwbaar digitaal domein11.
Binnen dit programma lopen 2 onderzoeken op het vlak van cryptografie:
Doel van dit onderzoek is om quantumveilige PKI-systemen te ontwikkelen en sector-gebaseerde groeipaden te leveren die organisaties zullen helpen hun systemen naar een quantumveilige toekomst te migreren. Dit gebeurt in samenwerking met koplopers in de telecommunicatie, financiële dienstverlening, zorg en publieke sector.
Doel van dit onderzoek is het ontwerpen van nieuwe algoritmen en siliciumchips met inherente bescherming tegen fysieke aanvallen, en het ontwikkelen van nieuwe simulatie- en evaluatietechnieken voor fysieke beveiliging. PROACT zal daarom bijdragen aan een verhoogde beveiliging van onze persoonlijke en bedrijfsgevoelige gegevens.
Op veel meer plekken wordt op dit vlak onderzoek gedaan, zowel door onderzoek en wetenschap, maar ook door private partijen. Tijdens congressen wordt hierover kennis gedeeld. Een recent voorbeeld hiervan in Nederland is het congres van het PKI-consortium van afgelopen november. Het PKI-consortium heeft dit congres georganiseerd samen met de Rijksoverheid (Logius) en onderzoeksorganisaties (Centrum voor Wiskunde en Informatica- CWI- en TNO)12.
Welke maatregelen neemt de Staatssecretaris op korte termijn ter voorbereiding op de komst van quantumcomputers?
Onder regie van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties wordt de migratie naar quantumveilige cryptografie binnen de Rijksoverheid voorbereid. Voor wat betreft het programma quantumveilige Cryptografie Rijk (QvC-Rijk): zie antwoord bij vraag 5.
De AIVD (Algemene Inlichtingen- en Veiligheidsdienst), het NCSC (Nationaal Cyber Security Centrum), CIO-Rijk (directie Chief Information Office- Rijk) en EZK (Ministerie van Economische Zaken en Klimaat) ontwikkelen hiervoor kennisproducten vanuit de taken die zij invullen. Dit gebeurt in onderlinge samenwerking en afstemming.
In brede zin maakt het voorbereiden op quantumveilige cryptografie deel uit van de Nederlandse Cybersecuritystrategie 2022–202813. Deze stelt onder andere dat, om de digitale veiligheid van Nederland nu en in de toekomst afdoende te kunnen beschermen, de ontwikkeling en toepassing van kennis en kunde op het gebied van cybersecurity continu worden versterkt. Intensieve en duurzame samenwerking tussen overheid, bedrijfsleven en kennisinstellingen is hiervoor essentieel. Het publiek-private samenwerkingsplatform dcypher, onder verantwoordelijkheid van EZK, speelt hier voor de overheid een centrale rol in, en legt de basis voor agendering en programmering van meerjarige onderzoeks- en innovatietrajecten met overheidspartijen, bedrijven en kennisinstellingen.
De opvolging van de aanbevelingen bij het rapport “De archivering van chatberichten bij het Ministerie van Algemene Zaken” |
|
Sandra Palmen (NSC) |
|
Mark Rutte (minister-president , minister algemene zaken) (VVD) |
|
![]() |
Bent u op de hoogte van de brief van 22 november 2023 van de Inspectie Overheidsinformatie en Erfgoed over de «bevindingen opvolging aanbevelingen inspectie»? Dat gaat over de «De archivering van chatberichten bij het Ministerie van Algemene Zaken» en het onder verlengd toezicht plaatsen van het ministerie1
Ja.
Welke instanties binnen de overheid vallen onder verlengd toezicht van de Inspectie?
Navraag bij de Inspectie Overheidsinformatie en Erfgoed heeft opgeleverd dat het Ministerie van Algemene Zaken en de dienst Toeslagen van de Belastingdienst vallen onder verlengd toezicht.
Hoe waardeert u het dat uw ministerie onder verlengd toezicht staat?
Het verlengde toezicht draagt in zijn algemeenheid bij aan het op een goede wijze uitvoeren van de aanbevelingen van de Inspectie. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om daar een oordeel over te hebben.
De Inspectie geeft aan meer voortgang te hebben verwacht, onder meer op de invoering van het nieuwe Document Management Systeem (DMS) en ontwikkeling van een kwaliteitssysteem. Kunt u zich vinden in deze conclusie?
Het is helaas niet mogelijk gebleken om het nieuwe DMS-systeem conform planning in te voeren. Het Ministerie van Algemene Zaken zal het nieuwe DMS-systeem invoeren zodra dit verantwoord is met het oog op de uitvoering van haar taken. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om een oordeel over hun conclusie te hebben.
Kunt u per aanbeveling uit het oorspronkelijke rapport uit september 2022, «De archivering van chatberichten bij het Ministerie van Algemene Zaken» aangeven hoe die is opgevolgd en wat de huidige stand van zaken is?
Zie hiervoor de bij deze brief gevoegde bijlage.
Kunt u, na meer dan twee jaar debat en ondertoezichtstelling van het ministerie, nu aangeven hoe de berichten van de Minister-President systematisch, toetsbaar en doorzoekbaar worden gearchiveerd?
De Inspectie voor Overheidsinformatie en Erfgoed heeft onderzoek gedaan naar de archivering bij het Ministerie van Algemene Zaken. Dit onderzoek is aangeboden aan het Ministerie van Algemene Zaken op 28 september 2022, en, met reactie, op 3 oktober 2022 aan de Kamer verzonden.2 Zoals ik heb gemeld in deze reactie op het Inspectierapport verwijder ik sinds eind mei 2022 geen chatberichten meer en worden deze bewaard ten behoeve van veiligstelling en archivering. De chatberichten van de Minister-President worden per oktober 2023 ook opgeslagen in het bestaande document management systeem. Voor de goede orde zij vermeld dat voordien berichten werden gearchiveerd conform de toen geldende richtlijn inzake het bewaren van chatberichten.3
Het Ministerie van Algemene Zaken volgt voorts het rijksbrede beleid ten aanzien van archivering van chatberichten van bewindspersonen. Zie hiervoor onder andere de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 6 april 20234, het antwoord op vragen van de vaste Kamercommissie van 23 mei 20235 en de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.6 Ik wijs er voorts op dat op dit moment een voorstel tot wijziging van de Archiefwet bij de Tweede Kamer aanhangig is, waarin de vraag naar het archiveren van chatberichten ook aan de orde is gekomen.7
Indien de parlementaire enquêtecommissie Corona de berichten van de Minister-President zou vorderen, die betrekking hebben op de aanpak van de coronacrisis, krijgt de commissie dan binnen twee weken geordend alle berichten, inclusief de berichten met sleutelfiguren in deze (zoals dhr. Van Dissel, Minister De Jonge, de vicepremiers, de relevante raadsadviseurs), vanaf het begin van de crisis?
Uiteraard zal aan een vordering van een parlementaire enquêtecommissie, waar nodig na overleg en voor zover mogelijk, worden voldaan.
Kunt u uw antwoord toelichten?
Zie antwoord vraag 7.
Kunt u het toegezegde gehanteerde afbakeningsdocument (met de instructies die concreet opgevolgd zijn) in de periode maart 2020 tot 30 september 2021 aan de Kamer doen toekomen?
Aangenomen wordt dat hier niet is bedoeld op het afbakeningsdocument met betrekking tot de hotspot archivering rond corona dat immers de Kamer reeds is verstrekt (TK 2022–2023, 25 295 nr. 1986), maar dat is gedoeld op de werkinstructie van het Ministerie van Algemene Zaken van 10 juli 2020 (zie «De archivering van chatberichten bij het Ministerie van algemene zaken», Inspectie overheidsinformatie en erfgoed, p 39). In de bijlage vindt u de instructie die hiertoe op 10 juli 2020 door de secretaris-generaal is verspreid.
Vindt de archivering van de berichten van de Minister-President nu conform de Archiefwet plaats?
Zie het antwoord op vraag 6.
Kunt u dit antwoord uitgebreid toelichten en daarin ook ingaan op de tijdelijke instructie voor alle bewindspersonen voor het archiveren van chatberichten?
Zie het antwoord op vraag 6.
Het nieuwe DMS met de naam DIAZ heeft als doel ¨dat na de invoering van DIAZ de medewerkers van de afdelingen meer zelf moeten opslaan». Deelt u de visie dat medewerkers niet belast zouden moeten worden met extra administratieve taken?
Van medewerkers van Algemene Zaken wordt verwacht dat zij conform de Archiefwet de relevante informatie in beheer brengen door deze in het DMS te plaatsen. Het nieuwe DMS is gebruiksvriendelijker, waardoor de kwaliteit van het onder beheer brengen van informatie op een natuurlijke manier hoger wordt. De geciteerde zin heeft betrekking op de benodigde ondersteuning bij het uitvoeren van deze handelingen en impliceert geen verdere belasting van medewerkers met extra administratieve taken.
Wat betreft de aanbevelingen voor de archivering van chatberichten is het Ministerie van Algemene Zaken nog afwachtend aldus de Inspectie. Hoe verklaart u deze afwachtende houding, afgezien van het wachten op een Rijksbrede invulling?
Zie het antwoord op vraag 6.
In het verslag zoals vastgesteld op 24 mei 20232 geeft u bij vraag 39 aan dat «de uitdagingen tweeledig zijn». In hoeverre vind u het een uitdaging om de privacy van burgers en medewerkers te beschermen? Hoe gaat u deze uitdagingen aan?
De uitdaging in de uitvoering van het informatiebeheer zit, op basis van navraag bij het Nationaal Archief, vooral in het gebruik van chatapps. Zie hiervoor ook de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.9 In chatapps loopt zakelijke, privé en partijpolitieke communicatie regelmatig door elkaar heen. Dit zorgt voor vraagstukken rond een goede uitvoering van informatiebeheer rekening houdend met de eisen uit o.a. de Archiefwet, de Wet open overheid (Woo) en de Algemene verordening gegevensbescherming (AVG). Privé en partijpolitieke chatconversaties vallen niet onder de Archiefwet en horen dus niet thuis in het archief van de organisatie.
Voor een goede uitvoerbaarheid van het informatiebeheer is het noodzakelijk dat het uitgangspunt om privé, partijpolitieke en zakelijke conversaties aan de voorkant zoveel mogelijk te scheiden op termijn wordt gerealiseerd. Hiermee wordt voorkomen dat privé en partijpolitieke conversaties met onder andere burgers en medewerkers in het archief van de organisatie worden opgenomen.
U geeft in hetzelfde verslag aan dat het Nationaal Archief contact heeft met andere landen over de toepassing van de sleutelfunctiemethodiek. Waarom is Nederland (in navolging van België) nog steeds niet over gegaan tot invoering van de sleutelfunctiemethodiek?
De sleutelfunctiemethodiek is, op basis van navraag bij het Nationaal Archief, in de Verenigde Staten ontwikkeld en daar een tiental jaar geleden voor e-mail ingevoerd. Sinds kort wordt deze methodiek er ook toegepast op chatberichten. Europese landen die deze methodiek willen overnemen moeten echter rekening houden met de verhoudingsgewijs strengere Europese en nationale privacywetgeving en dus passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Dat omvat in Nederland onder andere het uittekenen van procedures, het ontwikkelen van aangepaste technische voorzieningen en het betrekken van de medezeggenschap. Dat is een complexe opgave, die veel tijd en capaciteit vraagt. Nederland is Europees niettemin één van de voorlopers, zowel voor e-mail als chat: andere Europese landen volgen de Nederlandse aanpak met interesse of wisselen ervaringen met het Nationaal Archief uit. Dat geldt ook voor België, dat op dit moment de invoering van de sleutelfunctiemethodiek voor e-mail onderzoekt en geleidelijk zal uitrollen. Meer informatie is te vinden op de website van het Rijksarchief in België: https://arch.arch.be/index.php?l=nl&m=ambtenaar&r=termen-en-thema-s&sr=e-mailarchivering.
In Nederland is de sleutelfunctie methodiek voor gebruik bij e-mail in 2018 vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR). Daarbij is een modelselectielijst voor e-mail ontwikkeld voor gebruik bij de verschillende organisaties. Voor e-mail zijn vervolgens de eerste selectielijsten in 2023 vastgesteld. Voor publicatie van deze lijsten wordt gewacht tot ook de technische voorziening gereed is. Zonder de passende technische en organisatorische maatregelen, zoals eerder vermeld kan deze methodiek niet daadwerkelijk worden toegepast.
Voor de archivering van chatberichten ontwikkelt het Nationaal Archief momenteel een modelselectielijst. De modelselectielijst wordt binnenkort met de Tweede Kamer gedeeld. Ook hier geldt dat op basis van de modelselectielijst verantwoordelijke overheidsorganen een eigen selectielijst zullen opstellen. Naast de selectielijst moeten ook hier de passende technische en organisatorische maatregelen genomen worden. Hier wordt vanuit het Programma Open Overheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan gewerkt. Het Nationaal Archief is hierbij nauw betrokken.
Er is sprake van een innovatielab bij het Nationaal Archief, waar gekeken wordt naar het verbeteren van technieken en naar verschil tussen applicaties in eigen beheer en extern (niet in eigen) beheer waar een marktverkenning naar wordt gedaan. Welke oplossingen worden voor welk probleem precies gezocht in een marktverkenning?
Er lopen, op basis van navraag bij het Nationaal Archief, twee trajecten door elkaar. Het Nationaal Archief heeft zich in een innovatielab geconcentreerd op de duurzame toegankelijkheid van tekstberichten. Hier zijn een aantal prototypes bedacht, ontwikkeld en voorgelegd aan een begeleidingscommissie. In een volgende fase worden deze prototypes verder uitgewerkt. Meer informatie hierover is hier vinden: https://kia.pleio.nl/groups/view/7f52406f-53bf-4c10-a1d3-0d2f5b16c1c7/innovatielab-informatiehuishouding/blog/view/cdcaf361-fe27-4ad5-8d60-1e7dc1753a7b/beoordelingscommissie-prototypes-team-tekstberichten.
Het innovatielab heeft geen onderzoek en marktverkenning gedaan naar applicaties in eigen beheer en extern.
Het onderzoek en de markverkenning zijn uitgevoerd door een projectgroep van het Rijksprogramma voor Duurzame digitale Informatiehuishouding (RDDI) (https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering). Het Nationaal Archief maakt deel uit van deze projectgroep. In de marktverkenning zijn methodieken verkend voor het veiligstellen van chatberichten. Deze markverkenning is afgerond en het resultaat en de aspecten die zijn meegenomen vindt u hier: https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering/documenten/verslagen/2023/12/18/verslag-verkenning-van-methodieken-voor-veiligstellen-chatberichten
Op welke termijn worden resultaten van deze marktverkenning verwacht?
Zie het antwoord op vraag 16.
Zou u de Kamer uiterlijk twee dagen voor de vaststelling van de begrotingsstaat van het Ministerie van Algemene Zaken (naar verwachting 18 januari 2024) de beantwoording van deze vragen willen doen toekomen?
Dit is mijn streven geweest.
De Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie |
|
Femke Zeedijk-Raeven (D66), Jesse Six Dijkstra (NSC) |
|
Micky Adriaansens (minister economische zaken) (VVD) |
|
![]() ![]() |
Kunt u in algemene zin een toelichting geven op de beoogde Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie?1 2
Het kabinet heeft op 21 september 2021 (Prinsjesdag) uw Kamer geïnformeerd over de voorgenomen Nederlandse deelname aan het Important Project of Common European Interest Next Generation Cloud Infrastructure and Services (IPCEI CIS) en de beslissing hiervoor 70 miljoen euro ten behoeve van Nederlandse projecten beschikbaar te stellen. Het kabinet vindt Europese innovatie op dit terrein van groot belang voor het bedrijfsleven en met name de maakindustrie die, ook in Nederland, voor processen en productie een steeds grotere behoefte heeft aan nieuwe, concurrerende en veilige Europese cloudtoepassingen.
Een IPCEI is een geïntegreerd Europees project dat bestaat uit meerdere nationale projecten van bedrijven en/of onderzoeksinstellingen uit deelnemende lidstaten, dat beoogt een belangrijke Europese waardeketen te realiseren of in stand te houden. Hierdoor wordt de Europese autonomie verstevigd. De IPCEI CIS is het eerste belangrijke project van gemeenschappelijk Europees belang op het gebied van cloud- en edge-computing. Het betreft de ontwikkeling van het eerste interoperabele en vrij toegankelijke Europese ecosysteem voor gegevensverwerking.
Het project moet zorgen voor de Europese ontwikkeling van gegevensverwerkingscapaciteit, software en instrumenten voor het delen van gegevens waarmee onderling verbonden, energie-efficiënte en betrouwbare cloud- en edge-technologie en samenhangende diensten voor het verwerken van gedistribueerde gegevens kunnen worden ontwikkeld. De innovatie in het kader van IPCEI CIS zal een nieuw spectrum van mogelijkheden voor Europese bedrijven en burgers bieden en zo de digitale en groene transitie in Europa bevorderen.
Hiermee past onze inzet binnen de IPCEI CIS bij bestaand beleid, zoals de kabinetsvisie op datadelen tussen bedrijven3, de Europese datastrategie4 de Strategie Digitale Economie5 en de Europese verklaring voor een nieuwe generatie edge en cloud6. Ook wordt met de IPCEI CIS een aantal marktfalens geadresseerd. Deze economische problematiek is onder andere door de Autoriteit Consument en Markt (ACM) onderzocht en beschreven in een uitgebreide marktstudie7. De Nederlandse IPCEI CIS-projecten worden inhoudelijk in de Kamerbrief die gelijktijdig met deze beantwoording wordt verzonden verder beschreven.
Op basis van een rangschikking zijn drie Nederlandse projecten in aanmerking voor subsidie gekomen. De Nederlandse projecten maken deel uit van het IPCEI CIS ecosysteem8. Hier is ook door de Europese Commissie over gecommuniceerd bij de aankondiging van de goedkeuringsbesluiten voor steun aan bedrijven op basis van het IPCEI-steunkader. Dit is een proces geweest waar door de deelnemende bedrijven, de Nederlandse overheid en de Europese Commissie zorgvuldig gedurende een periode van twee jaar aan is gewerkt. Deze subsidie is inmiddels door EZK verstrekt.
Kunt u een overzicht geven van de waardeketen voor cloudtechnologie van datacenters, inclusief toeleveranciers, via clouddienstverleners, tot aan gebruikers hiervan?
Het gaat bij cloudtechnologie om IT-diensten die via het internet worden aangeboden waarbij de gebruiker geen hardware en software aanschaft, maar betaalt voor het daadwerkelijke gebruik van één of meerdere diensten die op de infrastructuur van een cloudaanbieder draaien. Deze infrastructuur is in de regel in een datacenter gehuisvest. Door deze opzet kan de gebruiker zijn of haar gebruik makkelijk op- en afschalen.
Clouddiensten worden grofweg in drie categorieën verdeeld: (1) Infrastructuur as a Service (IaaS), (2) Platform as a service (PaaS) en (3) Software as a Service (SaaS), waarbij de scheidslijnen tussen die drie niet altijd even scherp te trekken zijn. Onderstaande afbeelding geeft schematisch weer hoe deze algemene waardeketen van clouddiensten eruit ziet en wat de verschillende categorieën inhouden. Het is niet mogelijk een uitputtende beschrijving te geven van de waardeketen van cloud in Nederland.
Figuur 1: Een schematische weergave van de verschillende lagen in cloudtechnologie. Bron: ACM
Wat zijn de grootste bedrijven in deze keten in Nederland, Europa en wereldwijd?
Clouddiensten worden aangeboden door een aantal van de grootste bedrijven ter wereld, zoals Amazon, Microsoft en Google. Andere actieve spelers op de Europese en Nederlandse markt voor clouddiensten zijn bijvoorbeeld IBM, Oracle, VMware, OVHcloud, Scaleway en het Nederlandse Leaseweb. De grootste cloudaanbieders zijn actief op zowel de IaaS-, PaaS- en SaaS-laag, en zijn dus verticaal geïntegreerd. De ACM9 stelt vast dat de clouddiensten van de twee grootste partijen, Microsoft Azure en Amazon Web Services (AWS), in zowel Nederland als Europa, op de IaaS- en PaaS-laag over een groot marktaandeel beschikken (beide 35 à 40 procent). Google is de sterke derde speler op de Nederlandse en Europese markt. Er is sprake van een hoge mate van concentratie op de markt voor clouddiensten. Daarbij leveren Nederlandse bedrijven vaak diensten gebaseerd op infrastructuur die door derden worden geleverd.
Op welke control points in de keten heeft Nederland een goede concurrentiepositie en op welke zouden we die kunnen ontwikkelen?
Over het algemeen hebben Nederlandse cloudbedrijven een klein marktaandeel in alle lagen van de waardeketen, hoewel Nederlandse bedrijven op het gebied van IaaS een relatief sterkere positie hebben. Daarmee zijn de strategische controlepunten in de waardeketen van cloudbedrijven, voor zover die er zijn, niet direct de basis voor de Nederlandse concurrentiepositie. De IPCEI CIS is gericht op het stimuleren van een nieuwe generatie innovatie edge- en cloudoplossingen, waarbij beoogd wordt dat de concurrentiepositie van deelnemende Europese bedrijven verbetert. Zo kunnen deze bedrijven op het gebied van bijvoorbeeld federatieve cloudoplossingen, dus het kunnen verbinden van clouddiensten van verschillende aanbieders met elkaar, en nieuwe edge-technologieën een sterkere marktpositie krijgen. Hierbij wordt niet direct een focus gelegd op het creëren van een sterke positie van specifiek Nederlandse bedrijven, maar wordt gewerkt aan het creëren van een sterke Europese waardeketen over de verschillende lagen heen. Europese integratie is ook een voorwaarde om staatssteun onder het IPCEI steunkader te mogen verlenen.
Bent u voornemens om (een deel van) de door de Nederlandse regering gereserveerde € 70 miljoen in te zetten om een soevereine Nederlandse clouddienst te realiseren?
Digitale infrastructuur zoals cloud bestaat uit wereldwijde toepassingen en verbindingen waarin een uitsluitend Nederlandse (toonaangevende of soevereine) dienst op dit moment niet voor de hand ligt. Het gaat bij de IPCEI CIS om het behalen van Europese doelstellingen op het gebied van cloudinnovatie waarbij Nederlandse deelname op basis van kennis, innovatie en financiering geen vanzelfsprekendheid vooraf is. Het kabinet vindt Nederlandse deelname echter van groot belang vanuit innovatieoogpunt, maar ook voor het toekomstig gebruik van te ontwikkelen Europese clouddiensten door Nederlandse (maakindustrie)bedrijven. Daarom heeft mijn ministerie zich samen met betrokkenen uit de Nederlandse cloudsector, actief ingezet voor deelname en financiering gereserveerd.
De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. De middelen worden ingezet om Nederlandse bedrijven en onderzoeksinstellingen een bijdrage te laten leveren aan een nieuwe generatie innovatieve cloudoplossingen, zoals ook beschreven staat in de IPCEI subsidieregeling10. Hiervan kunnen zowel Nederlandse bedrijven als overheden straks gebruik maken.
Welke governance is van toepassing om te garanderen dat het publieke en private geld terecht komt bij de juiste bedrijven? Welke rol zullen de regionale ontwikkelmaatschappijen hierbij spelen?
De Nederlandse bedrijven en onderzoeksinstellingen die in de IPCEI CIS subsidie krijgen zijn geselecteerd op basis van de criteria uit de IPCEI subsidieregeling11. Steun aan individuele bedrijven blijft beperkt tot wat noodzakelijk en evenredig is en niet zorgt voor marktverstoring. De Europese Commissie heeft zich er van vergewist dat de staatssteun die bedrijven mogen ontvangen in het kader van het IPCEI steunkader in overeenstemming is met de subsidiabele kosten van de projecten in relatie tot de zogenoemde «financieringskloof». Dit zijn de niet rendabele kosten van een project. De monitoring van de met publieke middelen gefinancierde projecten wordt in Nederland uitgevoerd door de RVO, hier spelen de regionale ontwikkelmaatschappijen geen rol bij. Ook op Europees niveau zijn er voor de IPCEI CIS verschillende governance mechanismes ingericht om te waarborgen dat publieke middelen op een effectieve manier worden ingezet en het geheel aan Europese projecten goed op elkaar wordt afgestemd. Ook wordt op Europees niveau ingezet op een transparant, inclusief en sneller ontwerp van belangrijke projecten van gemeenschappelijk Europees belang.
In welke mate heeft dit initiatief raakvlakken met andere initiatieven van het Ministerie van EZK, zoals de Agenda Digitale Open Strategische Autonomie en de Nationale Technologiestrategie?
De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. Daarmee sluit het ook aan bij de agenda Digitale Open Strategische Autonomie (DOSA) en de Nationale Technologiestrategie. Europa is momenteel erg afhankelijk van cloudaanbieders uit derde landen, wat impact kan hebben op onze nationale veiligheid, ons verdienvermogen en andere maatschappelijke belangen. In het bijzonder is controle behouden over strategische en gevoelige gegevens een punt van toenemende aandacht. De doelstelling van het IPCEI-project van het verder ontwikkelen van Europese cloud- en edge-technologie kan bijdragen aan het verminderen van onze afhankelijkheid.
Het gesprek met Klaus Schwab over kunstmatige intelligentie |
|
Pepijn van Houwelingen (FVD) |
|
Mark Rutte (minister-president , minister algemene zaken) (VVD) |
|
![]() |
Zoals gebruikelijk weigert de Minister-President op vragen over het World Economic Forum (WEF) inhoudelijk te antwoorden1; kan de Minister-President uitleggen waarom zoveel geheimzinnigheid wordt betracht over contacten van de Nederlandse overheid (die tot transparantie aan het Nederlandse volk verplicht is) met een buitenlandse private organisatie die zelf een groot voorstander van transparantie beweert te zijn? Zo nee, waarom niet?
De meeste bijeenkomsten tijdens het WEF worden via een live-stream uitgezonden. Daarnaast ben ik transparant over de bedrijven en regeringsleiders die ik spreek, voor zover de belangen van de staat zich daar niet tegen verzetten.
Indien de Minister-President een zwijgplicht heeft ten aanzien van wat hij bespreekt met Klaus Schwab, kan hij dan wellicht Klaus Schwab uit het oogpunt van transparantie en om het vertrouwen in de Nederlandse instituties te herstellen verzoeken om een toelichting dienaangaande te komen geven in een vergadering van de Tweede Kamer? Zo nee, waarom niet?
Het is niet aan mij om mensen uit te nodigen in de Tweede Kamer, dat is aan de Tweede Kamer zelf.
Waarom namen de Minister van Financiën (mevrouw Kaag), de heer Dusek, de heer Halberstadt (voormalig lid van de Bilderberg-steering committee) en de heer Sijbesma (biotechnoloog, lid van de toezichtsraad van het WEF, klimaatleider van de Wereldbank, met name gericht op CO2-beprijzing, en lid van de externe adviesraad van het Internationaal Monetair Fonds (IMF), speciaal afgevaardigde van de regering tijdens corona met betrekking tot het testen, en lid van de VN Scaling Up Nutrition Movement Group) deel aan dit gesprek over kunstmatige intelligentie? Gezien hun functies en expertises is dat immers toch niet zo voor de hand liggend? Of wel?
Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. De aanwezigen hebben een internationaal profiel en achtergrond en zijn regelmatige bezoekers van het WEF. Het onderwerp AI sluit tevens aan bij de thematiek van de 54e jaarlijkse bijeenkomst van het WEF in januari aanstaande. De bijeenkomst zal dan mede gaan over de kansen die worden geboden door dergelijke nieuwe technologieën.
Betekent de deelname van de bovengenoemde personen dat het onderwerp kunstmatige intelligentie tijdens dit gesprek in verband is gebracht met de voorgenomen implementatie van de One Health filosofie? Zo nee waarom niet?
Tijdens dit gesprek is de One Health filosofie niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).
Of betekent het wellicht dat kunstmatige intelligente in verband is gebracht met de invoering van een Europese Digitale Identiteit? Zo nee waarom niet?
Tijdens dit gesprek is de Europese Digitale Identiteit niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).
Of betekent het dat kunstmatige intelligente in verband is gebracht met de invoering van biometrische identificatie op wereldniveau? Zo nee waarom niet?
Tijdens dit gesprek is biometrische identificatie niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).
Of betekent het misschien dat kunstmatige intelligente in verband is gebracht met de invoering van de Central Bank Digital Currency (CBDC)? Zo nee waarom niet?
Tijdens dit gesprek is CBDC is niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).
Of betekent het tot slotte dat kunstmatige intelligente in verband is gebracht met de controle op online-informatiestromen? Zo nee waarom niet?
Tijdens dit gesprek is niet gesproken over controle op online-informatiestromen. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).
Waarom weigeren de Minister-President en zijn regering stelselmatig ruimhartig informatie te delen over wat er inhoudelijk met het WEF en Bilderberg wordt gewisseld terwijl de Minister-President zelf heeft erkend dat de «rode lijnen» worden uitgezet in Davos en Washington?2
Zie de antwoorden op de overige vragen.
Met die uitspraak van 20 januari 2023 erkende de Minister-President toch dat het WEF een belangrijke rol speelt in het uitzetten van de beleidsagenda in Nederland? Zo nee waarom niet? Zo ja, dan heeft het Nederlandse volk er toch recht op te weten wat de Minister-President en andere machtige leden van de wereldelite onderling bedisselen? Zo nee, waarom heeft het Nederlandse volk daar dan geen recht op?
Tijdens de persconferentie na afloop van de ministerraad van 20 januari 2023 sprak ik over onderwerpen die in die week of in de ministerraad aan de orde waren gekomen. In dat kader sprak ik over de term «gemeenschappelijke thema’s». Daarmee bedoelde ik dat een aantal onderwerpen op meerdere momenten in die week de revue waren gepasseerd.
Kan de premier deze vragen afzonderlijk en voor de verandering inhoudelijk (dus zonder een beroep te doen op procedurele uitvluchten) beantwoorden?
Ja.
Kan de Minister-President namens de vragensteller aan zijn ambtenaren laten weten dat de vragensteller zich er bewust van is dat de vaak bijzonder gebrekkige en zelden inhoudelijke beantwoording van Kamervragen door zijn ministerie, waarvan de ronduit onbeschofte beantwoording van Kamervragen over het hijsen van vlaggen voor publieke gebouwen van woensdag jongstleden het meest recente voorbeeld is, vanzelfsprekend uitsluitend, altijd en alleen de verantwoording van de premier is en blijft en dat de vragensteller meeleeft met de ambtenaren die deze nietszeggende antwoorden hebben moeten opschrijven?
Waarvan akte.
Het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»» |
|
Hawre Rahimi (VVD), Queeny Rajkowski (VVD) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1
Ja.
Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?
Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.
Zo ja, op welke termijn verwacht u dit door te kunnen voeren?
Zie antwoord vraag 2.
Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?
Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.
Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?
De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.
Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?
Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.
Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?
Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.
Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?
De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.
In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?
Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).
Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?
De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.
De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?
Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.