Vraag 1

Kent u de brief van de Nederlandse Vereniging voor Rechtspraak (NVvR) van 11 november 2025 aan het College van Procureurs-Generaal (het College), kent u de reactie van het College op die brief1 en kent u de brandbrief van 20 november 2025 uit naam van 2.850 OM-medewerkers van het «Comité OM onder druk» aan het College?2 En kent u de eerdere frustraties van OM-medewerkers over de hardnekkige ICT-problemen (toespraak voorzitter van het College van 13 mei 2024)3

Ja.

Vraag 2

Herinnert u zich de eerdere berichten «Misdaadregistratie loopt vast door gammele ICT bij OM»4, het bericht «Openbaar Ministerie heeft problemen op zittingen door «ernstige computerstoring»»5 en het bericht «Een op de vier werknemers van OM kan niet werken door ICT-problemen»?6

Ja.

Vraag 3

Herinnert u zich de mondelinge vragen van het lid Lahlah over ICT-problemen bij het OM (mondeling vragenuur 23 april 2024) en andere antwoorden op vragen vanuit de Tweede Kamer over eerdere ICT-problemen bij het Openbaar Ministerie (OM) waaronder uw antwoorden op de schriftelijke vragen van het lid Mutluer over de blijvende ICT-problemen bij het Openbaar Ministerie?7

Ja.

Vraag 4

Deelt u de mening dat uit bovenstaande berichten blijkt dat er bij het OM al veel te lang sprake is van structurele problemen met de ICT waardoor het werk door OM-medewerkers ook al te lang belemmerd wordt en tot frustratie en gevoelens van onbegrip leidt? Zo ja, waarom? Zo nee, waarom niet?

Ja, ik vind dat de medewerkers van het OM in hun werk al te lang worden gehinderd door slecht functionerende ICT en betreur dit zeer.

Vraag 5

Deelt u de mening dat er ondanks de al jaren durende problemen met de ICT bij het OM geen of nauwelijks verbetering is opgetreden? Zo ja, hoe komt dat? Zo nee, waarom deelt u die mening niet en waaruit blijkt dan het tegendeel? En zo nee, hoe komt het dan dat de laatste maanden er sprake is van snel groeiende ontevredenheid bij OM-medewerkers en ze uitgeput en gefrustreerd raken omdat concrete maatregelen om de ICT duurzaam op orde te krijgen uitblijven en de werkdruk onverminderd hoog blijft?

Ja, ik deel de mening dat er voor de medewerkers in ieder geval niet genoeg zichtbare verbetering heeft plaatsgevonden. De ICT-inbreuk in juli 20258 heeft de problemen – in ieder geval tijdelijk – nog eens vergroot. De snel gegroeide ontevredenheid is daarmee goed verklaarbaar en terecht.

Vraag 6

Schrikt u ook als u moet lezen dat een zeer groot en representatief deel van de OM-medewerkers constateert dat zij niet langer op een verantwoorde wijze hun werk kan doen en dat de staat van de rechtsstaat in het geding is? Zo ja, waarom? Zo nee, waarom niet?

Hoewel de ICT-problemen bij mij bekend zijn, vind ik het erg vervelend en betreur ik dat zo veel medewerkers hier zo veel hinder van ondervinden.

Vraag 7

Wat is er gebeurd na uw toezegging om het OM te vragen om voor het zomerreces van 2024 te komen met een plan met concrete maatregelen om de werkdruk bij het OM te verminderen, zowel door investeringen in het personeel als door het bieden van technologische oplossingen die specifiek gericht zijn op het stroomlijnen van werkprocessen?

De implementatie van het nieuwe wetboek vraagt inderdaad aanpassingen van de ICT. De ICT-opgave van het OM is in relatie tot het nieuwe wetboek groot. Op dit moment wordt door alle ketenorganisaties uitgegaan van inwerkingtreding van het nieuwe wetboek op 1 april 2029. Ook de planning van het OM is daarop gericht. Het OM kan op dit moment voor de ICT echter geen garanties geven ten aanzien van de haalbaarheid van deze planning. Het OM inventariseert momenteel de effecten van de recente ICT-problemen. Verwacht wordt dat de eventuele effecten daarvan, waaronder die met betrekking tot de implementatie van het nieuwe wetboek, in het voorjaar van 2026 bekend zijn.

Vraag 8

Erkent u dat de stress en druk bij het OM-personeel leidt tot achterstanden en onvolkomenheden in dossiers? Zo ja, kunt u concreet beschrijven hoe dit de problematiek het functioneren van de strafrechtketen aantast? Zo nee, hoe kunt u dit uitsluiten en hoe verhoudt zich dat tot de genoemde brieven van de NVvR en het Comité OM onder druk?

De dagelijkse ICT-problemen hinderen het werk en leiden daarmee tot een hogere werkdruk. Dit zou, hoewel dit niet in kwantitatief opzicht inzichtelijk is te maken, een negatief effect kunnen hebben op de prestaties van het OM. De ICT-inbreuk heeft geleid tot het ontstaan van nieuwe voorraden en zal daarmee waarschijnlijk een tijdelijk negatief effect hebben op de doorlooptijden. De mate waarin de kwantitatieve ketendoelstellingen hierdoor worden beïnvloed is nog niet bekend. Het College van procureurs-generaal herkent de zorgen en is daarover met de Ondernemingsraad, het Comité, de leiding van de OM-onderdelen en de medewerkers in gesprek.

Vraag 9

Kunt u inzichtelijk maken welke primaire processen momenteel niet naar behoren functioneren binnen het OM als gevolg van de door medewerkers aangekaarte problematiek? Kunt u bij de beantwoording van deze vraag nadrukkelijk ook informatie vanuit OM-medewerkers betrekken die dagelijks geconfronteerd worden met de ICT-problemen?

Op dit moment hebben de OM-medewerkers in alle (primaire) processen geregeld te maken met ICT-verstoringen. Er zijn inmiddels verschillende concrete maatregelen genomen die moeten helpen de werkdruk bij het OM te verlichten en het werkplezier te vergroten. Het College is hierover in gesprek met de Ondernemingsraad en met de leiding van de OM-onderdelen. Er is uitgebreidere monitoring ingericht om de prestaties van de systemen nauwlettend in de gaten te houden. Verdere vernieuwing en verzwaring van de onderliggende infrastructuur is gepland. Vanuit het College en de ICT-organisatie zijn bezoeken gebracht aan alle OM-onderdelen, met als doel om meer inzicht te krijgen in de directe en urgente ICT-problematiek en de specifieke behoeften van de collega’s op de OM-onderdelen. Op basis daarvan zijn diverse verbeteracties doorgevoerd die de werkprocessen ten goede komen.
Tegelijkertijd blijven zich in de bestaande, verouderde ICT-omgeving van het OM met enige regelmaat nieuwe ICT-incidenten aandienen. Daarom zet het OM naast genoemde kortetermijnmaatregelen ook heel stevig in op structurele oplossingen die weliswaar veel minder snel zijn te realiseren, maar voor het functioneren van de informatievoorziening (IV) en de werkprocessen bij het OM uiteindelijk van fundamenteel belang zijn. Daartoe is een meerjarenplanning in voorbereiding, die als basis zal dienen voor de onderbouwing van de meerjarige financieringsbehoefte van het OM vanwege de noodzakelijke investeringen in de ICT.

Vraag 10

Bent u bereid om met de NVvR in overleg te treden om te horen welke gevolgen de ICT-problemen voor de dagelijkse praktijk van het OM, waaronder Officieren van Justitie, hebben? Zo ja, wilt u de Kamer op de hoogte stellen van de uitkomst van dit overleg? Zo nee, waarom niet?

De NVvR heeft haar brief aan het College van procureurs-generaal gericht en hierop heeft het College gereageerd. Het College en de NVVR zijn regelmatig met elkaar in gesprek en het is ook in de eerste plaats aan het College om dat gesprek te voeren.

Vraag 11

In hoeveel zaken is er sprake van vertraging of veroudering als gevolg van de aanhoudende problematiek? Kunt u dit uiteenzetten per type zaak?

De mate waarin vertraging optreedt in zaken wordt gemeten in doorlooptijden. De ontwikkeling van de doorlooptijden wordt duidelijk bij de publicatie van de cijfers over 2025. Er kan geen causaal verband worden gelegd tussen de doorlooptijd van zaken en de algemene ICT-problematiek. Wel zal de impact van de ICT-verstoring die deze zomer plaatsvond en de nasleep daarvan waarschijnlijk zichtbaar worden in deze cijfers. Als gevolg van de ICT-verstoring en het offline gaan van de OM-systemen, konden nieuwe zaken in de periode van 17 juli tot eind augustus niet vanuit de opsporingsdiensten naar het OM worden overgedragen. Dit had vooral impact op de eenvoudige zaken. Tijdens de ICT-verstoring zijn zwaardere onderzoeks- en ondermijningsmisdrijven handmatig verwerkt en zijn vertragingen in de behandeling van deze zwaardere misdrijven beperkt gebleven.

Vraag 12

Kunt u nader uiteenzetten of er afdelingen binnen het OM onevenredig hard worden geraakt door de problematiek en welke dat zijn? Heeft dit als gevolg dat sommige soorten zaken meer vertraging en veroudering oplopen dan andere soort zaken?

Zoals hiervoor aangegeven hebben alle medewerkers te maken gehad met de ICT-problematiek. De ICT-inbreuk heeft effect gehad op de voorraden en doorlooptijden. Uit het landelijk zaakvolgsysteem blijkt dat de omvang van de voorraden («voorraadbak intake OM») vanaf de datum van de ICT-inbreuk sterk is toegenomen. Deze voorraden zijn in het vierde kwartaal van 2025 aangepakt; het OM verwacht dat deze extra voorraad in het eerste kwartaal van 2026 is weggewerkt.

Vraag 13

In hoeverre komt de door het College zelf opgelegde taakstelling om de benodigde ICT-investeringen te kunnen doen ten koste van andere taken van het OM en het welzijn de OM-medewerkers?

Om de ICT structureel te verbeteren, zijn de komende jaren investeringen nodig. Daarnaast nemen de instroom en productie af, lopen tijdelijk beschikbaar gestelde middelen af en nemen structurele kosten van het OM toe. Kortom: het OM staat voor de opgave om de financiële positie structureel te versterken.
Alle OM-onderdelen moeten dus in hun begroting voor 2026 rekening houden met minder geld. Hen is door het College daarom gevraagd aan te geven welke maatregelen nodig zijn en welke consequenties dit heeft. Voor 2026 ligt de nadruk op bewuster, slimmer en efficiënt omgaan met middelen, zowel financieel als in de verdeling van het werk. Samen met de OM-onderdelen is gezocht naar effectieve aanpak om het OM financieel robuuster te maken en te houden. Het is aan de leiding van de OM-onderdelen om binnen die financiële kaders voor 2026 verstandige keuzes te maken: wat wel kan worden gedaan en wat niet. Intussen blijf het College in goed in contact met de OM-onderdelen en wordt het welzijn van de OM-medewerkers goed in de gaten gehouden.

Vraag 14

Deelt u de mening dat deze taakstelling niet zal bijdragen aan het verlagen van de werkdruk bij het OM of het beter functioneren van het OM als organisatie? Zo ja, hoe en wanneer gaat u dan zorgen voor meer financiële armslag voor het OM? Zo nee, waarom niet?

Het College heeft geoordeeld dat het noodzakelijk en verantwoord is om de taakstelling op te leggen. Het College heeft samen met de leiding van de OM-onderdelen gezocht naar manieren om het OM financieel robuuster te maken en te houden. Hiermee maakt het OM financiële middelen vrij om zelf bij te dragen aan de noodzakelijke investeringen in het versterken van de ICT. Beter functionerende IV zal op langere termijn onder andere een positief effect hebben op de werkdruk. Het College blijft in goed contact staan met de OM-onderdelen. Waar de OM-onderdelen vastlopen, zal het College bezien of er financiële ruimte kan worden vrijgemaakt gedurende het jaar. Voor wat betreft de ICT-problematiek maakt het College inzichtelijk welke investeringen de komende jaren nodig zijn. Hierover ga ik het gesprek aan met het OM. Ik kan nog niet vooruitlopen op mogelijke oplossingsrichtingen.

Vraag 15

Zorgen de ICT problemen er voor dat slachtofferrechten bij strafzaken in geding komen? Kunt u onderbouwen, en kan het OM bevestigen, dat deze rechten momenteel niet in het geding zijn? Kunnen het OM en u waarborgen dat alle slachtoffers van strafzaken hun bestaande rechten ten volle kunnen uitoefenen? Zo nee, kunt u in overleg met het OM specifieke verbeteringen doorvoeren zodat hier zo spoedig mogelijk wél sprake van is?

Zoals hiervoor aangegeven heeft de offlinegang en stapsgewijze onlinegang van het OM geleid tot vertragingen en werken het OM en partners in en rondom de strafrechtketen hard om deze in te lopen. Er is momenteel sprake van een verhoogde werkvoorraad, waardoor het uitsturen van het wensen- en het schadevergoedingsformulier aan slachtoffers langer op zich laat wachten. Er zijn op dit moment echter geen signalen bij het OM bekend dat de slachtofferrechten in het geding komen. Zo wel dan zal het OM hier voortvarend mee aan de slag gaan.

Vraag 16

Ondervinden het OM-personeel of andere partners in de strafrechtketen op dit moment nog de gevolgen van de in de afgelopen zomer ontstane verstoring van het ICT-systeem van het OM? Zo ja, welke concrete gevolgen betreft dit?

Zie mijn antwoorden op de voorgaande vragen; er zijn door de ICT-inbreuk onder meer voorraden ontstaan die deels nog moeten worden weggewerkt.

Vraag 17

Deelt u de mening dat de overgang en implementatie van het nieuwe wetboek van Strafvordering ook aanpassingen van de ICT systeem van het OM vergt? Acht u het OM in staat om tijdig voor een goed functionerende overgang en implementatie te zorgen? Zo ja, welke stappen zijn en worden daarvoor gezet en hoe is de voortgang daarvan? Zo nee, waarom niet en wat is er dan nog meer nodig?

Vraag 18

Hoe gaat u de «vinger aan de pols» van het OM houden8 en wat gaat u doen op het moment dat u moet constateren dat de ICT-problemen nog altijd niet afdoende en tijdig worden opgelost?

Ik bespreek de ICT-problematiek zeer regelmatig met onder meer het College van procureurs-generaal en ik acht het College voldoende in staat om de problemen op te lossen. Ik laat mij niet uit over eventuele in de toekomst door mij te nemen maatregelen.

Vraag 19

Bent u nog steeds van mening u geen rol zou hebben bij het oplossen van de problemen bij het OM?9 Zo ja, waarom en waaruit leidt u af dat dat de OM leiding nu wel zelf in staat zou zijn om de langdurige structurele ICT problemen op te lossen? Zo nee, welke rol gaat u dan wel spelen? En zo nee, bent u bereid daar desnoods uw algemene aanwijzingsbevoegdheid jegens het OM voor te gebruiken?10

Het is in de eerste plaats aan het College van procureurs-generaal om de problemen met de ICT op te lossen. Uiteraard word ik van de voortgang op de hoogte gebracht en wordt er vanuit mijn departement meegedacht en ondersteuning geleverd. Ik acht het College voldoende in staat om de problemen op te lossen en laat mij niet uit over eventuele in de toekomst te nemen maatregelen.

Vraag 20

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Kunt u aangeven hoe dit probleem rondom de ICT zo uit de hand heeft kunnen lopen? Waar heeft men het de afgelopen jaren laten liggen?1

Zoals mijn ambtsvoorganger al eerder aan uw Kamer heeft toegelicht,2 kampt het OM met verouderde systemen. Hiernaast heeft het OM onder meer te maken gehad met de ICT-inbreuk3 in juli 2025 en slecht functionerende kantoorautomatisering. De combinatie van onder meer deze factoren heeft geleid tot de huidige situatie.

Vraag 2

Heeft het Openbaar Ministerie (OM) inzichtelijk hoeveel procent van de tijd medewerkers van het OM bezig zijn met ICT-gerelateerde zaken in plaats van het werk waarvoor zij eigenlijk zijn ingehuurd? Zo ja, kunt u dit met ons delen?

Nee, dit wordt niet geregistreerd.

Vraag 3

Op welke wijze werkt het OM aan het herstellen en verbeteren van de ICT-infrastructuur?

Door het OM wordt onafgebroken gewerkt aan het herstellen en verbeteren van de ICT-infrastructuur. Dit is een meerjarig traject, ingestoken langs de lijn van vijf thema’s: betrouwbare IV-dienstverlening, digitale weerbaarheid, modern en flexibel IT-landschap, toegankelijke en betekenisvolle informatie, volwassen IV-organisatie.
Het herstel van de ICT-infrastructuur naar aanleiding van de ICT-inbreuk is in een afrondende fase. Het herstel van de thuiswerkfunctionaliteit en de mobiele toegang tot mail en agenda zijn afgerond en de meeste medewerkers zijn inmiddels in staat om thuis te werken. In het kader van het verder verbeteren van de bestaande IV-dienstverlening aan de medewerkers volgt het OM twee sporen. Namelijk het spoor voor de korte termijn, waarbij beschikbaarheid en continuïteit de hoogste prioriteit heeft. Het tweede spoor ziet op meerjarige fundamentele verbeteringen. De komende jaren wil het OM een forse inhaalslag maken op onder meer de kantoorautomatisering en de infrastructuur voor de IV. Het OM maakt inzichtelijk welke financiële structurele middelen hiervoor nodig zijn.

Vraag 4

Hoe verhoudt dit zich tot de brandbrief waarin gesteld wordt dat er investeringen nodig zijn voor de ICT-infrastructuur?

Het College van procureurs-generaal maakt inzichtelijk welke investeringen nodig zijn om de ICT op orde te brengen. Zoals de Staatssecretaris van JenV tijdens het vragenuur op 25 november 2025 heeft toegezegd wordt u hiervan voor de behandeling van de begroting van JenV op de hoogte gebracht.

Vraag 5

Deelt u de mening van de indieners van de brandbrief dat er investeringen nodig zijn in de ICT-infrastructuur? Zo ja, welke investeringen zijn er nodig om op zo kort mogelijke termijn de ICT-infrastructuur op orde te krijgen en hoe valt dit te rijmen met de eerder gealloceerde middelen?

Voorgaande kabinetten hebben al de nodige middelen aan het OM verstrekt ten behoeve van investeringen in de ICT. Het OM maakt nog inzichtelijk welke investeringen op termijn nodig zijn en u wordt hierover nog schriftelijk geïnformeerd.

Vraag 6

Heeft de verhoogde werkdruk binnen het OM ook effect op de verzuimcijfers? Zo ja, hoe ziet deze ontwikkeling eruit? En wat doet het OM concreet om dit te mitigeren?

Het verzuimcijfer van het OM was in de jaren 2020–2024 stabiel op circa 5%. In 2025 is het verzuimcijfer bij het OM opgelopen, met name in de maanden van de ICT-inbreuk. Het is aannemelijk dat dat komt door de verhoogde werkdruk als gevolg van de ICT-verstoringen, mede omdat de verzuimcijfers van de maanden juli tot oktober 2025 hoger zijn dan dezelfde periode uit voorgaande jaren. Kanttekening hierbij is dat het algemene verzuimcijfer in Nederland volgens CBS-analyses ook een lichte verhoging laat zien in 2025. Het voortschrijdend inzicht laat zien dat het verzuim in 2025 hoger gaat uitkomen dan de eerdergenoemde 5%. De verzuimcijfers laten nu een verwacht gemiddeld verzuim zien van rond de 6%.

Vraag 7

In hoeverre hebben de problemen rondom de ICT consequenties voor de strafbeschikkingen die bij het OM lopen?

De problemen met de ICT hebben geen consequenties voor de toepassing van de strafbeschikking.

Vraag 8

Welke maatregelen worden er getroffen om fouten te voorkomen? En in hoeverre wordt er gekeken naar extra maatregelen om het risico op fouten zoveel mogelijk in te dammen? Zo ja, welke?

Het OM werkt op alle niveaus en in alle geledingen doelbewust en doelgericht aan verbeteringen in de betrouwbaarheid van de processen en systemen. Er zijn verschillende programma’s, projecten en initiatieven die daar een directe of indirecte bijdrage aan leveren. Soms is de verandering direct heel zichtbaar, door een aanpassing in de organisatiestructuur, een andere werkwijze in het werkproces of de vervanging van een systeem. Ook worden er bijvoorbeeld maatregelen genomen om de werkdruk te verminderen en wordt gewerkt aan maatregelen die het risico op fouten moet doen verminderen op het niveau van de IT-infrastructuur (zie ook het antwoord op de vraag 3).

Vraag 9

Hoe kijkt u aan tegen het verwijt van de indieners van de brandbrief dat er een «krachtig geluid» en «zichtbaar leiderschap» ontbreekt vanuit de top van het OM?

De brandbrief van de medewerkers is gericht aan het College van procureurs-generaal. Het College herkent de zorgen en is daarover met de Ondernemingsraad, de leiding van de OM-onderdelen en de medewerkers in gesprek. Het is aan het College om hierop te reageren. Ik acht het College voldoende in staat om de problemen op te lossen en zal het College daar waar nodig bij ondersteunen.

Vraag 10

Ziet u voor zichzelf een rol om een «krachtig geluid» en «zichtbaar leiderschap» te laten horen richting de medewerkers van het OM? Zo ja, hoe wilt u dit invullen? Zo nee, waarom niet?

Ik wil vooropstellen dat ik het ontzettend vervelend vind dat de medewerkers van het OM in hun werk gehinderd worden door slecht functionerende ICT. Het is echter primair aan het College om de zorgen van de medewerkers te adresseren. Het College is daarover met de Ondernemingsraad, de leiding van de OM-onderdelen en de medewerkers in gesprek. Ik zie op dit moment geen aanleiding om dit zelf te doen, mede omdat ik het College voldoende in staat acht om de problemen op te lossen.

Vraag 1

Bent u bekend met het bericht in het Financieele Dagblad van 12 november jongstleden over de verkoop van het Nederlandse cloudbedrijf Solvinity aan Kyndryl, een Amerikaanse partij, en de daaruit voortvloeiende onrust bij overheden die afhankelijk zijn van de diensten van Solvinity, zoals DigiD, MijnOverheid en Digipoort?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Deelt u de zorg dat door deze overname essentiële overheidsdiensten, waaronder DigiD en MijnOverheid, feitelijk in buitenlandse handen komen, met alle risico’s van dien, bijvoorbeeld op het gebied van digitale soevereiniteit en (data)veiligheid?

Ik heb begrip voor de zorgen van de Tweede Kamer over de voorgenomen overname van het bedrijf Solvinity door een Amerikaans bedrijf. Solvinity is betrokken bij belangrijke diensten van de overheid zoals bijvoorbeeld DigiD.
Het is belangrijk dat de veiligheid van vertrouwelijke gegevens van en de dienstverlening aan burgers niet in het gedrang komen door deze overname. Daarom wordt momenteel, naast de onderzoeken van de wettelijke toezichthouders, onder mijn regie onderzoek gedaan naar de operationele, juridische en contractuele gevolgen van de voorgenomen overname. Als het onderzoek naar de gevolgen van de beoogde overname een onacceptabel risico laat zien, worden passende maatregelen genomen. De veiligheid en bescherming van essentiële gegevens van Nederlandse burgers staan voorop.

Vraag 3

Welke juridische en bestuurlijke instrumenten staan u ter beschikking om dergelijke overnames van strategisch vitale ICT-dienstverleners te reguleren of te keren? Zijn er mogelijkheden om een overname te verbieden of voorwaarden te stellen?

Het waarborgen van onze digitale autonomie is een belangrijke ambitie van het kabinet, zoals ook is beschreven in de Agenda Digitale Open Strategische Autonomie2. Voor onze digitale autonomie is het van belang dat we een sterkere Nederlandse (en Europese) techsector opbouwen. Voor een klein handelsland als Nederland zijn een open economie en toegang tot internationale kapitaalmarkten hiervoor essentieel. Dat zorgt ervoor dat Nederlandse bedrijven internationaal innovatief en concurrerend kunnen zijn. Tegelijkertijd betekent dit dat bedrijven overgenomen kunnen worden door buitenlandse partijen. Waar investeringen in Nederlandse marktpartijen impact hebben op onze nationale veiligheid, hebben we instrumenten tot onze beschikking om die impact te toetsen en – indien noodzakelijk – ons hiertegen te beschermen, zoals de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) en de Wet ongewenste zeggenschap telecommunicatie (WOZT).

Vraag 4

Bent u vooraf betrokken geweest bij de overnamebesprekingen, en is er door de departementen gemonitord wat de gevolgen zijn van de overname specifiek voor overheidsklanten zoals DigiD, het Centraal Justitieel Incassobureau (CJIB) en andere kritieke publieke diensten?

Nee, ik ben niet betrokken geweest bij overnamebesprekingen. Voor de zomer van 2025 heeft Solvinity bij Logius aangegeven dat een overname op handen was zonder details van de overnamekandidaat te delen. Onder regie van BZK wordt op dit moment het totale risicobeeld bij overheidsorganisaties geïnventariseerd.

Vraag 5

Hoe beoordeelt u de kans dat door deze overname buitenlandse entiteiten inzage of controle zouden kunnen krijgen in kritische overheidsdata, bijvoorbeeld op grond van buitenlandse wetgeving zoals de Cloud Act of andere wet- en regelgeving?

Ten tijde van het afsluiten van de contracten zijn met Solvinity afspraken gemaakt over de vertrouwelijkheid en veiligheid van de bij deze onderneming ondergebrachte gegevens. Een overname van Solvinity door een partij in de VS betekent dat die afspraken nader moeten worden ingevuld, om te voorkomen dat de vertrouwelijkheid en veiligheid van die gegevens in het geding kan komen.
De wettelijke Amerikaanse instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS. Als Solvinity wordt overgenomen door een onderneming in de VS brengt dit Solvinity onder de reikwijdte van deze wetgeving. Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
De overeenkomsten tussen de Staat en Solvinity bieden aanknopingspunten om ten minste van Solvinity te verlangen dat er technische en organisatorische maatregelen worden getroffen om te waarborgen dat de gegevens waartoe zij toegang heeft op een wijze worden verwerkt die voldoet aan de in de EU geldende regels, zoals die uit de Algemene verordening gegevensbescherming. Welke maatregelen dat zullen zijn vormt onderwerp van de gesprekken tussen de Staat en Solvinity.

Vraag 6

Wat is op dit moment de eigendomsstructuur van de IT-diensten achter DigiD, MijnOverheid en Digipoort? Welke onderdelen zijn in handen van Solvinity, en wat betekent de overname praktisch voor de eigendom en exploitatie van deze cruciale infrastructuur?

Voorzieningen zoals DigiD, MijnOverheid en Digipoort zijn specifieke applicaties ontwikkeld door en voor Logius. De applicaties DigiD en MijnOverheid draaien op het door Solvinity beheerde ICT-infrastructuurplatform «PICARD». Op dit platform kunnen de gebruikersrechten en het beheer per laag (infrastructuur, applicatie, netwerk) verschillen en/of door verschillende partijen worden uitgevoerd.
Het uitgangspunt is dat de Staat der Nederlanden eigenaarsrechten van de software en data van voorzieningen als DigiD, MijnOverheid en Digipoort bezit. Leveranciers hebben, afhankelijk van de dienstverlening, gebruikersrechten om toegang te krijgen om hun beheertaken te kunnen uitvoeren. Er zijn twee vormen van beheer te onderscheiden: technisch beheer en applicatiebeheer. Het technische beheer (o.a. infrastructuur, servers) van het «PICARD» ICT-platform is uitbesteed aan Solvinity.
Het applicatiebeheer dat zich richt op de werking van de applicatie zelf wordt uitgevoerd door eigen Logius medewerkers, eventueel aangevuld met inhuur of uitbesteed. Dit verschilt per voorziening. Beide vormen van beheer zijn uitvoerende taken en staan los van eigendomsrechten t.a.v. software en data.

Vraag 7

Hoe waarborgt u dat andere belangrijke overheidsdiensten, die nu in Nederlandse handen zijn, niet op termijn eveneens kunnen worden overgenomen door buitenlandse partijen? Welke preventieve strategie wordt hierbij door het kabinet gehanteerd?

Het in Nederlandse handen houden van alle bedrijven is op zichzelf geen doel van het kabinet. Nederland hanteert een stelsel van investeringstoetsingen gericht op het mitigeren van risico’s voor de nationale veiligheid. Mocht de beoogde overname onder het bereik van de investeringstoetsing vallen zal het reguliere, zorgvuldige proces daartoe gevolgd worden.
De nieuwe Rijksbrede Strategie IT-sourcing, onderdeel van de Nederlandse Digitaliseringsstrategie (NDS), geeft aandacht aan het verkrijgen van een sterkere regie op digitale autonomie, soevereiniteit en veiligheid. Voor situaties waarin leveranciers worden overgenomen door buitenlandse partijen wordt een handreiking ontwikkeld om de afnemers te helpen met het in kaart brengen van de mogelijke risico’s die daarmee gepaard gaan en de mogelijkheden tot mitigatie.

Vraag 8

Erkent u de bredere zorgen over de afhankelijkheid van buitenlandse cloudaanbieders die in het artikel naar voren worden gebracht? In hoeverre heeft het kabinet concrete stappen gezet om te investeren in digitale autonomie, bijvoorbeeld op het gebied van een nationale of «soevereine» overheidscloud?

Het kabinet erkent de zorgen over de afhankelijkheid van buitenlandse cloudaanbieders. De Rijksoverheid streeft dan ook naar het tot stand komen van een «soevereine overheidscloud» voor kritieke overheidsdienstverlening. Binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt verkend hoe een soevereine overheidscloud eruit kan zien; dit geldt als belangrijke prioriteit. Tevens recent de Visie Digitale Autonomie vastgesteld. Naast het onderstrepen van het belang van digitale autonomie, worden ook de strategische bouwstenen benoemd die nodig zijn om te komen tot een digitale overheid die grip heeft op autonomie, zeggenschap heeft over haar data (soevereiniteit) en cyberveilig en weerbaar is. Deze casus onderstreept het belang van de NDS.

Vraag 9

Hoe verhoudt deze overname zich tot het bestaande Rijksbreed Cloudbeleid? Worden er in dat beleid mechanismen opgenomen om toekomstige overnames van (voormalig-) Nederlandse cloudleveranciers door buitenlandse partijen te beperken?

In het Rijksbreed cloudbeleid is een risicoanalyse verplicht. Hierin moeten ook de risico’s van mogelijke buitenlandse inmenging op de dienstverlening op het gebied van vertrouwelijkheid en beschikbaarheid worden meegewogen. Waar nodig moeten die risico’s worden gemitigeerd, dan wel moet een andere leverancier worden gezocht. Deze risico’s gelden niet voor elke overheidsdienst waardoor een risico-gebaseerde aanpak het gehanteerde mechanisme is.

Vraag 10

Bent u bereid de Kamer halfjaarlijks te informeren over de risico-inschatting, de maatregelen die worden genomen én de mogelijke vervolgacties in het kader van digitale autonomie over Nederlandse overheidswebsites?

Het Forum Standaardisatie voert periodiek onderzoeken3 uit naar de toepassing van open standaarden, de naleving van de «pas toe of leg uit»-lijst en de informatiebeveiliging bij overheidsorganisaties, waarmee zij inzicht geeft in de interoperabiliteit en digitale weerbaarheid van de Nederlandse overheid om daarmee vendor lock-in te voorkomen en kwetsbaarheden in kaart te brengen.
Daarnaast wordt in de eerste helft van 2026, vanuit het NDS Programma, een verkenning uitgevoerd naar realisatie van een overheidsbrede soevereine cloudvoorziening. Deze cloudvoorziening is een belangrijke prioriteit van het NDS programma. Ik zal de uitkomsten van deze verkenning met uw Kamer delen.

Vraag 1

Kunt u aangeven hoe de 200 miljoen euro die de regering voornemens is in de AI (kunstmatige intelligentie)-fabriek te investeren, besteed zal worden?1

Een groot deel van de investering gaat naar de hardware en alle operationele kosten van de AI-geoptimaliseerde supercomputer. In totaal gaat dit om ruim 150 miljoen euro. Het overige deel van de investering, 50 miljoen euro, zal naar het expertisecentrum gaan, die samen met de supercomputer de AI-fabriek zal vormen om geavanceerde AI-modellen te trainen.

Vraag 2

Kunt u een toelichting geven over de technische specificaties van de beoogde AI-fabriek in Groningen?

De AI-fabriek bestaat uit een AI-geoptimaliseerde supercomputer waarin grafische processor units (GPU’s) centraal staan. Deze supercomputer wordt speciaal ontworpen voor high-performance AI-training en efficiënte, laag-latente inferentietaken. Dit wordt ondersteund door een veilig, hoog­snelheidsnetwerk en door dataopslagsystemen. Hoe de supercomputer er precies technisch uit zal komen te zien, is nog afhankelijk van de aanbesteding die door de EuroHPC Joint Undertaking (EuroHPC JU) zal worden uitgevoerd in samenwerking met SURF namens het consortium.
Naast de supercomputer bestaat de AI-fabriek uit een expertisecentrum dat erop is gericht om het verantwoord gebruik van de supercomputer zo goed mogelijk te organiseren, ondersteunen en stimuleren, met het leveren van expertise aan (potentiële) gebruikers, en het organiseren van processen voor toegang tot rekenkracht en kennisdeling binnen het brede nationale AI-ecosysteem.

Vraag 3

Hoe bent u van plan de High Performing Computing (HPC) (supercomputers) te realiseren die noodzakelijk zijn om geavanceerde AI-modellen te ontwikkelen?

De investering in de AI-fabriek in Groningen zal onderdeel worden van het Europese netwerk van AI-geoptimaliseerde (high performance) supercomputers bestaande uit GPU’s, met bijdragen van EuroHPC. Een dergelijk netwerk van krachtige supercomputers en expertisecentra is nodig voor de ontwikkeling van geavanceerde AI-modellen in Nederland en Europa.

Vraag 4

Hoe beziet u de Tsjechische AI-fabriek waar gekozen is voor de installatie van een supercomputer genaamd Karolina, met circa 1.600 centrale verwerkingseenheden (CPU’s) en circa 500 grafische processor units (GPU’s), overwegende dat juist GPU’s voornamelijk gebruikt worden voor het ontwikkelen van geavanceerde AI-modellen? Ziet u deze setup als voorbeeld voor de implementatie van de hardware in Groningen? Zo ja, waarom?

De beoogde supercomputer in Groningen zal net als de Tsjechische AI- supercomputer beschikken over zowel GPU’s als CPU’s. Het precieze aantal is nog afhankelijk van de aanbesteding van de supercomputer, maar in het ontwerp zal de supercomputer in ieder geval over meer GPU’s beschikken dan CPU’s.

Vraag 5

Heeft u invloed op de technische uitwerking van AI-fabriek Groningen? Zo nee, wie beslist hierover? Zo ja, aan welke criteria moet de AI-fabriek Groningen voldoen?

De verantwoordelijkheid voor de technische uitwerking van de AI-fabriek Groningen ligt bij het consortium bestaande uit de Stichting Nederlandse AI-fabriek, SURF BV, Stichting AIC4NL, Samenwerking Noord en TNO. Zoals in de beantwoording van vraag 2 benoemd, zal de EuroHPC JU de aanbesteding uitvoeren in afstemming met SURF. SURF heeft veel ervaring met het ontwerpen, inkopen en exploiteren van high performance computers voor onderzoek en innovatie, zoals de nationale supercomputer Snellius. SURF heeft ook veel ervaring met deelname in EuroHPC.

Vraag 6

Kunt u aangeven of het klopt dat een gebruiker van de AI-fabriek deel moet zijn van het EU Horizon 2020 programma? Zo ja, kunnen nieuwe bedrijven zich hier nog voor aanmelden en hoe? Zo nee, welke personen en bedrijven kunnen in aanmerking komen voor het gebruik van een EU AI-fabriek?

De Nederlandse AI-fabriek maakt onderdeel uit van het EuroHPC-programma, dat Europese samenwerking op het gebied van supercomputing en AI faciliteert. De financiering en het eigenaarschap zijn verdeeld tussen nationale en Europese bijdragen. Een deel van de AI-fabriek wordt nationaal beheerd. Dit betekent dat het consortium en de nationale en regionale financiers bepalen hoe dit deel van de supercomputer en het bijbehorende expertisecentrum gebruikt wordt. Het andere deel valt onder de EuroHPC Joint Undertaking (JU). Voor dit deel gelden de regels en criteria van EuroHPC. Voor zover bekend is het geen verplichting voor een gebruiker van de AI-fabriek om deelnemer te zijn van het Horizon 2020 programma. Voor het nationale deel kunnen innovatieve mkb-bedrijven, onderzoekers en overheden toegang aanvragen. De toegang verloopt via een call-mechanisme, dat nog moet worden ingericht. Dit mechanisme bepaalt hoe aanvragen worden ingediend, beoordeeld en ondersteund.

Vraag 7

Kunt u toelichten waarom de verleende subsidie door zes verschillende ministeries wordt verstrekt?

De AI-fabriek in Groningen richt zich op het ontwikkelen en beschikbaar stellen van hoogwaardige rekenkracht en AI-expertise die relevant is voor meerdere maatschappelijke en economische sectoren. De zes ministeries (en regio Groningen en Noord-Drenthe) die bijdragen aan deze subsidie hebben ieder een specifiek belang bij de toepassingen van AI binnen hun beleidsdomeinen, zoals economie/industrie, defensie/veiligheid, gezondheidszorg, landbouw, publieke diensten en onderzoek en onderwijs. Door gezamenlijk te investeren, kunnen de ministeries de benodigde schaal en impact van de AI-fabriek realiseren, die afzonderlijk door één ministerie niet mogelijk zouden zijn.

Vraag 8

Mag de Nederlandse overheid aanspraak maken op het gebruik van de AI-fabriek in Groningen? Zo ja, in welke hoedanigheid?

Ja, de Nederlandse overheid kan gebruik maken van de AI-fabriek in Groningen. Dat kan op verschillende manieren. Via de inhoudelijke calls voor aanvragen voor rekenkracht, door het aanvragen van rekenkracht voor AI-modeltraining en door gebruik te maken van de mogelijkheden van het AI-expertisecentrum.

Vraag 9

Kunt u deze vragen elk afzonderlijk en zo spoedig mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Techsamenwerking in gevaar: Florida plaatst Nederlandse universiteiten op zwarte lijst»?1

Ja.

Vraag 2

Klopt het dat Amerikaanse bedrijven de samenwerking met Nederlandse universiteiten stoppen als gevolg van anti-BDS-wetgeving?2

Ik heb geen aanwijzingen dat Amerikaanse bedrijven de samenwerking met Nederland stoppen als gevolg van wetgeving tegen de Boycott, Divestment, Sanctions(BDS) beweging. Het bericht verwijst naar specifieke wetgeving uit de Staat Florida. Florida kent sinds 2016 anti-boycotwetgeving die het publieke pensioenfonds van de staat – de Florida State Board of Administration (SBA) – verplicht om elk kwartaal een geactualiseerde lijst te publiceren van «onderzochte bedrijven die Israël boycotten» en de betreffende bedrijven hierover schriftelijk te informeren. Het is verboden voor het fonds om directe aandelen te verwerven in de bedrijven op die lijst. Voor zover bekend heeft deze wetgeving tot nog toe geen gevolgen gehad voor Nederlandse bedrijven.
Afgelopen juni heeft Florida de bestaande anti-boycotwetgeving uitgebreid, waardoor meerdere publieke beleggings- of pensioenfondsen niet langer mogen investeren in onderwijsinstellingen die een academische boycot van Israël voeren. De lijst die nu circuleert, is afkomstig van het publieke pensioenfonds SBA. SBA heeft de bestaande lijst geactualiseerd naar aanleiding van de voorgenoemde wetswijziging. Dit fonds investeert zelf niet in Nederlandse kennisinstellingen. De verwachte directe impact van deze lijst op Nederlandse kennisinstellingen is daardoor nihil.

Vraag 3

Heeft u inzicht in welke universiteiten door de staat Florida op een zogenaamde «zwarte lijst» zijn geplaatst? Zo ja, is het duidelijk welke criteria daarbij zijn gehanteerd?

De betreffende lijst is gepubliceerd door de SBA van Florida. De Nederlandse onderwijs- en onderzoeksinstellingen die op de lijst staan vermeld zijn de Technische Universiteit Eindhoven, de Erasmus Universiteit Rotterdam (met een aparte vermelding van de Rotterdam School of Management), de Gerrit Rietveld Academie, de Radboud Universiteit, de Koninklijke Academie van Beeldende Kunsten, de Technische Universiteit Delft, de Universiteit Utrecht, de Universiteit van Tilburg, en de Universiteit van Amsterdam (met een aparte vermelding van de Amsterdam School for Cultural Analysis).
Bij het opstellen van de lijst hanteert de SBA de criteria zoals meegegeven in de statelijke wetgeving van Florida. Zoals hierboven is aangegeven, vereist deze wetgeving sinds juni 2025 dat ook instellingen die participeren in «academische boycots» dienen te worden opgenomen in de lijst. De Staat Florida definieert een academische boycot van Israël als een situatie waarin een onderwijsinstelling restrictieve beleidsmaatregelen voert, of op andere wijze deelneemt aan activiteiten die resulteren in het beperken van bestaande of potentiële academische relaties op basis van banden met de staat Israël of met diens academische, onderwijs- of onderzoeksinstellingen. Binnen de gehanteerde definitie valt ook het collectief aansprakelijk stellen van onderzoekers, (toekomstige) studenten of gastdocenten voor vermeend aanstootgevend gedrag van de staat Israël. Een onderwijsinstelling wordt beschouwd als deelnemer aan een academische boycot van Israël wanneer één van de onderdelen van een instelling (bijvoorbeeld een vakgroep of faculteit) een boycot voert.3
De SBA claimt de selectie van opgenomen entiteiten op de lijst gemaakt te hebben op basis van publiek beschikbare informatie en gesprekken die het fonds voert met belanghebbenden en andere investeringsfondsen. Het is niet duidelijk welke informatie precies heeft geleid tot de toevoeging van de genoemde Nederlandse onderwijs- en onderzoeksinstellingen.

Vraag 4

Is u bekend of andere Amerikaanse staten vergelijkbare maatregelen hebben getroffen of in voorbereiding hebben? Zo ja, om welke staten gaat het?

Veel Amerikaanse staten kennen een vorm van anti-boycotwetgeving met betrekking tot Israël. In de meeste staten richt de wetgeving zich op bedrijven die overheidsdiensten leveren of op publieke fondsen die in bedrijven investeren. Florida is voor zover bekend de enige Amerikaanse staat die onderwijsinstellingen en academische boycots expliciet opneemt in de wet.

Vraag 5

Wat is de verwachte impact van deze ontwikkeling op Nederlandse universiteiten en wat voor gevolgen heeft dit voor hun onderzoek?

De huidige lijst is afkomstig van een individueel fonds uit één Amerikaanse staat. Dit fonds investeert zelf niet in Nederlandse kennisinstellingen. De verwachte directe impact van deze lijst op Nederlandse kennisinstellingen is daardoor nihil.

Vraag 6

Heeft u inzicht in de eventuele schade aab de Nederlandse kennisinfrastructuur, bijvoorbeeld op het gebied van chips maar ook medische innovatie, nu Amerikaanse instellingen hun samenwerking met Nederlandse universiteiten lijken op te schorten?

Ik heb geen signalen ontvangen dat Amerikaanse instellingen hun samenwerking met Nederlandse universiteiten opschorten. Ik verwacht daarom geen impact op de Nederlandse kennisinfrastructuur.

Vraag 7

Is er sprake van overleg of coördinatie tussen de Nederlandse overheid en kennisinstellingen enerzijds en de Amerikaanse staten anderzijds? Zo ja, wat is daarin uw inzet?

Mijn ministerie voert geen regulier overleg met afzonderlijke staten. Wel is er contact op federaal niveau. Samen met de Minister van Economische Zaken, de Minister van Buitenlandse Zaken en de Minister van Buitenlandse Handel en Ontwikkelingshulp zet ik me in om de samenwerking met de Verenigde Staten op het gebied van wetenschap en innovatie te behouden en versterken, onder meer via dialoog en uitwisseling.
Kennisinstellingen onderhouden over het algemeen geen regulier contact met de statelijke overheden. Zij staan direct in contact met de lokale kennisinstellingen en/of wetenschapsfinanciers.

Vraag 8

Bent u bereid om contact op te nemen met de genoemde Nederlandse universiteiten om te kijken wat er nodig is om de voortgang van onderzoek en wetenschap te waarborgen? Zo nee, waarom niet?

Ik sta doorlopend in contact met onze universiteiten en hogescholen over de impact van ontwikkelingen in de Verenigde Staten op het onderwijs en onderzoek in Nederland. De Vereniging Universiteiten van Nederland (UNL) en de Vereniging Hogescholen (VH) hebben mij laten weten dat enkele universiteiten en hogescholen een informerend bericht hebben gehad van de SBA over de toevoeging van hun instelling aan de lijst. Vanwege het ontbreken van een financieringsrelatie met de SBA verwachten UNL en de VH vooralsnog niet dat dit bericht impact zal hebben op de voortgang van onderzoek en wetenschap bij de universiteiten en hogescholen die op de lijst vermeld staan.

Vraag 9

Bent u bereid om maatregelen te treffen om de schade voor Nederlandse instellingen zo veel als mogelijk te beperken en zijn er eventuele alternatieve samenwerkingsroutes mogelijk? Zo nee, waarom niet?

Zoals hiervoor aangegeven, verwacht ik geen schade voor Nederlandse instellingen.

Vraag 1

Bent u ervan op de hoogte dat de Europese Commissie in het komende jaar een nieuw besluit zal nemen over de voorwaarden waaronder de 2GHz-radiofrequentie, ook wel bekend als het S-band spectrum, gebruikt mag worden?

Ja. Het gaat hier specifiek om de banddelen 1.980–2.010 MHz en 2.170–2.200 MHz, die bij besluit van 14 februari 2007 op Europees niveau zijn geharmoniseerd voor de implementatie van systemen voor mobiele satellietdiensten.1 Beschikking 626/2008/EG2 van het Europees Parlement en de Raad van 30 juni 2008 bepaalt dat de rechten voor 18 jaar worden verleend, gerekend vanaf het moment van het selectiebesluit. Het selectiebesluit is genomen op 13 mei 2009 en de Commissie werkt op dit moment aan de vervolgstappen.3

Vraag 2

Bent u ervan op de hoogte dat de twee bedrijven1 die in 2007 voor 20 jaar de licenties van het spectrum in handen kregen inmiddels zijn overgekocht door Amerikaanse partijen?2 Wat vindt u ervan dat deze licenties voor satellietcommunicatie niet meer in Europese handen zijn?

Ja, ik ben op de hoogte van de genoemde overnames. Ik vind het van belang dat het spectrum voor mobiele satellietdiensten na 2027 toegankelijk zal zijn voor partijen die interesse hebben in het aanbieden van diensten in deze band onder de door de Commissie gestelde voorwaarden. Ik zal richting de Europese Commissie bepleiten om zogenoemde «wholesale-verplichtingen» op te nemen in een eventuele nieuwe beschikking, dat wil zeggen dat andere partijen gebruik kunnen maken van het netwerk om diensten aan te bieden. Het opnemen van een dergelijke verplichting voorkomt het ontstaan van een risicovolle strategische afhankelijkheid van één of twee partijen.

Vraag 3

Hoe reageert u op het gegeven dat het Amerikaanse SpaceX voor 17 miljard dollar aan communicatiefrequentie koopt bij EchoStar Corporation om particulier te gebruiken in het netwerk van Starlink?3 Is dit in lijn met uw visie op de vraag hoe de 2GHz-frequentie gebruikt zou moeten worden?

Het is nog onbekend of de Europese frequentierechten van EchoStar ten aanzien van de banddelen 1.980–2.010 MHz en 2.170–2.200 MHz onderdeel uitmaken van de deal die EchoStar heeft gesloten met SpaceX. In algemene zin ben ik geen voorstander van het ontstaan van afhankelijkheid van één of twee individuele partijen. Zie hiertoe ook het antwoord onder 2.

Vraag 4

Kunt u het vervolgproces toelichten over de vraag hoe de voorwaarden worden opgesteld waaronder de 2GHz-frequentie in de toekomst gebruikt mag worden? Op welke momenten vindt hierover besluitvorming plaats en wanneer worden er onomkeerbare besluiten genomen?

De Europese Commissie beschikt over de bevoegdheid om een voorstel te doen over voorwaarden van gebruik van de 2 GHz-banddelen die Europees geharmoniseerd zijn. De Europese Commissie wordt hierin bijgestaan door het Comité voor Communicatie («CoCom»), zoals vastgelegd in artikel 118 van de Telecomcode.7 Indien de commissie een voorstel doet voor aanpassing van de geldende besluiten is de gewone wetgevingsprocedure van toepassing.8 Dit betekent dat een nieuw voorstel wordt voorgelegd aan het Europees Parlement en de Europese Raad. De instemming van beide gremia is vereist voor de inwerkingtreding van een eventueel nieuw voorstel dat de huidige EU-besluiten met betrekking tot de 2 GHz-banddelen zou vervangen. De Europese Commissie heeft momenteel nog geen aankondiging gedaan ten aanzien van een nieuw voorstel.

Vraag 5

Heeft de 2GHz-frequentie een strategisch belang, bijvoorbeeld voor defensieve of civiele doeleinden? Kunt u schetsen op welke manieren de frequentie in de komende 18 jaar gebruikt kan worden?

In februari 2024 heeft de Radio Spectrum Policy Group (hierna: «RSPG») de Europese Commissie geadviseerd over de toekomst van de 2 GHz-banddelen.9 De RSPG bestaat uit vertegenwoordigers uit alle lidstaten die de Europese Commissie adviseren over Europees spectrumbeleid. In dit advies zijn verschillende scenario’s gepresenteerd over op welke manier deze banddelen gebruikt zouden kunnen worden. De scenario’s zijn gebaseerd op input van Europese stakeholders, die tijdens de totstandkoming van het advies in de periode van 9 november 2023 tot 21 december 2023 zijn geconsulteerd.10 De gepresenteerde scenario’s zijn: 1. Geen nieuwe bandindeling, huidige situatie met twee vergunninghouders voortzetten; 2. Verschillende nieuwe bandindelingen voor meerdere satellietoperators of voor innovatieve toepassingen die minder bandbreedte dan satellietoperators nodig hebben. Per scenario is eveneens gekeken naar de mogelijke voordelen voor de Europese Unie. Met inachtneming van de bestemming zijn er verschillende toepassingen denkbaar zowel ten aanzien van commercieel- als overheidsgebruik van de frequentieruimte.

Vraag 6

Is bij u bekend of door het directoraat-generaal Defensie en Ruimte (DEFIS) een behoefte is geformuleerd om de 2GHz-frequentie voor het IRIS2-netwerk te gebruiken? Zo ja, kunt u toelichten wat deze behoefte is?

Nee, er is geen formeel verzoek bij mij bekend.

Vraag 7

Wat is uw visie op de ontwikkeling van een «direct-to-device» functie, waarmee communicatie tussen satellieten en doorsnee smartphones mogelijk wordt? Verwacht u dat dit een veelgebruikte toepassing gaat zijn voor consumenten of dat dit strategische toepassing voor defensie zal ondersteunen? Voor welk van deze doeleinden zal de 2GHz-frequentie in de toekomst worden ingezet?

Direct-to-device communicatie, ook wel D2D genoemd, kan in verschillende frequentiebanden verzorgd worden en niet alleen in de onderhavige specifieke banddelen van de 2 GHz (1.980–2.010 MHz en 2.170–2.200 MHz). In juni 2025 heeft de RSPG de Europese Commissie geadviseerd over direct-to-device connectiviteit en de mogelijke varianten daarvan.11 Hierin is onder andere onderscheid gemaakt in direct-to-device in IMT banden (banden bestemd voor mobiele communicatie) en in MSS banden (banden bestemd voor satellietdiensten). Het kabinet onderschrijft de analyse in het RSPG advies. De verwachting is dat er binnen Nederland weinig vraag zal zijn naar D2D-diensten met betrekking tot IMT. Gelet op de uitstekende dekking die de mobiele operators bieden zijn er nagenoeg geen gebieden waar er geen goede mobiele netwerkdekking aanwezig is.

Vraag 8

Deelt u de zorgen dat Deutsche Telekom, een (toekomstig) afnemer van de «direct-to-device» diensten van Starlink,4 belang heeft bij het verlenen van de 2GHz-frequentie aan een bedrijf dat zaken doet met SpaceX en tegelijkertijd betrokken is bij de besluitvorming van de Europese Commissie?

Het besluitvormingsproces ligt bij de Europese Commissie. Indien de commissie een nieuw voorstel doet is de gewone wetgevingsprocedure hierbij van toepassing, zoals aangegeven in het antwoord op vraag 4. Het besluitvormingsproces ligt niet bij private partijen. Deutsche Telekom is als zodanig niet betrokken bij de besluitvorming van de Europese Commissie.

Vraag 9

Heeft u kennisgenomen van het adviesrapport van Detecon, een consultancybedrijf dat onder Deutsche Telekom valt, waarin de Europese Commissie wordt geadviseerd over de voorwaarden waaronder de 2GHz-frequentie in de toekomst verleend moet worden?5 Wat is uw reactie op dat rapport?

Ja. Het rapport maakt onderdeel uit van het besluitvormingsproces en dient als advies aan de Europese Commissie.

Vraag 10

Hoe borgen de Europese Commissie en lidstaten de onafhankelijkheid van de adviezen die worden betrokken bij de besluitvorming over het (mogelijke) toekomstige gebruik van de licenties voor de 2GHz-frequentie?

Het gaat hierbij om een advies aan de Europese Commissie met betrekking tot het (Europese) regelgevende kader ten aanzien van het geharmoniseerde deel van de 2 GHz-frequentieband. Het rapport is onder verantwoordelijkheid van de Europese Commissie tot stand gekomen. In algemene zin wijst de Europese Commissie onafhankelijke experts aan voor de beoordeling van inschrijvingen indien er sprake is van een aanbestedingsprocedure.14 In dit specifieke geval heeft de Commissie een tender met voorwaarden uitgeschreven.15

Vraag 11

Welke kaders gelden er voor de wijze waarop de Europese Commissie de licenties voor dit spectrum vaststelt? Aan welke voorwaarden moeten de licentiehouders (gaan) voldoen? Hoe wordt gewaarborgd dat deze licenties ten goede komen aan de Europese economie en autonomie?

De kaders voor het gebruik van dit spectrum zijn vastgelegd in beschikking 626/2008/EG, waarin ook is vastgelegd aan welke voorwaarden partijen moeten voldoen.16 Er is vooralsnog geen nieuw kader opgesteld door de Europese Commissie.
Het huidige kader omvat een vergelijkende selectieprocedure, waarbij aanvragers onder andere moeten aantonen dat hun mobiele satellietsysteem het vereiste technische en commerciële ontwikkelingsniveau heeft bereikt.
In de beschikking waarin is bepaald dat de 2 GHz-banddelen Europees geharmoniseerd worden voor de implementatie van systemen voor mobiele satellietdiensten, is aangegeven welke doelen deze harmonisatie dient. Zo is hier onder andere in vermeld dat pan-Europese telecommunicatie een verbetering kan betekenen van de dienstverlening in plattelandsgebieden in de Europese Unie en zo de digitale kloof op geografisch niveau kunnen verkleinen. Ook is aangegeven dat de invoering van nieuwe MSS-systemen tevens een bijdrage zou kunnen leveren aan de ontwikkeling van de interne markt en de mededinging kunnen verbeteren door het aanbod en de beschikbaarheid van pan-Europese diensten en eind-tot-eindverbindingen uit te breiden en doelmatige investeringen aan te moedigen. Bij de weging in de vergelijkende selectieprocedure zijn de voordelen voor de consument en algemene belangen als veiligheid meegenomen.

Vraag 12

Wat zijn de uitkomsten van de consultatieronde van de Commissie bij de belanghebbenden rond deze spectrumbanden?6 Welke belanghebbenden zijn er? Zijn er Nederlandse belanghebbenden en hoe worden hun belangen meegewogen in de besluitvorming?

Een samenvatting van de uitkomsten van de consultatieronde zijn op 10 november jl. gepubliceerd door de Europese Commissie: Summary report of the Targeted Consultation on Mobile Satellite Services | Shaping Europe’s digital future. Hierbij zijn ook de niet vertrouwelijke reacties op de consultatie gepubliceerd. Hier zit geen reactie van een Nederlandse belanghebbende bij. In aanvulling hierop is door mij aan de bekende Nederlandse belanghebbenden een uitvraag gedaan naar de behoefte om deze specifieke banddelen in gebruik te nemen. De uitkomsten van deze uitvraag zullen gebruikt worden ter bepaling van het Nederlandse standpunt richting de Europese Commissie.

Vraag 13

Heeft Nederland een zienswijze over de voorwaarden waaronder de Europese Commissie voor de komende achttien jaar het gebruik van het 2GHz-frequentie moet aanbieden? Zo ja, kunt u die toelichten?

Het kabinet onderschrijft de adviezen over mogelijke scenario’s voor de 2 GHz-banddelen zoals deze zijn opgesteld door de RSPG. Zie hiervoor het antwoord op vraag 5.

Vraag 14

Bent u het ermee eens dat toegang tot de 2GHz-frequentie niet aan de hoogste bieder moet worden verkocht, maar aan partijen die het maatschappelijk en strategische belang van de Europese Unie dienen?

De selectiecriteria in het huidige kader voor toegang tot de 2 GHz-banddelen zijn opgenomen in beschikking 626/2008/EG18, en betreffen een vergelijkende toets. Onderdelen van de weging zijn onder andere voordelen voor de consument en mededinging (met als subcriteria het aantal eindgebruikers en datum waarop de ononderbroken levering van commerciële diensten begint), spectrumefficiëntie (met als subcriteria de totale hoeveelheid van het vereiste spectrum en de geaggregeerde datastroomcapaciteit), pan-EU geografische dekking en de mate waarin overheidsbeleidsdoelstellingen worden bereikt (waaronder levering van diensten van algemeen belang die bijdragen tot de bescherming van de volksgezondheid, veiligheid of zekerheid van de burgers, integriteit en veiligheid van diensten). Een financieel bod is geen onderdeel van de vergelijkende selectieprocedure zoals in de beschikking is vastgelegd.

Vraag 15

Bent u het ermee eens dat, gezien vanuit het perspectief van strategische autonomie en gezien de gespannen geopolitieke situatie, het van het grootste belang is dat de marktpartijen die toegang krijgen tot de 2GHz-frequentie volledig Europees zijn?

Ik ben het er mee eens dat Europese partijen toegang moeten krijgen tot dit spectrum. Het opleggen van een wholesale-verplichting zou dit kunnen bewerkstelligen. Zie hiertoe meer uitgebreid de antwoorden op vraag 2 en 3.

Vraag 16

Bent u het ermee eens dat het niet wenselijk is dat slechts één of enkele zeer grote telecomaanbieder(s) uit de grootste Europese landen toegang hebben tot dit spectrum ten koste van aanbieders uit kleinere landen?

Ja, daar ben ik het mee eens. Zie ook mijn overweging over het invoeren van een wholesaleverplichting, zoals uiteengezet onder vraag 2. Ten algemene is in de kabinetsappreciatie op het witboek digitale infrastructuur van de Europese Commissie aangegeven dat het kabinet zich altijd hard heeft gemaakt voor aanmoedigen en behouden van voldoende concurrentie op de Europese telecommarkten.19 Het kabinet beschouwt de bestaande verplichtingen voor dominante aanbieders om concurrenten toe te laten op hun netwerken als een belangrijk onderdeel van het telecomkader, mits hiermee de nationale veiligheid niet in het geding komt. Dit speelt een belangrijke rol om betaalbare en hoogwaardige dienstverlening te waarborgen voor Europese consumenten, bedrijven en publieke instellingen.

Vraag 17

Bent u het ermee eens dat het wenselijk is dat er rond de 2GHz-frequentie een volwaardige wholesalemarkt (groothandelsmarkt) ontstaat, waar ook telecomaanbieders uit kleinere Europese landen toegang tot hebben en hierop innovatieve diensten kunnen ontwikkelen?

Ja, zie hiertoe het antwoord op vraag 2.

Vraag 18

Bent u bereid om aan te geven bij de Europese Commissie dat Nederland als voorwaarde stelt dat de 2GHz-frequentie alleen voor Europese partijen beschikbaar komt, en dat hierbij uitgesloten wordt dat bedrijven achteraf door niet-Europese partijen worden overgekocht?

Zoals vermeld in de antwoorden op vragen 2 en 3 ben ik in algemene zin geen voorstander van het ontstaan van afhankelijkheid van één of twee individuele partijen, en is mijn standpunt dat het van belang is dat het spectrum voor mobiele satellietdiensten na 2027 toegankelijk zal zijn voor partijen die interesse hebben in het aanbieden van diensten in deze band onder de door de Commissie gestelde voorwaarden.
Ik zal vanuit het perspectief van het voorkomen van afhankelijkheden richting de Europese Commissie bepleiten om zogenoemde «wholesale-verplichtingen» op te nemen, dat wil zeggen dat andere partijen gebruik kunnen maken van het netwerk om diensten aan te bieden, indien aanpassing van de onderliggende besluiten aan de orde is gericht op het aanwijzen van nieuwe partijen na 2027. Het opnemen van een dergelijke verplichting voorkomt het ontstaan van een risicovolle strategische afhankelijkheid van één of twee partijen.

Vraag 19

Is het mogelijk om in de voorwaarden die de Europese Commissie stelt op te nemen dat de partijen die de 2GHz-frequentie mogen gebruiken, worden verplicht om andere betrouwbare partijen wholesale toegang tot de frequentie te verlenen, zodat zij hier ook gebruik van kunnen maken?

Vooralsnog geldt het huidige kader, zoals omschreven in het antwoord op vraag 11. Afhankelijk van de voorstellen van de Europese Commissie, die op dit moment nog niet bekend zijn, zullen er mogelijkheden zijn om de voorwaarden aan te passen. In dat geval zal ik richting de Europese Commissie pleiten voor het opnemen van «wholesale-verplichtingen». Zie hiertoe ook mijn antwoord op vraag 2.

Vraag 20

Bent u eveneens bereid om ervoor te pleiten dat de gegunde partijen op nationaal en internationaal niveau toegang moeten verlenen tot de 2GHz-frequentie aan andere betrouwbare partijen, zodat er geen risico ontstaat op een mono- of duopolie in heel Europa?

Zie hiervoor het antwoord op vraag 2.

Vraag 21

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, nog vóórdat er onomkeerbare stappen worden gezet door de Europese Commissie?

Ja.

Vraag 1

Bent u bekend met het bericht «Belastingdienst verplaatst mail naar Microsoft, ondanks zorgen over meekijken VS»?1

Ja.

Vraag 2

Maakt de overstap van de Belastingdienst naar Microsoft 365 onze overheid meer of minder afhankelijk van de Verenigde Staten?

De overstap naar M365 betekent inderdaad een vergroting van de afhankelijkheid van de Verenigde Staten. De Belastingdienst heeft de overgang naar de cloud afgewogen conform het cloudbeleid van de overheid. In de huidige situatie en in andere afgewogen scenario’s, zoals de keuze voor een on-premises oplossing, is ook sprake van (grote) afhankelijkheid van de Verenigde Staten.
Om de risico’s zoveel mogelijk te reduceren heeft de Belastingdienst een exitstrategie uitgewerkt voor het geval er (plotseling) een vertrek uit de cloudomgeving moet plaatsvinden. Door het inrichten van een lokale back-up functionaliteit zorgt de Belastingdienst ervoor dat documenten altijd beschikbaar blijven. De exitstrategie wordt vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 3

Is er, conform de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315), een onafhankelijke onderbouwing opgesteld voor de noodzaak van de overstap naar Microsoft? Zo ja, kunt u deze delen?

De motie-Kathmann2 is in maart 2025 aangenomen. De Belastingdienst is reeds in 2021 begonnen met het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. Het traject is daarmee ingezet voordat deze motie, waarin wordt verzocht om een onafhankelijke onderbouwing, is aangenomen.
Bij de aanvang van het traject is uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365. De uitrol van de nieuwe werkplekken is inmiddels afgerond. De huidige situatie is dat er vanaf de nieuwe 40.000 werkplekken wordt doorgewerkt in de verouderde en inefficiënte werkomgeving omdat M365 nog niet is geïmplementeerd. Dit terwijl er bij de inrichting van de nieuwe werkplekken rekening is gehouden met de implementatie van M365. Doordat M365 nog niet is geïmplementeerd bestaan er nu inefficiënte manieren om vanaf de nieuwe werkplekken met de beperkingen van de oude werkomgevingen om te gaan. Deze workarounds resulteren in een productiviteitsverlies.
Gezien de recente (geo)politieke en maatschappelijke ontwikkelingen heeft de Belastingdienst de overstap naar M365 op de nieuwe werkomgeving getemporiseerd en eerst een aantal alternatieve scenario’s zorgvuldig uitgewerkt en afgewogen. Daarbij heeft de Belastingdienst onderzocht of het mogelijk was om af te wijken van het voorgenomen scenario de overstap naar M365 te maken. Dit blijkt niet realistisch, omdat de nieuwe werkplekken inmiddels al breed zijn uitgerold
In het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt wordt bevonden voor de Belastingdienst, dan kost het nog twee tot drie jaar om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van een productiviteitsverlies.
In bijlage 1 vindt u een nota van 27 juni jl. gericht aan de Bestuursraad van het Ministerie van Financiën. Daarin wordt uitgebreid ingegaan op de uitgewerkte en afgewogen scenario’s.

Vraag 4

Waarom houdt u het mailverkeer niet in eigen beheer, zoals verzocht in de motie-Kathmann/Six Dijkstra (Kamerstuk 36 740, nr. 20)? Hoe bent u van plan om deze motie alsnog uit te voeren?

De Belastingdienst heeft de optie om het mailverkeer in eigen beheer te houden verkend. Zowel het continueren van de huidige werkomgeving, als het implementeren van een hybride on-premises oplossing zoals SSC-ICT reeds heeft gedaan. Zoals u heeft kunnen lezen in de Kamerbrief van 2 oktober jl. heeft de Belastingdienst ook een verkenning gedaan naar de mogelijkheid om de functionaliteiten voor onder andere de mail onder te brengen bij SSC-ICT. Deze opties zijn niet realiseerbaar op de korte of middellange termijn.
Om uitvoering te geven aan deze motie volgt de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven.

Vraag 5

Acht u de keuze voor de Belastingdienst om de eigen ICT te verhuizen naar Microsoft in het belang van de strategische autonomie, waarover de demissionaire premier op 30 september 2025 nog uitsprak dat bestuurders dit prioriteit moeten geven?2

Ik onderschrijf de uitspraak van de Minister-President om prioriteit te geven aan strategische autonomie. Daarom wil ik graag nogmaals benadrukken dat de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst. De overstap heeft betrekking op de kantoorautomatisering. Daarvoor verwijs ik naar de reeds gegeven antwoorden en de brief die u op 2 oktober jl. heeft ontvangen.

Vraag 6

Acht u het onafhankelijk en onomstotelijk bewezen dat er geen Europese oplossing voor de Belastingdienst beschikbaar is? Uit welke onafhankelijke onderbouwing blijkt dit?

Zoals ik in het antwoord op vraag 3 heb aangegeven, heeft de Belastingdienst een aantal alternatieve scenario’s uitgewerkt en zorgvuldig afgewogen, maar er is op dit moment en binnen afzienbare termijn geen geschikt alternatief beschikbaar voor de huidige situatie waarin de Belastingdienst zich bevindt. Bij de inrichting van de nieuwe werkplekken is rekening gehouden met de implementatie van M365. Door dat de werkplekken inmiddels zijn uitgerold, maar M365 nog niet is geïmplementeerd, wordt er doorgewerkt in de oude omgeving. De nieuwe werkplekken zijn daarvoor niet ingericht. Het doorwerken in de verouderde en inefficiënte werkomgeving via de nieuwe werkplekken resulteert in workarounds. Daardoor is er nu sprake van productiviteitsverlies.
In het geval dat er in de toekomst wel een oplossing beschikbaar komt dat geschikt is voor de situatie waarin de Belastingdienst zich bevindt, dan kost het nog twee tot drie jaar om dit te implementeren. Gedurende deze tijd wordt er dan doorgewerkt vanaf de nieuwe werkplekken in de verouderde werkomgeving en blijft er sprake van een productiviteitsverlies.

Vraag 7

Hoeveel en welke Europese alternatieven heeft u precies onderzocht en waarom waren deze ontoereikend? Kunt u de documentatie delen waaruit blijkt dat deze alternatieven niet voldoen aan de gestelde eisen?

Zoals u heeft kunnen lezen in de Kamerbrief van 2 oktober jl. en het antwoord op vraag 3 is de Belastingdienst reeds in 2021 begonnen met het vervangen van de werkplekken. De (geo)-politieke situatie was destijds anders, waardoor het versterken van de autonomie in de afwegingen een beperktere rol speelde. Daarom heeft destijds geen uitgebreide verkenning naar Europese alternatieven plaatsgevonden en is er uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365 en heeft de Belastingdienst deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement voor de Rijksoverheid (SLM Rijk). Het SLM Rijk helpt onderdelen van de Rijksoverheid om zich beter te positioneren tegenover leveranciers door middel van het bundelen van de onderhandelings- en inkoopkracht. Namens het rijk heeft SLM Rijk via deze weg gunstige (contract)voorwaarden bedongen bij Microsoft.
De overstap naar M365 is getemporiseerd naar aanleiding van recente (geo)politieke en maatschappelijke ontwikkelingen zodat onderzocht kon worden of er afgeweken kon worden van dit scenario. Daaruit blijkt, dat zelfs als er een geschikt Europees alternatief bestaat voor de Belastingdienst, de implementatie daarvan nog steeds twee tot drie jaar in beslag neemt. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving vanaf de nieuwe werkplekken die daarvoor niet zijn ingericht. Daarmee blijft er dus sprake van een significant productiviteitsverlies.
De Belastingdienst volgt de bewegingen en ontwikkelingen in de buitenwereld nauwlettend en kijkt actief naar de mogelijkheden van soevereine en of Europese cloudoplossingen. In dit kader volgt de Belastingdienst onder andere de ontwikkelingen bij BZK rondom «Mijn Bureau». Mijn Bureau is een open source samenwerkingsplatform voor de overheid, publieke sector en bedrijven dat wordt ontwikkeld onder regie van het Rijksbrede programma Beter Samen Werken (OpenBSW). De Belastingdienst neemt actief deel aan de ontwikkelingen rond dit platform. Momenteel bevindt dit platform zich echter nog in een vroege testfase. Zie voor de stand van ontwikkelingen in Europa ook de Kamerbrieven van de Minister van Economische Zaken van 17 januari 20254 en 23 mei 2025.5

Vraag 8

Welke eisen voor functionaliteit, veiligheid en continuïteit hanteert de Belastingdienst? Zijn deze zodanig geformuleerd dat ze niet voorsorteren op een overstap naar Microsoft 365?

De eisen voor functionaliteit, veiligheid en continuïteit volgen uit de vereisten van alle rijksbrede relevante wetgeving. Voorbeelden hiervan zijn o.a. ISO-standaarden, DUTO, BIO, NIS 2 en Archiefwet. De Belastingdienst maakt gebruik van het framework contract van de overheid (SLM Rijk) met Microsoft waarin waarborgen zijn opgenomen om te voldoen aan alle geldende wet- en regelgeving.

Vraag 9

Kunt u alle documentatie over de risico-afweging die is gemaakt om de keuze voor Microsoft 365 te onderbouwen met de Kamer delen, waaronder de aanvullende afspraken die zijn gemaakt met de leverancier?

De risico-analyse wordt vertrouwelijk ter inzage aan uw Kamer aangeboden.

Vraag 10

Kunt u de gekozen exitstrategie met de Kamer delen? Is negen maanden om over te stappen van de Microsoft 365-omgeving snel genoeg in het geval van een acute stopzetting van de dienstverlening door de leverancier?

De exitstrategie wordt vertrouwelijk ter inzage aan uw Kamer worden aangeboden.
De exitstrategie kent twee scenario’s: een scenario voor gepland vertrek als gevolg van contractbeëindiging door de Belastingdienst in het geval er een overstap wordt gemaakt naar een andere aanbieder en een scenario waarin er een acuut vertrek moet plaatsvinden als gevolg van geopolitieke ontwikkelingen. De door u genoemde negen maanden horen bij het scenario voor een gepland vertrek, bijvoorbeeld in het geval dat er een migratie plaatsvindt naar een andere aanbieder. De Belastingdienst heeft conform het contract met Microsoft negen maanden de tijd om de data uit de M365-omgeving over te zetten naar de gewenste omgeving.
Voor de situatie waarin er acuut een vertrek uit de cloudomgeving moet plaatsvinden zijn diverse maatregelen getroffen om dat mogelijk te maken en de gevolgen voor de dienstverlening zoveel mogelijk te beperken.

Vraag 11

Bent u zich ervan bewust dat Amerikaanse bedrijven die gegevens op Europees grondgebied stallen, alsnog moeten voldoen aan surveillanceverplichtingen die volgen vanuit nationale wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act?

Ja. De CLOUD-act maakt het mogelijk dat de Amerikaanse overheid, waaronder opsporingsdiensten, toegang krijgen tot (persoons-)gegevens van Nederlandse burgers. Gelet op de extraterritoriale werking van de CLOUD-act is toegang ook mogelijk als de data buiten de Verenigde Staten staat. Er zijn ook andere landen met dergelijke wetten en bijbehorende verplichtingen. Om eventuele risico’s hieromtrent tegen te gaan, bevat het Rijksbreed cloudbeleid 2022 en het bijbehorende implementatiekader «risicoafweging cloudgebruik» onder meer de plicht om een risicoafweging te maken. Ook bevat het specifieke eisen voor omgang met persoonsgegevens en is het niet toegestaan staatsgeheim gerubriceerde gegevens in de cloud te plaatsen. Een risicoafweging kan als uitkomst hebben dat dit risico acceptabel is.
Ten aanzien van de CLOUD-act geldt dat uit onderzoek van Greenberg Traurig blijkt dat: «[...]het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is».
Een adequate risicoafweging, waaronder het doen van een gedegen Data Protection Impact Assessment (DPIA) en een Data Transfer Impact Assessment (DTIA), blijft echter nodig om het risico in een concreet geval te beoordelen.

Vraag 12

Is, met inachtneming van vraag 9, het stallen van gegevens op Microsoft-datacentra binnen de Europese Economische Ruimte een legitiem middel om risico’s voor de autonomie en nationale veiligheid weg te nemen?

Het stallen van gegevens in datacenters binnen de Europese Economische ruimte is, zoals aangegeven in de Kamerbrief van 2 oktober jl., een voorbeeld van een genomen maatregel om risico’s voor de autonomie en nationale veiligheid te beperken. In diezelfde brief is aangegeven dat risico’s nooit volledig kunnen worden weggenomen. Dat geldt overigens voor elk scenario dat door de Belastingdienst is overwogen, waaronder ook het on-premises scenario. Elk scenario brengt eigen risico’s met zich mee op diverse vlakken. Daarom is het te alle tijden een belangenafweging welk scenario het meest geschikt is.
Graag wijs ik u erop dat de risico’s ten aanzien van de toegang tot gegevens van de overheid beperkt zijn. Dit blijkt uit de in het antwoord op vraag 9 genoemde risico-analyse, de DPIA’s op M3656, de contracten die SLM Rijk met Microsoft heeft uitonderhandeld en een analyse van de CLOUD-act die door het Ministerie van Justitie en Veiligheid is gepubliceerd.7 Zoals in het antwoord op vraag 11 is aangegeven wordt het risico dat de Amerikaanse overheid op basis van de CLOUD-act toegang verkrijgt tot Europese (persoons-)gegevens in de praktijk op (heel) klein geschat.
Tot slot wil ik nog opmerken dat de Belastingdienst met M365 een hoger volwassenheidsniveau op het gebied van informatiebeveiliging kan implementeren. Daarmee wordt de kans op ongeoorloofde toegang van kwaadwillenden tot de gegevens van de Belastingdienst zoveel mogelijk beperkt.

Vraag 13

Kunt u alle documentatie over de afweging die is gemaakt voor de andere drie scenario’s in volledigheid met de Kamer delen?3

De nota voor de Bestuursraad Financiën vindt u in bijlage 1. De exitstrategie en risico-analyse worden vertrouwelijk aan uw Kamer aangeboden.

Vraag 14

Op basis van het onderzoek dat is verricht naar Europese alternatieven, op welke termijn wordt een migratie naar Europese alternatieven mogelijk? Zet u zich actief in om dit te bewerkstelligen?

Ik kan uw Kamer geen termijn geven waarop een migratie naar een Europees alternatief mogelijk is. Wel kan ik u toezeggen, zoals ik ook reeds in het antwoord op vraag 7 heb gedaan, dat de Belastingdienst de ontwikkelingen en bewegingen in de buitenwereld nauwlettend volgt. De Belastingdienst kijkt actief naar de mogelijkheden van soevereine en of Europese oplossingen voor cloud en andere software. De Belastingdienst vervult een cruciale rol in de maatschappij en kan daarom als organisatie niet lichtvaardig omgaan met keuzes die de continuïteit van de systemen en processen kunnen raken.
De Belastingdienst wil in deze context niet vooruit lopen op technologische ontwikkelingen en baseert zijn keuzes op zorgvuldige afwegingen en de kaders en richtlijnen die door BZK worden gesteld. Nieuwe technologieën en software worden door de Belastingdienst pas toegepast na een zorgvuldige afweging en zodra er voldoende zekerheid is dat deze oplossingen veilig en uitvoerbaar zijn. In dat kader, zoals aangegeven in het antwoord op vraag 7, kijkt de Belastingdienst onder andere naar de ontwikkelingen rondom «Mijn Bureau» van BZK.
Eén van de strategische doelen uit de Nederlandse Digitaliseringsstrategie (NDS) is om gezamenlijk te werken aan een verkenning om een overheidsbrede soevereine clouddienst in samenwerking met bestaande overheidsdienstverleners te realiseren. De Belastingdienst kijkt uit naar de resultaten van deze verkenning. Daarmee ontstaat handelingsperspectief en meer duidelijkheid over de termijn waarop een dergelijke migratie realiseerbaar is.
De Belastingdienst levert, als eigenaar van een Overheidsdatacenter, in het kader van betere rijksbrede samenwerking graag een belangrijke en noodzakelijke bijdrage aan een meer autonome oplossing voor de langere termijn.

Vraag 15

Waarom bent u slechts voornemens om te migreren naar Europese alternatieven als zij op een vergelijkbaar niveau zitten als Microsoft, als u het belang van digitale autonomie en nationale veiligheid onderschrijft?

De overstap naar M365 is het resultaat van een complexe en veelzijdige belangenafweging. Zoals u heeft kunnen lezen in het antwoord op vraag 12 zijn autonomie en nationale veiligheid twee aspecten, welke beiden zijn meegewogen door de Belastingdienst. Naast het versterken van de digitale autonomie en nationale veiligheid maakten aspecten zoals de beschikbaarheid, niveau van functionaliteit, geldende wet- en regelgeving, schaalbaarheid, en kosten ook onderdeel uit van de belangenafweging.
Zoals u heeft kunnen lezen in mijn antwoord op vraag 3 en in de brief die u op 2 oktober jl. heeft ontvangen heeft de Belastingdienst gezien de (geo)politieke en maatschappelijke ontwikkelingen de overstap naar M365 getemporiseerd. Eerst heeft de Belastingdienst zorgvuldig een aantal alternatieve scenario’s afgewogen. Daarbij is het belang van het versterken van de digitale autonomie en de nationale veiligheid opnieuw nadrukkelijk meegenomen.

Vraag 16

In hoeverre bent u bereid om digitale autonomie, kennisbehoud en data- en nationale veiligheid in te leveren ten behoeve van functionaliteit en productiviteit?

Zie antwoord vraag 15.

Vraag 17

Welke delen van het werkproces komen in de Amerikaanse cloud te staan? Komen ook «rulings» van de Belastingdienst, die gevoelige informatie over belastingheffing bevatten, en bedrijfsgevoelige informatie in de Microsoft-omgeving te staan?

Zoals u heeft kunnen lezen in het antwoord op vraag 5 betreft de overstap de kantoorautomatisering. Met kantoorautomatisering doel ik op applicaties (zoals Teams, OneDrive, en Outlook) die medewerkers ondersteunen in hun dagelijkse werkzaamheden, (interne) communicatie en samenwerking. Applicaties voor beheer en security vallen hier ook onder.
De applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst. Voor de archivering van rulings heeft de Belastingdienst een apart systeem. Daarnaast blijven er voor de medewerkers opties om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Communicatie over casuïstiek tussen de Belastingdienst en ondernemingen en/of hun gemachtigden en tussen medewerkers onderling met betrekking tot ruling verzoeken vindt via diverse wijzen plaats waaronder e-mail. Dit is ook het geval bij rulings.

Vraag 18

Is het migreren van maildiensten naar Microsoft een reden om bepaalde informatie niet binnen de werkomgeving van de Belastingdienst te bespreken, communiceren, of op te slaan?4

Nee, er zijn ook alternatieve opslaglocaties voor het bewaren van informatie en met hulp van de zogenaamde datalek-preventie-oplossing in de M365-suite, wordt voorkomen dat gevoelige informatie als bijlage bij een e-mail meegestuurd kan worden. Voor het verzenden van gevoelige informatie zijn er alternatieven beschikbaar in het dienstenaanbod. Zo is er de beschikking over de Belastingdienst-file-transfer, waarmee een veilige verzending en ontvangst van informatie tussen Belastingdienst/Toeslagen/Douane en een derde mogelijk is via het openbare internet.
Zoals u heeft kunnen lezen in het antwoord op vraag 5 en 17 blijven de applicaties voor de primaire processen in de on-premises omgeving draaien. Met de overstap naar M365 krijgt de Belastingdienst meer mogelijkheden om data te beheersen die buiten de applicaties voor de primaire processen wordt verwerkt.

Vraag 19

Is het risico op weglekken van data naar derden onderzocht? Kan u bewijzen dat er géén risico’s zijn dat gevoelige informatie onbeveiligd wordt uitgewisseld in de nieuwe situatie?

De ervaring leert dat op het vlak van informatiebeveiliging het weglekken van data nooit volledig kan worden voorkomen. De overstap naar M365 maakt het mogelijk om aanvullende en beterebeheersmaatregelen te implementeren.
Naast de al eerder met uw Kamer gedeelde maatregel van het afsluiten van de USB-poorten biedt de nieuwe M365 omgeving meer mogelijkheden om het delen van informatie te beperken. Voor het uitwisselen van informatie met derden op grond van een wettelijke basis heeft de Belastingdienst speciale voorzieningen die voldoen aan de wettelijke vereisten, zoals Belastingdienst-file-transfer. Zie ook antwoord op uw vraag 18.

Vraag 20

Kunt u toelichten welke primaire processen nog wel in het Nederlandse datacentrum blijven draaien en welke afweging daarbij is gemaakt? Welke beheer- en beveiligingsapplicaties worden verplaatst naar de publieke cloud en waarom vallen deze niet onder primaire processen?

Zoals is aangegeven in eerdere antwoorden blijven de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing draaien in hun huidige omgeving in de datacenters van de Belastingdienst. De wijzigingen zien toe op de kantoorautomatisering. Met de overgang naar M365 worden de documenten die worden verwerkt in de kantoorautomatisering opgeslagen op een server van Microsoft. De genoemde beheer- en beveiligingsapplicaties betreffen de applicaties die horen bij de kantoorautomatisering en het beheren van de cloudomgeving. Voorbeelden hiervan zijn de virusscanner en een beheerprogramma om regels in te stellen voor het bepalen wat er met informatie mag gebeuren (zogenaamde «data leakage prevention regels»). Ik wil met nadruk aangeven dat beveiligings- en beheerprogrammatuur voor de systemen die in het eigen datacentrum staan, niet vervangen worden door cloud-varianten van die apparatuur.

Vraag 21

Kunt u deze vragen afzonderlijk beantwoorden en toezeggen dat de Belastingdienst geen onomkeerbare stappen zet totdat deze vragen zijn beantwoord?

De vragen zijn zoveel mogelijk afzonderlijk beantwoord. De Belastingdienst is nog niet gestart met de daadwerkelijke uitrol van M365. Het stoppen en/of vertragen van dit traject is echter niet zonder consequenties. Er is, zoals u heeft kunnen lezen in de brief van 2 oktober jl., jarenlang geïnvesteerd in en rekening gehouden met de overstap naar M365. In de situatie dat de Belastingdienst een overstap zou maken naar een alternatief, dan zou dit gepaard gaan met aanzienlijke kosten en een doorlooptijd van twee tot drie jaar.
De Belastingdienst heeft namelijk de nieuwe werkplekken al uitgerold binnen de Belastingdienst, Douane en Toeslagen. Zolang de Belastingdienst, Douane en Toeslagen blijven doorwerken in de verouderde en inefficiënte werkomgeving vanaf deze nieuwe werkplekken die zijn ingericht op het gebruik van M365 zal er sprake blijven van workarounds en daarmee productiviteitsverlies.

Vraag 1

Bent u bekend met het bericht «Nieuwe socialemediaregels uitdaging voor partijen in campagnetijd»?1

Ja.

Vraag 2

Wanneer verwacht u dat de nationale uitvoeringswet van de Europese Transparantieverordening in werking kan treden?

Ik verwacht de uitvoeringswet voor het einde van dit jaar bij uw Kamer in te dienen voor behandeling. Op 26 september jl. heb ik uw Kamer bij brief geïnformeerd over de uitvoering van de Europese verordening over transparantie en gerichte politieke reclame (hierna: de verordening).2 De verordening is vanaf 10 oktober 2025 rechtstreeks van toepassing in de EU-lidstaten. Het kabinet werkt sinds 2024 aan een uitvoeringswet, waarin het Commissariaat voor de Media (hierna: het Commissariaat), de Autoriteit Persoonsgegevens (hierna: AP) en de Autoriteit Consument en Markt (hierna: ACM) worden belast met de uitvoering van de taken uit de verordening. De uitvoeringswet is in het voorjaar voor een uitvoeringstoets gedeeld met de betrokken instanties. Het advies van de Afdeling advisering van de Raad van State is op 8 september jl. uitgebracht. Momenteel werk ik aan het nader rapport, waarna het wetsvoorstel bij uw Kamer wordt ingediend. Uw Kamer gaat vervolgens over de snelheid waarmee deze wordt behandeld.
Vooruitlopend op de uitvoeringswet heb ik samen met het Commissariaat, de AP en de ACM gewerkt aan een aanwijzingsbesluit. Dit besluit is ook op 26 september jl. aan uw Kamer gestuurd.3 Daarin wordt het Commissariaat aangewezen als bevoegde autoriteit en krijgen de andere betrokken instanties enkele noodzakelijke taken toebedeeld. Zo wordt duidelijk welke instanties de verordening in Nederland gaan uitvoeren. Hierdoor kan het Commissariaat vooruitlopend op de inwerkingtreding van de uitvoeringswet al werken aan normuitleg, uitvoeringsbeleid en voorlichting geven aan marktpartijen die politieke reclame aanbieden en uitgeven. In het aanwijzingsbesluit worden de toezichts- en sanctietaken die volgen uit de verordening nog niet belegd bij de betrokken instanties. Ik acht hiertoe een formele wet noodzakelijk, omdat in de verordening zelf niet is opgenomen welke organisaties in Nederland belast worden met het toezicht op de naleving van de verschillende onderdelen van de verordening. Uitzondering hierop is de AP, die in de verordening rechtstreeks wordt belast met het toezicht op de naleving van de artikelen 18 en 19 en hiertoe ook sanctietaken krijgt. Zodra de uitvoeringswet in werking is getreden, zullen de handhavende bevoegdheden voor de overige onderdelen ook zijn belegd.

Vraag 3

Hoe zal er gecontroleerd worden of sociale mediaplatforms, zoals X, voldoen aan de Europese regels omtrent politieke advertenties?

Het toezicht op in hoeverre een platform zich aan de in de verordening gestelde regels voor politieke reclame houdt, ligt in beginsel bij de toezichthouder van het land waar het platform zijn Europese hoofdkantoor heeft. Aangezien veel grote socialemediaplatformen, zoals X, hun hoofdkantoor in Ierland hebben, ligt toezicht en handhaving bij de Ierse toezichthouders. Als daar aanleiding toe is, zullen de Nederlandse toezichthouders de Ierse collega's op de hoogte stellen van signalen of klachten.

Vraag 4

Aangezien de Europese Transparantieverordening politieke advertenties beperkt maar niet volledig verbiedt, hoe wordt in deze verordening omgegaan met situaties waarin sociale mediaplatforms bepaalde politieke partijen wel toestaan om te adverteren, terwijl andere partijen worden geweigerd?

Het zou onwenselijk zijn als zich de situatie voordoet dat socialemediaplatformen bepaalde politieke partijen wel toestaan om te adverteren, terwijl andere partijen worden geweigerd. Dat deze situatie zich gaat voordoen, is in dit stadium echter geen gegeven. Wanneer platformen bepaalde politieke partijen of andere adverteerders ongelijk zouden behandelen, dan is het, gezien de vestiging van de meeste platformen in Ierland, aan de Ierse toezichthouder of de Europese Commissie om te beoordelen of hier sprake is van een overtreding van Europese regelgeving en om in dat geval op gepaste wijze te handhaven.

Vraag 5

Acht u het wenselijk om additionele maatregelen te nemen om ongelijke behandeling tussen politieke partijen door sociale mediaplatforms te voorkomen?

Deze regelgeving is voor alle lidstaten en ketenpartners in de EU nieuw. De precieze toepassing van de verordening moet gaandeweg vorm krijgen in de praktijk. Door de uitwisseling van informatie en vragen wordt de uitvoering van de verordening verder verduidelijkt en beter uitvoerbaar. Zo gaat in de komende periode blijken wat er mogelijk is binnen de huidige wet- en regelgeving. Na de door de Europese Commissie geplande evaluatie van de verordening kan bezien worden of additionele maatregelen wenselijk zijn.4

Vraag 6

In hoeverre vallen berichten van influencers die gesponsord zijn door politiek partijen onder dezelfde transparantieverplichtingen en beperkingen als reguliere online politieke advertenties?

Influencers die boodschappen overbrengen waarvoor door een politieke partij een betaling in geld of natura wordt verricht, vallen onder de werkingssfeer van de verordening. Zij zijn dan zogeheten «uitgevers van politieke reclame» die de verplichtingen moeten nakomen die op hen van toepassing zijn. In de door de Europese Commissie vastgestelde richtsnoeren bij de verordening wordt dit helder weergegeven.5 Dit betekent dat influencers bij de plaatsing van zulke content de politieke reclame als zodanig moeten labelen en een transparantieverklaring beschikbaar moeten stellen.

Vraag 7

Hoe zal gecontroleerd worden of deze influencerberichten zich aan de regelgeving houden?

Het is per 10 oktober 2025 mogelijk om bij het Commissariaat voor de Media een melding te doen over mogelijke overtreding van de verordening. Voor het gevolg geven aan handhavende bevoegdheden is de uitvoeringswet echter vereist. Wanneer deze in werking is getreden, kan het Commissariaat, bij het houden van risicogestuurd toezicht, bepaalde influencers nauwlettender volgen en, indien nodig, gepaste maatregelen treffen. Tot die tijd zal het Commissariaat inzetten op preventieve maatregelen zoals voorlichting, bewustmaking en normuitleg.

Vraag 8

Welke sancties acht u passend tegen platformen die de Transparantieverordening overtreden?

Het is van belang dat sancties voldoende afschrikwekkend zijn, maar ook rekening houden met aspecten als ernst, impact en recidive. De verordening biedt daarvoor ruime mogelijkheden.6 Het is echter aan de toezichthouders om te bepalen wat gepaste sancties zijn bij overtredingen van de verordening. Bij overtredingen door de grote platformen zullen dit veelal de Ierse toezichthouders zijn.

Vraag 9

Acht u het wenselijk om additionele regelgeving in te stellen om niet alleen sociale mediaplatformen maar ook politieke partijen te kunnen sanctioneren als ze zich niet houden aan de regels in de transparantieverordening?

Zie het antwoord op vraag 5.

Vraag 1

In de brief wordt gesteld dat Europese alternatieven binnen afzienbare termijn niet voldoen aan het niveau van Microsoft 365; welke Europese alternatieven zijn onderzocht voordat de keuze gemaakt is voor Microsoft?

De Belastingdienst is sinds 2021 bezig met het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. De (geo)politieke situatie was destijds anders, omdat het versterken van de autonomie in de afwegingen een beperktere rol speelde. Daarom heeft destijds geen uitgebreide verkenning naar Europese alternatieven plaatsgevonden en is er uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365.
De uitrol van de nieuwe werkplekken, in de vorm van nieuwe laptops die zijn ingericht op het gebruik van M365, is inmiddels afgerond. De huidige situatie is dat er vanaf de nieuwe 40.000 werkplekken wordt doorgewerkt in de verouderde en inefficiënte werkomgeving omdat M365 nog niet is geïmplementeerd. Dit terwijl er bij de inrichting van de nieuwe werkplekken rekening is gehouden met de implementatie van M365. Doordat M365 nog niet is geïmplementeerd bestaan er nu inefficiënte manieren om vanaf de nieuwe werkplekken met de beperkingen van de oude werkomgeving om te gaan. Deze workarounds resulteren in een geschat productiviteitsverlies van 15 tot 30 minuten per medewerker per dag.
Gezien de recente (geo)politieke en maatschappelijke ontwikkelingen heeft de Belastingdienst de overstap naar M365 op de nieuwe werkomgeving getemporiseerd en een aantal alternatieve scenario’s zorgvuldig uitgewerkt en afgewogen, zie daarvoor bijlage 1. Echter, op korte termijn is geen Europees alternatief beschikbaar dat geschikt is voor de situatie waar de Belastingdienst zich momenteel in bevindt.
In het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt zou zijn voor de Belastingdienst, dan kost het nog twee tot drie jaar om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van productiviteitsverlies.

Vraag 2

Welke tekortkomingen zijn vastgesteld bij deze Europese aanbieders die ertoe hebben geleid dat zij niet als toereikend alternatief zijn aangemerkt?

Zie antwoord vraag 1.

Vraag 3

Kunt u toelichten aan welke vereisten en prestatienormen Europese aanbieders moeten voldoen om wel als een toereikend alternatief te kunnen gelden voor Microsoft 365?

Om als volwaardig alternatief te kunnen dienen, moeten de voorgestelde oplossingen kunnen voldoen aan strikte eisen op het gebied van integratie, continuïteit, geïntegreerde gebruikerservaring plus naleving van o.a. ISO-standaarden, DUTO, BIO, NIS 2 en Archiefwet. Daarnaast is het belangrijk dat er voldoende functionaliteiten zijn voor medewerkers om goed, flexibel en effectief (samen) te kunnen werken.

Vraag 4

Is er perspectief op een Europees alternatief dat wel kan dienen als een alternatief voor Microsoft 365? Zo ja, welke aanbieder(s) worden dan als kansrijk beschouwd?

De Belastingdienst volgt de bewegingen in de buitenwereld en kijkt ook naar mogelijkheden van soevereine en of Europese cloudoplossingen.
Zoals u heeft kunnen lezen in de antwoorden op vraag 1 en 2 zou het in het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt wordt bevonden voor de Belastingdienst, nog steeds twee tot drie jaar kosten om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van een productiviteitsverlies.
In dit kader volgt de Belastingdienst onder andere de ontwikkelingen bij BZK rondom «Mijn Bureau». Mijn Bureau is een open source samenwerkingsplatform voor de overheid, publieke sector en bedrijven dat wordt ontwikkeld onder regie van het Rijksbrede programma Beter Samen Werken (OpenBSW). De Belastingdienst neemt actief deel aan de ontwikkelingen rond dit platform. Momenteel bevindt dit platform zich echter nog in een vroege testfase.

Vraag 5

Welke maatregelen worden er op dit moment genomen om de ontwikkeling en verbetering van Europese cloud- en software-alternatieven te stimuleren en te versnellen, zodat deze in de toekomst als volwaardig alternatief voor Microsoft 365 kunnen dienen?

In de Nederlandse Digitaliseringsstrategie is cloud als een van de hoofdthema’s opgenomen. Hierbij zijn specifiek twee strategische doelen benoemd, met als overkoepelende uitkomst minder afhankelijk te worden van een klein aantal externe leveranciers. Er wordt gewerkt aan een verkenning van het realiseren van een overheidsbrede soevereine clouddienst in samenwerking met bestaande overheidsdienstverleners en de markt. Daarnaast wordt er gestreefd naar een centrale overheidsmarktplaats voor cloudtechnologieën. Ten aanzien van een federatief Europees cloudecosysteem is immers ook van belang hoe dit aan afnemers wordt aangeboden. Afnemers hebben over het algemeen geen belang bij contracten met meerdere marktpartijen, aangezien dit een bijzonder ingewikkelde kwestie kan worden in het kader van aansprakelijkheid. Eén van de primaire redenen waarom er vaak van de hyperscalers als one-stop-shop gebruik gemaakt wordt. Zoals in de NDS opgenomen, kan een marktplaats voor clouddiensten (als een – hopelijk – meer geavanceerde versie van een cloudbroker) hier aan bijdragen om een dergelijk ecosysteem tot een succes te maken.
Het laatst benoemde doel weergeeft de al bestaande behoefte aan een marktplaats voor clouddiensten, in plaats van de opzet van een Bijenkorf Megascaler cloud aan de hand van de verworpen motie Bruyning.1 Hierin wordt het verzoek gedaan tot het bevorderen van de cloudautonomie middels het Bijenkorf Megascaler Cloudmodel van Instituut Clingendael.2
De Europese Commissie vindt tevens voldoende datacapaciteit voor cloud- en AI-diensten essentieel voor het verdienvermogen en de economische veiligheid van de EU. De Commissie heeft daarom een Cloud & AI Development Act (CADA) aangekondigd, met als doel private duurzame datacentercapaciteit in de EU in 5 tot 7 jaar te verdriedubbelen. Verder wil de Commissie met de CADA de Europese industrie stimuleren om zelfstandige cloudalternatieven te ontwikkelen en vermarkten, en wil ze mogelijk instrumenten opnemen ter bevordering van Europese alternatieven voor de meest strategische en kritische use cases van cloudgebruik. Nederland is actief betrokken bij de ontwikkeling van de CADA.

Vraag 6

In berichtgeving van NRC wordt gesteld dat een van de redenen dat het gebruik van Microsoft 365 toch is doorgezet, is dat er al een aanbetaling was gedaan. In hoeverre heeft dit een rol gespeeld in de uiteindelijke besluitvorming?1

Nee, dit heeft geen rol gespeeld in de besluitvorming. De Belastingdienst heeft sinds 2020 een contract met Microsoft voor verschillende diensten. M365 is één van de onderdelen in dit bredere pakket. Bij de uiteindelijke besluitvorming zijn verschillende scenario’s zorgvuldig onderzocht, waarbij is geconcludeerd dat de overstap naar M365 de enige uitvoerbare optie is gezien de situatie waarin de Belastingdienst zich bevindt.

Vraag 7

Welke technische en contractuele maatregelen zijn getroffen om te zorgen dat de Amerikaanse overheid niet zomaar toegang heeft tot Nederlandse overheidsdata?

De Amerikaanse cloudwetgeving kan de leverancier die gevestigd is in de Verenigde Staten verplichten om data te leveren, daarom is dit niet 100% uit te sluiten. Zie in dit verband ook de analyse van de Cloud Act die door het Ministerie van Justitie en Veiligheid is gepubliceerd, waaruit blijkt dat het risico zeer beperkt is4. Daarnaast blijkt uit onderzoek van Greenberg Traurig dat: «[...]het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is». Dit beeld komt ook terug uit de door de Belastingdienst opgestelde risico-analyse en de DPIA’s op M365.
Bovendien zijn er door SLM Rijk5 in het framework agreement met Microsoft uitgebreide technische, organisatorische en contractuele afspraken met Microsoft gemaakt die toegang tot Nederlandse overheidsdata beperken. Voorbeelden van deze afspraken zijn het opslaan van data op servers in de EER (hoewel dit de toegang door de VS niet volledig belet kan dit het wel bemoeilijken) en afspraken over encryptie van data in transit. Microsoft committeert zich dat het zich waar mogelijk (juridisch) zal verzetten tegen bevelen tot afgifte van data en geeft aan nog nooit data van een EU-overheidsklant verstrekt te hebben aan enige overheid (inclusief de Amerikaanse overheid).

Vraag 1

Bent u bekend met het bericht «Nederlandse organisatie wint zaak: tijdlijn Facebook en Instagram moet anders»?1

Ja.

Vraag 2

Kunt u toezeggen dat, als het vonnis van de rechter standhoudt, u zal pleiten om de strengere nationale norm voor meer keuzevrijheid in de algoritmes op sociale media als Europese standaard te hanteren?

De Nederlandse rechter interpreteert in deze uitspraak bestaande normen uit de digitaledienstenverordening (DSA). Er is hier geen sprake van een strengere nationale norm en het is daarom niet nodig om op Europees niveau te pleiten voor een strengere norm. De uitspraak is uitvoerbaar bij voorraad verklaard, wat in dit geval betekent dat Meta een dwangsom moet betalen aan Bits of Freedom als zij de uitspraak niet voor 31 december 2025 naleeft. Meta heeft tegen de uitspraak hoger beroep ingesteld. Dat beroep dient op 26 januari 2026.
Uiteindelijk is de interpretatie van de DSA in laatste instantie aan het Hof van Justitie van de Europese Unie. De Digitale dienstenraad, die bestaat uit de nationale toezichthoudende autoriteiten, signaleert opkomende kwesties met betrekking tot de DSA en draagt samen met de Europese Commissie bij aan een consistente toepassing van de DSA in de EU, onder meer door de mogelijkheid tot het opstellen van richtsnoeren. Daarbij kunnen dit soort uitspraken van nationale rechters uiteraard een belangrijke rol spelen. Gelet hierop zien wij op dit moment geen reden om op Europees niveau te pleiten voor een Europese standaard op dit gebied.

Vraag 3

Deelt u de mening dat niet de rechter, maar de toezichthouder moet afdwingen dat bedrijven als Meta de Europese wet- en regelgeving naleven?

Wij delen die mening niet. De DSA voorziet in een systeem van publiekrechtelijk toezicht, maar laat de mogelijkheid van een gang naar de civiele rechter onverlet. Dit blijkt ook expliciet uit de artikelen 21 en 90, eerste lid, van de DSA. Het laatste artikel opent de deur voor collectieve acties. Publiekrechtelijke en civielrechtelijke handhaving zijn beide van belang voor de effectieve werking van het systeem van de DSA en sluiten elkaar dus niet uit.

Vraag 4

Wat gaat u doen om toezichthouders als de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens in staat te stellen om proactief toe te zien op de naleving van Europese wet- en regelgeving?

In de Uitvoeringswet digitaledienstenverordening zijn de Autoriteit Consument & Markt (ACM) en de Autoriteit persoonsgegevens (AP) aangewezen als toezichthouders. Deze wet geeft de toezichthouders de bevoegdheden die nodig zijn om toezicht te houden op de DSA. Het Ministerie van Economische Zaken stelt structurele financiering beschikbaar voor beide toezichthouders. Het ministerie staat regelmatig in contact met zowel de ACM als de AP. Er zijn vanuit de toezichthouders geen signalen ontvangen dat zij niet in staat zouden zijn om doeltreffend toe te zien op de DSA, waardoor op dit moment geen verdere actie is vereist. Het is hierbij van belang op te merken dat Facebook en Instagram onder toezicht staan van de Europese Commissie en de Ierse toezichthouder. Eventuele handhavingsmaatregelen worden door deze autoriteiten genomen.

Vraag 5

Waarom maakt de Rijksoverheid nog steeds gebruik van online platforms die de Europese wet- en regelgeving niet naleven? Hoe treedt u normerend op tegen de desbetreffende techbedrijven?

Vrijwel de hele samenleving maakt gebruik van online platforms: ruim 14 miljoen Nederlanders zijn hier daar dagelijks op actief. Nederlanders hebben een groot belang bij goede informatievoorziening door de overheid. Als overheid willen we communiceren met middelen waarmee Nederlanders goed kunnen worden bereikt. De Rijksoverheid ziet zich daarom geconfronteerd met een situatie dat er gebruik moet worden gemaakt van online platforms voor contact met de samenleving omdat er voor dit gebruik op dit moment geen geschikte alternatieven beschikbaar zijn. Daarbij speelt mee dat er specifieke groepen zijn in de samenleving die weinig gebruik maken van traditionele media en/of andere informatiekanalen. Gebleken is dat deze groepen wel goed bereikbaar zijn via online platforms.
Online platforms dienen zich te houden aan Europese wet- en regelgeving. Het is allereerst aan de toezichthouders om ervoor te zorgen dat die normen publiekrechtelijk worden gehandhaafd. In aanvulling daarop werken we aan verschillende instrumenten om naleving van Europese wet- en regelgeving te bevorderen. Zo zijn er in opdracht van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering onder meer Kinderrechten Impact Assessments uitgevoerd en maken we met onderzoek naar contentmoderatie op zeer grote online platforms, waaronder sociale media, zichtbaar hoe platforms omgaan met illegale en schadelijke content.2

Vraag 6

Wat doet u om maatschappelijke organisaties, zoals Bits of Freedom, te ondersteunen in hun acties om grote techbedrijven ter verantwoording te roepen?

Maatschappelijke organisaties spelen een belangrijke rol in de effectieve toepassing van de DSA, onder meer als trusted flaggers en via civielrechtelijke handhaving van de DSA. Het onafhankelijk functioneren van deze organisaties is hierbij van groot belang. Het is een taak van de overheid om ruimte te creëren voor maatschappelijke organisaties om hun rol uit te oefenen.
De overheid onderhoudt contacten met verschillende maatschappelijke organisaties om kennis en signalen te delen, zo ook met Bits of Freedom.

Vraag 7

Bent u bereid om, in zoverre mogelijk, bijstand te verlenen aan maatschappelijke organisaties die juridisch de strijd aan gaan met grote techbedrijven die willens en wetens de wet niet naleven?

Wij zien het als taak voor de overheid om ruimte te creëren voor maatschappelijke organisaties om hun doelen na te streven, en om te zorgen dat in Nederland toezicht kan worden gehouden op de toepasselijke wet- en regelgeving. Het is echter geen taak voor de overheid om enige, maar in het bijzonder financiële, bijstand te verlenen in civielrechtelijke rechtszaken.

Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Kunt u bevestigen dat er op het Openbaar Ministerie (OM) een nijpend tekort aan werkplekken bestaat doordat er niet thuis kan worden gewerkt, en de mogelijkheden tot thuiswerken nog enkele weken duurt? Kunt u bevestigen dat er sprake is geweest van werken in shifts en daar nog steeds sprake van is?

Sinds 16 oktober is het telewerken weer mogelijk gemaakt voor de meeste medewerkers van het OM en is dit probleem niet meer aan de orde. In de periode daarvoor kon elk OM-onderdeel ervoor kiezen om in shifts te werken.

Vraag 2

Erkent u dat, los van de belasting op de werk-privé balans van medewerkers, hierdoor het (herstel)werk van het OM niet of zeer beperkt van de grond komt, waardoor achterstanden in de werkvoorraad verder zullen oplopen? Zo ja, welke maatregelen neemt u hierop?

De offlinegang en stapsgewijze onlinegang van het OM heeft geleid tot vertragingen. Het als gevolg hiervan niet thuis kunnen werken heeft hierbij niet geholpen en heeft ongetwijfeld veel impact op de medewerkers gehad. Het OM en partners in en rondom de strafrechtketen werken hard om deze in te (gaan) lopen. Inmiddels werken alle digitale koppelingen weer en zijn de werkprocessen zo goed als hersteld. Mijn departement staat in nauw contact met de strafrechtketenpartners om te ondersteunen waar mogelijk.

Vraag 3

Zijn er bij u signalen binnengekomen over de toenemende werkdruk als gevolg van de hack? Zo nee, hoe wordt hier toezicht opgehouden? Zo ja, welke stappen onderneemt u om dit te verbeteren?

De ontstane situatie heeft helaas onvermijdelijk een toenemende werkdruk tot gevolg gehad. Dit betreur ik uiteraard zeer. Binnen het OM is hier veel aandacht voor; bestuurders en leidinggevenden ondersteunen medewerkers hier zo goed mogelijk in.

Vraag 4

Bent u het eens dat met oplopende werkdruk en mogelijke uitval het (herstel)werk van het OM nog meer in de knel komt en het mogelijk nog ruim een jaar zal duren voordat het OM weer alle achterstanden heeft weggewerkt?

Zoals hierboven aangegeven, wordt er hard gewerkt aan het inlopen van de achterstanden. Op dit moment kan ik nog geen uitspraken doen over de termijn waarbinnen de achterstanden zijn weggewerkt.

Vraag 5

Erkent u dat het Wetenschappelijk Onderzoek- en Datacentrum (WODC) en het OM al in 2021 hebben gewaarschuwd voor de gevolgen van het wisselende financiële beleid en bezuinigingen op de IT en informatievoorziening?1 Maar dat ondanks deze waarschuwingen geen extra financiële middelen voor het OM beschikbaar zijn gesteld? Waarom niet?

Uit het onderzoek van het WODC waar de vraag naar verwijst, volgt dat de bezuinigingen op het OM in de periode van 2010 tot en met 2019 opliepen tot 88 miljoen euro exclusief het Prognosemodel Justitiële Ketens.2 Tegelijkertijd werd er voor 177 miljoen euro geïntensiveerd om bepaalde doelstellingen – waaronder voor circa 31 miljoen euro een toegenomen inzet op digitalisering «ICT en kwaliteitsverbetering» – te verwezenlijken of om nieuwe taken op te vangen.3
De afgelopen jaren is dus fors geïnvesteerd in de ICT bij het OM. Voorgaande kabinetten hebben hiervoor extra middelen vrijgemaakt. Vanuit de zogenaamde Ondermijningsmiddelen is een incidentele investering gedaan van 172 miljoen euro, verdeeld over de jaren 2022–2027: 37 miljoen in 2022 en 27 miljoen euro in de jaren 2023 t/m 2027. Daarnaast zijn er door het vorige kabinet middelen beschikbaar gesteld ten behoeve van de ICT van 7 miljoen euro in 2024 en 35 miljoen euro structureel vanaf 2025. Indien de afgelopen jaren behoefte bleek aan extra middelen voor ICT heeft het ministerie nog aanvullende middelen verstrekt om tekorten op de ICT op te vangen. Zo heeft het OM in het jaar 2021 nog een bedrag van 10 miljoen euro extra ontvangen voor ICT-werkzaamheden.

Vraag 6

Erkent u dat de bezuinigingen op het OM, die sinds 2010 zijn opgelopen tot meer dan 150 miljoen euro, een direct effect hebben gehad op de huidige tekortkomingen in de IT-infrastructuur? Welke stappen onderneemt u om deze tekortkomingen terug te dringen?

Zoals geschetst onder het antwoord op vraag 5 is er de afgelopen jaren fors geïnvesteerd in de ICT bij het OM. Daarmee zijn belangrijke inhaalslagen gemaakt ten aanzien van achterstallig onderhoud op zowel hardware als software. De opgave voor het OM is echter groot. De huidige ICT-problematiek binnen het OM is het gevolg van een langdurige achterstand in de ontwikkeling en professionalisering van de informatievoorziening. Gezien deze achterstand werkt het OM al enkele jaren aan verbeteringen op het gebied van ICT.4 Dit is een omvangrijk traject, dat nog een aantal jaren tijd en investeringen vergt. Daarnaast heeft het OM ook een grote opgave om de systemen gereed te maken voor het nieuwe Wetboek van Strafvordering.
Eerder liet ik u reeds weten dat er naar aanleiding van de ICT-inbreuk van het OM een onafhankelijk onderzoek komt, waarin wordt gekeken naar het incident en het versterken van de weerbaarheid van de IT en informatievoorziening van het OM.5

Vraag 7

Erkent u dat er op dit moment nog een bezuiniging van 40 miljoen euro ingevuld moet worden door het OM, met als gevolg dat noodzakelijke verbetering van de huidige IT-infrastructuur zal uitblijven en het personeel van het OM dus genoodzaakt is de huidige problemen op te lossen zonder extra financiële ondersteuning? Zo nee, waarom niet?

Er is geen sprake van een aan het OM opgelegde bezuiniging. Het OM heeft wel richting mij het signaal afgeven dat het vanaf 2026 financieel knelpunt voorziet op de ontwikkeling en het beheer van de ICT. Het OM is bezig om nader inzicht in en onderbouwing van dit signaal te verschaffen en te bezien hoe de tekorten binnen het OM zoveel mogelijk kunnen worden teruggebracht om het OM financieel gezond te houden. Op basis van de uitkomst zal ik samen met het OM bekijken hoe deze problematiek kan worden aangepakt.

Vraag 8

Kunt u toelichten waarom, gezien de huidige situatie en problematiek in de IT-infrastructuur, niet is besloten de bezuiniging van 40 miljoen euro uit te stellen of te schrappen? Waarom wordt verder bezuinigd op het OM, terwijl de gevolgen van de IT-infrastructuur niet eens kunnen worden overzien?

Zie antwoord vraag 7.

Vraag 9

Deelt u de mening dat het OM door de voorliggende bezuinigingen wordt gedwongen om nog meer strafzaken af te doen door middel van een strafbeschikking, wat juist in het voorjaar tot veel kritische geluiden uit de strafrechtketen en de maatschappij heeft geleid?

Nee, de financiële situatie bij het OM is niet van invloed op het minder of meer opleggen van strafbeschikkingen.

Vraag 1

Bent u bekend met het bericht «Geen mobiel bereik in grensstreek: 77-jarige man ligt na val machteloos half uur op de grond»?1

Ja.

Vraag 2

Bent u van mening dat slecht mobiel bereik een acuut veiligheidsrisico vormt, zeker voor ouderen en kwetsbare groepen die afhankelijk zijn van alarmhorloges en noodoproepen?

Mobiele netwerken spelen een belangrijke rol voor de bereikbaarheid van 112 maar gelukkig zijn ze niet de enige manier waarop mensen 112 kunnen bereiken. Er zijn ook alarmhorloges en andere apparaten die bijvoorbeeld via WiFi kunnen bellen.
Indien mensen op een plek wonen waar de mobiele netwerkdekking om welke redenen dan ook niet (altijd) optimaal is dan is dat uiteraard heel vervelend en hoop ik dat ze daar melding van maken zodat er met hen, de mobiele netwerkaanbieders, de RDI, provincies en gemeenten kan worden bekeken of er mogelijkheden zijn om dat (in de toekomt) op te lossen. Als mensen in de tussentijd geen maatregelen nemen dan kan het er helaas toe leiden dat ze 112 niet altijd kunnen bereiken wanneer het nodig is. Het is daarom belangrijk dat zij zich (laten) informeren over de beste manier om de bereikbaarheid van 112 zo veel als mogelijk te garanderen want er zijn gelukkig alternatieven beschikbaar. Zoals een vaste huisaansluiting of de 112NL-app, die uitkomst kan bieden in gebieden met een mindere netwerkdekking maar waar wel WiFi is, zoals binnenshuis.
Juist omdat de bereikbaarheid van het alarmnummer 112 van levensbelang is, geeft de Rijksoverheid diverse tips op zijn website voor mensen die ondanks de zeer goede mobiele dekking in Nederland toch nog problemen ervaren met de bereikbaarheid van 112 via een mobiel netwerk.2 Indien gemeenten de mobiele bereikbaarheid willen verbeteren, kunnen ze gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten» van de Rijksinspectie Digitale Infrastructuur.

Vraag 3

Bent u van mening dat anno 2025 iedereen in Nederland over snel internet en mobiele netwerkdekking moet kunnen beschikken, ongeacht waar men woont, omdat dit van belang is voor een ieders veiligheid?

Ja, maar helaas zijn de mogelijkheden om dat te bereiken gebonden aan natuurkundige beperkingen die eigen zijn aan radiocommunicatie. In de Nota Mobiele Communicatie is aangegeven dat mobiele communicatie een basisbehoefte is geworden.3 4 In grensstreken kan de bereikbaarheid van 112 minder goed zijn dan op andere plekken. Goede dekking in de grensstreek vereist coördinatie tussen netwerkaanbieders over de frequenties die er worden gebruikt om onderlinge verstoringen te voorkomen.
Mobiele netwerkdekking zal niet altijd door de markt tot stand worden gebracht op locaties die niet rendabel zijn. Dat kan ertoe leiden dat sommige plekken in Nederland niet vanzelf van dekking worden voorzien. Mede hierom is er in 2020 een dekkings- en snelheidsverplichting opgelegd aan de drie mobiele netwerkaanbieders. Die verplicht ertoe om 98% van het geografische grondgebied van elke Nederlandse gemeente buitenshuis te voorzien van een minimaal dienstverleningsniveau voor elke gebruiker.
Om de mobiele bereikbaarheid van het alarmnummer 112 in aanvulling daarop nog verder te vergroten zijn er diverse andere maatregelen genomen:

Vraag 4

Kunt u aangeven in welke mate dit probleem speelt in andere grensregio’s in Nederland, hoeveel meldingen daarover zijn ontvangen bij het Centraal Informatiepunt Mobiele Bereikbaarheid 112 en hoe opvolging is gegeven aan deze meldingen?

Sinds januari 2024, de start van het Centraal Informatiepunt Mobiele Bereikbaarheid 112, zijn er 46 meldingen geregistreerd, waarvan 5 uit grensgemeenten. Dit aantal is gelukkig beperkt en geeft geen aanwijzing voor een structureel probleem in de grensstreken. Meldingen laten wel zien dat er incidenteel knelpunten zijn, die voor betrokkenen ingrijpend kunnen zijn, zeker in het geval van een noodsituatie.
Uit metingen van de Rijksinspectie Digitale Infrastructuur blijkt verder dat mobiele netwerkaanbieders voldoen aan de dekkings- en snelheidsverplichting. Toch kunnen er altijd plekken zijn waar de bereikbaarheid van 112 minder goed is (bijvoorbeeld binnenshuis of in afgelegen gebieden). Het meldpunt registreert de meldingen en deelt ze waar nodig met providers, de meldkamer en de toezichthouder; het neemt zelf geen maatregelen.

Vraag 5

Bent u bereid met providers in gesprek te gaan om te waarborgen dat 112-oproepen in grensgebieden altijd doorkomen?

Ik ben en blijf in gesprek met de providers maar ook met andere relevante organisaties zoals gemeenten, de VNG, en de RDI over het verbeteren van de mobiele netwerkdekking in Nederland. Het verbeteren van de mobiele netwerkdekking draagt ook bij aan de bereikbaarheid van 112, omdat daarvoor de gecombineerde dekking van de drie mobiele netwerken van belang is en niet alleen de dekking van de provider bij wie iemand een abonnement heeft.
Zoals beschreven in de beantwoording van vraag 3 zijn er diverse maatregelen genomen om de mobiele bereikbaarheid van 112 te vergroten. Ik zie op dit moment geen aanleiding om in aanvulling hierop maatregelen te nemen. Indien gemeenten de mobiele bereikbaarheid willen verbeteren, kunnen ze gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten» van de Rijksinspectie Digitale Infrastructuur.

Vraag 6

Welke mogelijkheden ziet u om versneld maatregelen te nemen om de veiligheid van inwoners in grensregio’s te garanderen?

Zie antwoord vraag 5.

Vraag 7

Welke rol ziet u voor het Rijk om, samen met provincies, gemeenten én veiligheidsregio’s, structurele oplossingen te realiseren voor grensbewoners die nu vaak in onzekerheid leven of zij in geval van nood hulp kunnen inroepen?

Zie antwoord vraag 5.

Vraag 8

Bent u bereid te onderzoeken of, aanvullend op verbetering van mobiel bereik, het plaatsen van alarmpalen of andere vaste noodvoorzieningen kan bijdragen aan de veiligheid en bereikbaarheid van hulpdiensten in de meest kwetsbare gebieden?

Gezien de zeer goede mobiele dekking in Nederland, de diverse aanvullende maatregelen en alternatieve manieren om 112 te kunnen bereiken zie ik geen reden tot het nemen van extra maatregelen. Uw suggestie is sympathiek maar er zijn gelukkig al een reeks alternatieve manieren om in contact te kunnen komen met 112 wanneer er geen mobiele netwerkdekking is.5

Vraag 1

Heeft u kennisgenomen van het bericht «Nederlandse providers houden zich niet aan sancties tegen Rusland»?1

Ja.

Vraag 2

Was dit gebrek aan naleving van sancties door Nederlandse internetproviders al eerder bij u en/of het openbaar ministerie (OM) bekend? Zo ja, is daar actie op ondernomen? Zo nee, waarom niet?

Ja, het was bekend dat niet alle internetproviders zich aan deze sanctiemaatregelen houden. Uit het onderzoek van Nieuwsuur blijkt dat dit beeld overeenkomt met de mate van naleving in diverse andere EU-lidstaten. In Nederland wordt bij signalen van mogelijke overtreding van sancties altijd onderzoek gedaan. Hier wordt waar nodig verdere opvolging aan gegeven. Het is uiteindelijk aan het Openbaar Ministerie om eventuele niet-naleving van de sancties te onderzoeken en te vervolgen.
Om internetproviders te ondersteunen bij de implementatie van de media-gerelateerde sancties is het kabinet al langere tijd met de Europese Commissie in overleg over de precieze interpretatie van het verbod en de nadere verduidelijking die nodig is om het verbod in de praktijk uit te kunnen voeren. Om te voorkomen dat er ten onrechte websites worden geblokkeerd is het van belang om nauwkeurig te weten welke website bij welke gesanctioneerde propagandazender hoort. Daarnaast gebruiken de Russische media vele verschillende IP-adressen en URL’s, zijn er veel dienstverleners betrokken bij de toegang tot die media en bevindt een deel van de dienstverleners zich buiten de EU-grenzen. Verduidelijking van het verbod is ook nodig voor een uniforme implementatie in de hele EU. Dit overleg met de Europese Commissie heeft onder meer geresulteerd in guidanceover de interpretatie van het artikel en doorverwijzingen naar overzichten van URL’s en IP-adressen die volgens nationale bevoegde autoriteiten van lidstaten geblokkeerd dienen te worden.2 Uit gesprekken met de sector is gebleken dat de guidance die tot dusver is verstrekt volgens de sector niet toereikend is. Nederland blijft daarom in overleg met de Commissie over verdere informatie. Dit is echter geen vrijbrief voor bedrijven om zich niet aan de sanctiemaatregelen te houden. Zij hebben hier een eigen verantwoordelijkheid om zich aan de geldende maatregelen te houden.

Vraag 3

Deelt u de opvatting dat het doel van deze sancties, naast het economisch tegenwerken van Rusland en belangrijke individuen in Rusland, ook het tegengaan van Russische propaganda in Nederland en Europa is en daarmee een kwestie van nationale veiligheid? Zo ja, hoe valt dan slechts 25 procent naleving uit te leggen?

Ja, het kabinet deelt deze opvatting en heeft daarom steeds ingestemd met beperkende maatregelen tegen Russische mediakanalen die bij propaganda-acties zijn betrokken. Hoewel enkele bedrijven deze sancties hebben aangevochten bij het Hof omdat de maatregelen volgens hen zouden schuren met de vrijheid van meningsuiting, heeft het Hof in twee verschillende zaken de sancties beoordeeld en geconcludeerd dat ze rechtmatig zijn en een toelaatbare beperking van de vrijheid van meningsuiting.
Nederlandse (rechts)personen moeten zich houden aan alle sanctiemaatregelen. Zoals aangegeven in het antwoord op vraag 2 is het kabinet daarnaast doorlopend in gesprek met de Europese Commissie over het verduidelijken van het verbod voor de uitvoerders.

Vraag 4

Hoe gaat u zich inspannen om betere naleving van de sanctiemaatregelen te bereiken, in zijn algemeenheid en in deze specifieke casus?

Het kabinet vindt het niet acceptabel dat sommige websites van gesanctioneerde bedrijven nog toegankelijk zijn. Iedere rechtspersoon in Nederland moet zich aan de wet en de sanctiemaatregelen houden. Wel is het kabinet zich zoals gezegd bewust van de complicaties in de uitvoering van deze sanctiemaatregelen. Om de implementatie van de maatregelen voor de relevante bedrijven uitvoerbaar te maken blijft het kabinet met de Europese Commissie in gesprek om hiervoor de benodigde duidelijkheid te verkrijgen.
Het is uiteindelijk de keuze van het Openbaar Ministerie om te handhaven als er sprake is van een mogelijke overtreding van de ingestelde maatregelen.

Vraag 5

Deelt u de opvatting dat de Kamer meer inzicht en invloed moet krijgen in de manier waarop sanctiemaatregelen worden gehandhaafd? Zo ja, hoe gaat u hierop samenwerken met de Kamer? Zo nee, waarom niet?

Het handhaven van Europese sanctiemaatregelen is een nationale bevoegdheid. Het kabinet informeert uw Kamer regelmatig over de naleving van de Europese sanctiemaatregelen, bijvoorbeeld middels passages in de verslagen van de Raad Buitenlandse Zaken of de Kamerbrief sanctienaleving.3 In januari dit jaar organiseerde het Ministerie van Buitenlandse Zaken een sanctienalevingsconferentie in Den Haag, waar zowel is ingezet op een Europees spoor om meer aandacht voor naleving te vragen als een nationaal spoor om met het Nederlandse bedrijfsleven de dialoog over sancties aan te gaan. De rapporteurs Modernisering van het Nederlandse sanctiestelsel waren voor deze conferentie uitgenodigd en daarnaast is uw Kamer over het verloop van de conferentie geïnformeerd.4
Nederland heeft daarnaast uitgebreide voorstellen in de EU gedaan om de naleving in de hele Unie te verbeteren en handhaving gelijk te trekken. Uw Kamer is hier over geïnformeerd op 22 november 2024, middels het non-paper Strengthening European cooperation to reinforce national efforts on the implementation and enforcement of EU restrictive measures.5 Deze voorstellen worden thans uitgewerkt en het kabinet zal uw Kamer hierover terugkoppelen.

Vraag 6

Deelt u de opvatting dat het voor Kamerleden onmogelijk is om het sanctiebeleid goed te controleren als de regering steevast volhoudt niet op individuele gevallen in te gaan? Zo ja, kunt u voortaan wat meer informatie geven over het falen van het sanctiebeleid? Zo nee, waarom niet?

Het kabinet herkent het beeld dat het sanctiebeleid faalt niet. Sanctiemaatregelen zijn het meest effectief als deze goed worden nageleefd. Het overgrote deel van de Nederlandse bedrijven houdt zich goed aan sancties. Het kabinet informeert de Kamer over relevante algemene ontwikkelingen ten aanzien van naleving, zoals handhaving, toezicht, wetgeving en uitvoering daarvan. Het kabinet gaat niet in op individuele gevallen om redenen van privacy, in het belang van (strafrechtelijk) onderzoek en omdat het vaststellen van mogelijke overtredingen uiteindelijk aan de rechter is.
Eerder is door de nationaal coördinator sanctienaleving en handhaving vastgesteld dat er veel goed gaat bij de naleving van sancties in Nederland. De aanbevelingen van de coördinator zijn inmiddels geïmplementeerd. Een deel daarvan is meegenomen in de Wet internationale sanctiemaatregelen (Wis) die momenteel bij de Raad van State ligt. Relevante toezichthouders zoals het AFM, DNB, FIU en de Douane geven jaarlijks in hun jaarverslag een weergave van de sanctienaleving in Nederland. Ook hieruit rijst niet het beeld dat de naleving niet op orde zou zijn. Het kabinet heeft in het kader van de voorjaarsnota structureel 36,5 miljoen euro vrijgemaakt voor de instandhouding en verdere versterking van de sanctienaleving in Nederland6. Tegelijkertijd blijft het een kat- en muisspel, waarbij landen als Rusland blijven proberen om sancties te omzeilen teneinde essentiële goederen uit de EU te verkrijgen.

Vraag 7

Hoeveel keer is het OM overgegaan tot vervolging vanwege het niet naleven van de sanctiemaatregelen tegen Rusland?

Sinds de ingestelde sancties naar aanleiding van de Russische invasie in Oekraïne in 2022 zijn onder leiding van het Openbaar Ministerie meer dan 50 strafrechtelijke onderzoeken gestart vanwege de verdenking van het niet-naleven van de sanctiemaatregelen tegen Rusland. Door het OM zijn zowel dagvaardingen uitgebracht als OM-strafbeschikkingen opgelegd. Bovendien bevindt een aantal zaken zich nog in de opsporingsfase.7

Vraag 1

Kunt u aangeven wat de actuele status is van de problemen die zijn opgetreden n.a.v. de storing bij het Openbaar Ministerie (OM)? Zijn alle problemen die als gevolg van deze storing zijn opgetreden inmiddels verholpen?

Het OM heeft op 25 september jl. aangegeven dat alle applicaties die het strafrechtproces ondersteunen en de koppelingen met applicaties van ketenpartners weer werken.1 De aansluitingen met het Justitiële Documentatie Systeem (JDS) zijn inmiddels succesvol voltooid en het berichtenverkeer van en naar het JDS is weer op gang gebracht. Het OM en de Rechtspraak hebben aangegeven dat de ontstane achterstand, als gevolg van de OM-verstoring, is ingelopen. Hiermee zijn de knelpunten, zoals toegelicht in de Kamerbrief van 12 augustus jl.,2 opgelost. Het betreft de continue screening in de kinderopvang en de taxibranche, de reguliere beoordeling van aanvragen van een Verklaring Omtrent het Gedrag (VOG), de screening van adoptieouders, pleeggezinnen en voogdijverzoeken door de Raad voor de Kinderbescherming (RvdK) en het gebruik van JDS door de Immigratie- en Naturalisatiedienst (IND). Beslissingen worden, zodra deze zijn verwerkt in het JDS, direct meegenomen in de beoordeling door Justis, de RvdK en de IND. Omdat de achterstanden als gevolg van de OM-verstoring zijn ingelopen en het reguliere proces van continue screening is hervat, is het noodwerkproces voor de meest gevoelige zaken in de continue screening beëindigd.

Vraag 2

Kunt u bevestigen dat de verstoring bij het OM ertoe heeft geleid dat het Justitiële Documentatie Systeem (JDS) sinds 17 juli 2025 geen actuele gegevens meer ontvangt? Zo ja, wanneer is dit bij u bekend geworden en wanneer heeft u de Kamer hierover geïnformeerd?

Het klopt dat de verstoring bij het OM ertoe heeft geleid dat informatie van het OM van na 17 juli jl. ontbrak in het JDS. De verstoring werd op 17 juli jl. bekend bij mijn ministerie. In de periode daarna werd steeds meer duidelijk welke gevolgen de verstoring had, waaronder een verstoring in het JDS. Er is vervolgens hard gewerkt aan het inrichten van noodprocessen. Op 12 augustus jl. is de Kamer geïnformeerd over de gevolgen van de verstoring voor de gehele strafrechtketen, waaronder het JDS.

Vraag 3

Hoeveel VOG-aanvragen zijn er sinds 17 juli 2025 ingediend waarvoor de beoordeling vertraging heeft opgelopen door het ontbreken van actuele gegevens in JDS?

Vanaf 18 juli tot 14 oktober jl. zijn er 429.984 aanvragen voor een VOG (VOG voor natuurlijke personen, VOG politiegegevens en VOG voor rechtspersonen) ingediend. In deze periode zijn in totaal 425.431 Verklaringen Omtrent het Gedrag afgegeven.3Justis heeft ervoor gekozen de beoordeling van de VOG-aanvragen ook na 17 juli jl. te continueren. Justis kon met deze screening nog steeds een zeer waardevolle bijdrage leveren aan de risicoschatting, omdat in de beoordeling informatie vanuit het OM van voor 18 juli jl. wel kon worden meegewogen.4 Er is in de meeste gevallen geen vertraging opgelopen door het ontbreken van actuele gegevens in het JDS, tenzij het OM bevraagd moest worden over openstaande zaken.

Vraag 4

Bent u bereid om op korte termijn een overzicht te geven van de aantallen vertraagde, onvolledig beoordeelde of opnieuw ingediende VOG-aanvragen sinds 17 juli 2025?

Zie het antwoord op vraag 3 voor het aantal VOG-aanvragen dat is ingediend in de periode van 18 juli tot 30 september jl. Justis heeft organisaties geïnformeerd over de gevolgen van de verstoring bij het OM voor de aanvraag van een VOG en gewezen op de mogelijkheid om een nieuwe VOG te verlangen, zodra het JDS geactualiseerd is. Het is aan de organisaties om af te wegen of dit opportuun is gezien de risico’s van een functie. Het herkennen van VOG-aanvragen die opnieuw worden ingediend nadat het JDS geactualiseerd is, kan Justis niet op korte termijn realiseren. Dit zou aanpassing van de systemen vergen. Hier wordt nu niet op ingezet.

Vraag 5

Hoe zijn werkgevers, werknemers en vrijwilligersorganisaties actief geïnformeerd over het feit dat VOG-aanvragen momenteel mogelijk op onvolledige informatie zijn gebaseerd?

Justis heeft organisaties die veel gebruik maken van de VOG telefonisch geïnformeerd over de gevolgen van de verstoring bij het OM voor de aanvraag van een VOG. Daarnaast heeft Justis een bericht geplaatst op de website en is vanaf 15 augustus op de VOG informatie geplaatst, waarin wordt aangegeven dat bij de beoordeling van de VOG-aanvraag geen informatie vanuit het OM van na 17 juli 2025 is betrokken.
Tevens hebben de Ministeries van Sociale Zaken en Werkgelegenheid en Infrastructuur en Waterstaat, als opdrachtgevers van de continue screening in respectievelijk de kinderopvang en in de taxibranche, de toezichtspartijen en sectoren geïnformeerd over de gevolgen voor de continue screening en het noodwerkproces dat is ingevoerd voor de meest gevoelige zaken.

Vraag 6

In hoeveel gevallen is de screening van adoptieouders, pleeggezinnen en voogdijverzoeken door de Raad voor de Kinderbescherming mogelijk gebaseerd op onjuiste/verouderde informatie uit het JDS? In hoeveel gevallen is de screening vertraagd?

De RvdK heeft zowel voor de screening van adoptieouders als voor de voogdijverzoeken waar een JDS-check voor wordt uitgevoerd, JDS online kunnen raadplegen. Dit heeft de RvdK kunnen doen vóór dan wel na de periode dat het OM offline was. Voor de screening van pleegouders heeft de RvdK in de periode dat het OM offline was de screening doorgezet zonder de informatie van het OM van na 17 juli jl. Het gaat om 400 gevallen. Hier is voor gekozen vanwege de gewenste continuïteit enerzijds en een gering risico op missende relevante data anderzijds. Deze gevallen worden opnieuw bekeken nu het JDS geactualiseerd is, zoals toegelicht in de Kamerbrief van 12 augustus 2025. Als nieuwe, relevante informatie wordt aangetroffen op basis waarvan de RvdK besluit geen Verklaring van Geen Bezwaar (VGB) af te geven, wordt uiteraard direct contact opgenomen met de pleegzorgaanbieder die mede op basis daarvan beoordeelt of een gezin geschikt is om een kind te (blijven) verzorgen en op te voeden.

Vraag 7

Wanneer verwacht de Minister dat het JDS weer volledig is bijgewerkt en VOG-aanvragen weer zonder vertraging én met de volledige informatie in behandeling worden genomen?

Zoals ik heb aangegeven bij het antwoord op vraag 1, is het berichtenverkeer tussen Justid en het OM inmiddels weer volledig hervat en zijn de ontstane achterstanden ingelopen. Zodra de beslissingen van het OM en de Rechtspraak verwerkt zijn in het JDS, kunnen deze gegevens ook weer worden betrokken bij de beoordeling van VOG-aanvragen. Justis ontvangt in het kader van de continue screening met terugwerkende kracht meldingen van mutaties in het JDS vanaf 18 jl. en geeft waar van toepassing een signaal af aan de toezichthouder, voor zover dit niet reeds is gebeurd via het noodwerkproces voor de continue screening.

Vraag 8

Klopt het dat Justis in sommige gevallen aan werkgevers en werknemers adviseert om een VOG-aanvraag opnieuw in te dienen zodra het JDS weer geactualiseerd is? En wat zijn de gevolgen als een werkgever geen nieuwe VOG laat aanvragen?

Zoals aangegeven in het antwoord op vraag 3, heeft Justis ervoor gekozen het beoordelen van een VOG zo veel mogelijk te continueren. Deze VOG’s blijven rechtsgeldig. Zoals toegelicht in het antwoord op vraag 4 heeft Justis organisaties gewezen op de mogelijkheid om een nieuwe VOG te verlangen, zodra het JDS geactualiseerd is. Het is aan de organisaties om af te wegen of dit opportuun is gezien de risico’s van een functie.
Justis heeft verkend of het mogelijk en praktisch uitvoerbaar is een proces in te regelen voor een kosteloze herhaalaanvraag van een VOG of via een restitutieproces. Een kosteloze herhaalaanvraag en restitutie zijn enkel effectief als een aanvraag op korte termijn kan worden ingediend en vergoed.
Het inregelen van een kosteloze herhaalaanvraag of restitutieproces blijkt helaas niet uitvoerbaar binnen een korte termijn. Justis heeft onvoldoende capaciteit om een proces in te regelen zonder dat dit ernstig druk legt op het reguliere aanvraag- en beoordelingsproces. Het inregelen van een kosteloze herhaalaanvraag of restitutieproces zou daarmee tot onwenselijke vertragingen leiden voor toekomstige VOG-aanvragers. Ook kunnen benodigde systeemaanpassingen niet op korte termijn gerealiseerd worden.

Vraag 9

Wat betekent dit voor de rechtspositie van de aanvrager? Wordt de oorspronkelijke aanvraag in behandeling genomen zodra actuele informatie beschikbaar is, of moet de hele procedure opnieuw worden doorlopen? Wie draagt de kosten van de tweede aanvraag?

Zie antwoord vraag 8.

Vraag 10

Bent u bereid te verkennen of het redelijk is om de kosten voor deze herhaalde aanvragen (die voortkomen uit een verstoring binnen de overheid) worden vergoed, dan wel via coulance worden kwijtgescholden?

Zie antwoord vraag 8.

Vraag 1

Kunt u, naar aanleiding van uw beantwoording van eerdere schriftelijke vragen1, wellicht nog nader toelichten wat bedoeld wordt met «actief gebruik» in de zin «Er is in het heden of verleden geen actief gebruik van Palantir (licenties) bij het organisatieonderdeel NCTV2.»? Wordt er wellicht wel op een andere wijze («passief gebruik?») door de NCTV gebruikgemaakt van Palantir? Of kan uit dit antwoord geconcludeerd worden dat er op geen enkele wijze gebruik is gemaakt van Palantir door de NCTV? En los van het («actief» of «passief») gebruik, heeft de NCTV wel of geen (al dan niet via «samenwerkingsverbanden») toegang tot Palantir?

Met de eerdere beantwoording is bedoeld aan te geven dat er op geen enkele wijze gebruik is gemaakt van Palantir door de NCTV en tevens dat de NCTV ook geen toegang heeft tot Palantir.

Vraag 2

U schrijft dat de politie, in speciale gevallen, de «informatieproducten» afkomstig uit de Raffinaderij deelt met «ketenpartners»: wie zijn die «ketenpartners»?

In mijn eerdere beantwoording heb ik aangegeven dat informatieproducten afkomstig uit de analyseomgeving «de Raffinaderij» niet worden gedeeld met partijen buiten de politie.
Wel kan de politie op basis van een signaal afkomstig uit een informatieproduct op casusniveau contact leggen met ketenpartners. Dit kan als er sprake blijkt van een concrete verdenking van zware en georganiseerde criminaliteit of een hoge kans op aanslagen. Het informatieproduct zelf wordt niet gedeeld.
Ketenpartners waarmee de politie een signaal kan delen zijn bijvoorbeeld gemeenten of het Openbaar Ministerie. Hierbij worden vanzelfsprekend de verstrekkingsbepalingen uit de Wet politiegegevens (Wpg) in acht genomen.

Vraag 3

Welke datasets worden met die ketenpartners gedeeld?

Er worden geen datasets gedeeld met die ketenpartners.
Zoals hiervoor toegelicht kunnen alleen in zeer ernstige situaties de signalen afkomstig uit een informatieproduct vanuit «de Raffinaderij» op casusniveau worden gedeeld.

Vraag 4

Welke algoritmen worden door die ketenpartners of binnen de «samenwerkingsverbanden» hiervoor gebruikt en/of ontwikkeld?

Bij het delen van signalen op casusniveau worden geen algoritmen gebruikt en/of ontwikkeld.

Vraag 5

Worden deze algoritmen wellicht ook gepubliceerd op https://algoritmes.overheid.nl/nl/algoritme?

In het Algoritmeregister worden impactvolle algoritmes, waaronder hoog risico AI-systemen geregistreerd. De basale algoritmes binnen de software van Palantir die de politie gebruikt kwalificeren niet als AI-systeem. Omdat bij het gebruik van deze Palantir software door de politie ook geen sprake is van impactvolle algoritmes is dit niet in het Algoritmeregister opgenomen.

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?

Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?

Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?

De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?

Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?

Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?

BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

De vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Kunt u toelichten welke herstelstappen sinds de hack zijn gezet om herhaling te voorkomen en hoe u de effectiviteit van deze maatregelen verifieert, specifiek met het oog op bescherming van gevoelige categorieën informatie, zoals adressen van Blijf-van-mijn-lijf-huizen en andere beschermde opvanglocaties, gegevens over kroongetuigen en hun naasten, dossiers over zware georganiseerde misdaad en terrorisme, interne HR-dossiers die officieren van justitie en andere functionarissen mogelijk chantabel of afpersbaar maken?

Er zijn sinds de ontdekking van de ICT-inbreuk meerdere herstelstappen gezet. Hierover is uw Kamer per brief op 23 juli, 4 augustus, 12 augustus en 3 september geïnformeerd.1 Het OM voldoet aan de kaders en richtlijnen voor informatiebeveiliging die door het Rijk en het Ministerie van Justitie en Veiligheid worden voorgeschreven. Het OM is dit verplicht als zelfstandige organisatie binnen het justitiedomein. Dit zal voor de toekomst ongewijzigd blijven en langs deze kaders en richtlijnen zijn de herstelwerkzaamheden ook verder uitgevoerd.
De livegang van de systemen van het OM vond stapsgewijs plaats zodat per stap extra monitoring en detectie kon plaatsvinden. Elk systeem dient zeker te worden gesteld voordat het weer live kan gaan. Die fasering heeft te maken met de volgorde waarin systemen moeten worden opgestart; die volgorde voorkomt dat werkprocessen met en tussen ketenpartners worden verstoord als informatie uit de verschillende systemen niet in de goede volgorde wordt ingeladen. Over de impact op de strafrechtketen naar aanleiding van de offlinegang van het Openbaar Ministerie (OM) is uw Kamer reeds geïnformeerd.2 Ook is uw Kamer geïnformeerd over het besluit dat samen met het OM is genomen om onderzoek te doen over de ICT-inbreuk.3 Dat onderzoek zal zich onder andere moeten richten op de wijze waarop incidenten in de informatiebeveiliging in de toekomst voorkomen kunnen worden.

Vraag 2

In hoeverre kan technisch of forensisch worden vastgesteld of adressen van Blijf-van-mijn-lijf-huizen en andere beschermde opvanglocaties, gegevens over kroongetuigen en hun naasten of dossiers over zware georganiseerde misdaad en terrorisme, daadwerkelijk zijn ingezien of buitgemaakt?

Vraag 3

Welke specifieke maatregelen zijn genomen om te achterhalen of HR-dossiers van medewerkers, inclusief aanklagers en officieren van justitie, mogelijk in handen van kwaadwillenden zijn gekomen en hen kwetsbaar maken voor chantage en/of afpersing?

Vraag 4

Zijn er signalen of indicaties dat met mogelijk buitgemaakte informatie al pogingen zijn gedaan om procespartijen, getuigen of medewerkers van het Openbaar Ministerie (OM) te beïnvloeden of te intimideren?

Vraag 5

Betekent, dat u stelt dat er geen aanwijzingen zijn voor datamanipulatie, ook kunt uitsluiten dat gevoelige gegevens zijn gekopieerd of op termijn kunnen worden misbruikt? Zo nee, welke voorzorgsmaatregelen zijn getroffen tegen langdurig sluimerend misbruik?1

Vraag 6

Kunt u uiteenzetten hoe het OM en het ministerie ervoor zorgen dat ook ketenpartners zoals politie, rechtspraak en opvanginstellingen volledig op de hoogte zijn van de mogelijke risico’s, zodat zij preventief maatregelen kunnen nemen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en op alle samenwerkingspartners. De samenwerkingspartners werden goed geïnformeerd door het OM. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen bent u op 12 augustus jl. geïnformeerd.5

Vraag 7

Acht u het zinvol en noodzakelijk om, naar analogie van de kritische financiële sector, zo snel mogelijk de eis neer te leggen dat bij organisaties met een essentiële rol in de rechtsstaat, zoals het OM, een onafhankelijke risicofunctie wordt belegd, met specifieke focus op cyberveiligheid en integriteitsbescherming?

Ik acht het zinvol dat het OM hier op in blijft zetten, vanwege de (digitale) weerbaarheid van deze kritische organisatie binnen de rechtsstaat. Dit vraagt continu aandacht gezien de toenemende dreiging van verschillende actoren. Grotendeels wordt dit vormgegeven door het CIO-stelsel Rijk6 en de compliance structuren die daaruit volgen. Voorbeelden hiervan waar het OM gebruik van maakt zijn de Baseline Informatiebeveiliging Overheid (BIO) en het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI).
Zoals ik onder mijn antwoord op vraag 1 ook heb vermeld, zal ik samen met het OM een onderzoek laten uitvoeren naar de ICT-inbreuk. Hiervoor zal een onafhankelijke commissie van nog aan te stellen deskundigen op het gebied van onder meer cybersecurity, IT en informatievoorziening worden ingesteld. Een deel van het onderzoek zal zich richten op het versterken van de weerbaarheid van de IT en informatievoorziening van het OM, mede in relatie tot de ketenorganisaties. Over de planning en resultaten van het onderzoek zal ik u op een later moment verder informeren.

Vraag 8

Bent u bereid de Kamer periodiek en vertrouwelijk te informeren over de stand van zaken, ook als er geen nieuwe incidenten worden ontdekt, om het vertrouwen in de veiligheid van het OM te herstellen en te behouden?

Ik informeer de Kamer al regelmatig over de stand van zaken.

Vraag 1

Wat is uw reactie op het bericht dat artsen die leunen op AI minder scherp worden en ziektes minder goed herkennen?1

Ik heb kennis genomen van het artikel en volg de ontwikkelingen rondom AI in de zorg met aandacht. Het is goed dat er vanuit de wetenschap aandacht is voor zowel de kansen als de risico’s die de introductie van nieuwe technologieën, zoals AI, meebrengen. AI biedt kansen als ondersteunende technologie en zal het werk van zorgprofessionals gaan veranderen. De risico’s zullen samen met het veld zorgvuldig moeten worden onderzocht en in een lerende cultuur gezamenlijk moeten worden opgepakt.

Vraag 2

Hoe verhoudt dit vermoedelijke «deskilling»-effect van het gebruik van AI in de gezondheidszorg zich tot de inzet van uw ministerie op het stimuleren van AI in de zorg?

Ik zie de kansen die AI de zorgsector als hulpmiddel biedt. Voorwaarde is dat de veiligheid van het zorgproces gewaarborgd blijft. Toepassing van AI vraagt uiteraard nieuwe vaardigheden van onze zorgprofessionals. Zij moeten voldoende worden toegerust om technologisch vaardig en kritisch geletterd te werk te kunnen gaan. Daarom heb ik onlangs in het Aanvullend Zorg- en Welzijnsakkoord (AZWA)2 afspraken gemaakt over de inzet van generatieve en diagnostische AI.
Daar hoort ook bij dat zorgprofessionals trainingen kunnen volgen op het moment dat zij met deze AI tools aan de slag zullen gaan. Zorginstellingen zijn zelf verantwoordelijk voor de keuze voor en veilige inzet van AI toepassingen binnen hun organisatie. VWS ondersteunt de zorgsector met behulp van de inzet van opleidingsmiddelen en steun voor de Coalitie Digivaardig in de Zorg.

Vraag 3

Welke stappen gaat u zetten om te voorkomen dat het toenemende gebruik van AI in de Nederlandse zorg zal leiden tot afnemende vaardigheden van zorgprofessionals?

Zie het antwoord op vraag 2.

Vraag 4

In hoeverre wordt in de zorg in Nederland in de gaten gehouden of inzet van bepaalde AI-toepassingen ook zorgt voor ongewenste bijeffecten zoals het verlies van vaardigheden?

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de digitale zorg, waaronder AI-toepassingen in de zorg. De IGJ maakt bij dat toezicht gebruik van het gepubliceerde Toetsingskader Digitale Zorg. Zorgaanbieders moeten beschikken over voldoende kennis over de risico’s en beperkingen van AI. De IGJ adviseert zorgaanbieders hierop alert te zijn, zowel bij de aanschaf, implementatie als het gebruik van generatieve AI-toepassingen. Bijvoorbeeld door het vaststellen van het doel van de toepassing, bepalen welke data nodig zijn, controleren van resultaten en beoordelen van risico’s. Het risico van verlies van vaardigheden is daarbij één van de mogelijke risico’s die bij de risicobeoordeling door de zorgaanbieder kan worden betrokken.
Organisaties die AI-systemen ontwikkelen of gebruiken, moeten sinds 2 februari 2025 zorgen dat hun werknemers «AI-geletterd» zijn op basis van de Europese AI-verordening3. In het AZWA staan daarnaast afspraken opgenomen over de AI-gereedheid bij zorgorganisaties en het gebruik van zelfevaluatietools voor het verbeteren van de AI-gereedheid. (Ongewenste) bijeffecten kunnen niet volledig op voorhand voorzien worden.

Vraag 5

Wat is uw reactie op het bericht «AI kan radioloog vervangen bij borstkankerscreening, blijkt uit Nederlands onderzoek»?2

Ik ben bekend met het betreffende onderzoek naar de inzet van AI ter vervanging van één van de twee radiologen die een mammogram beoordeelt in het kader van het bevolkingsonderzoek borstkanker, evenals met andere onderzoeken naar de inzet van AI in het bevolkingsonderzoek borstkanker. Deze onderzoeken tonen aan dat AI potentie heeft om het bevolkingsonderzoek borstkanker verder te verbeteren. Dit is ook geconstateerd door de Gezondheidsraad, in het advies van maart 2024 over de verbetermogelijkheden voor het bevolkingsonderzoek borstkanker.5 De Gezondheidsraad adviseert wat betreft AI voorbereidingen te treffen voor de inzet in het bevolkingsonderzoek borstkanker. Bij veranderingen in de bevolkingsonderzoeken, laat ik me doorgaans leiden door adviezen van de Gezondheidsraad die zijn gebaseerd op de stand van de wetenschap. Dat is van belang omdat het altijd gaat om het balanceren tussen het opsporen van kanker versus nadelen van screening zoals onnodige doorverwijzingen. Daarom treffen het RIVM en Bevolkingsonderzoek Nederland (BVO NL) op dit moment voorbereidingen voor de inzet van AI in het bevolkingsonderzoek borstkanker. Hierover is uw Kamer op 20 maart 2025 geïnformeerd.6 De verwachting is dat AI op z’n vroegst in 2028 ingezet kan worden in het bevolkingsonderzoek, maar ter voorbereiding wordt er al wel mee proefgedraaid. Voor de implementatie van AI bij het bevolkingsonderzoek borstkanker is dekking voorzien in het AZWA.7
Hiermee wordt tevens invulling gegeven aan de motie van de leden Slagt-Tichelman en Westerveld8 en de motie van het lid Claassen die is ingediend bij het Tweeminutendebat digitale ontwikkelingen in de zorg van 4 september 20259.

Vraag 6

Wat zou het effect zijn op het uitnodigingsinterval bij het bevolkingsonderzoek borstkanker als voortaan één radioloog in plaats van twee nodig zou zijn om de scans te analyseren?

Met de inzet van AI bij het beoordelen van de mammogrammen in het bevolkingsonderzoek kan radiologiecapaciteit bespaard worden. Nu worden mammogrammen standaard door twee radiologen beoordeeld, met de inzet van AI zou dat inderdaad kunnen veranderen. Het vervangen van één radioloog door AI bij de beoordeling van een mammogram zal echter geen effect hebben op het verlengde uitnodigingsinterval bij het bevolkingsonderzoek borstkanker. De capaciteitsproblemen die het verlengde uitnodigingsinterval hebben veroorzaakt, liggen niet bij de radiologie. Het gaat vooral om een tekort aan laboranten waardoor het niet mogelijk is om de doelgroep iedere twee jaar uit te nodigen. De laboranten zijn verantwoordelijk voor het maken van de mammogrammen.

Vraag 7

Wat zijn de mogelijkheden en plannen om deze techniek breder in te zetten in de Nederlandse borstkankerzorg en wordt dit vergoed?

Zoals ik ook heb aangegeven in het antwoord op vraag 5, geldt voor het bevolkingsonderzoek borstkanker dat de inzet van AI wordt voorbereid. Hiervoor zijn middelen gereserveerd in het AZWA.

Vraag 8

In hoeverre speelt hierbij ook het risico op «deskilling» van radiologen?

Voor het bevolkingsonderzoek geldt dat een mogelijk verlies van vaardigheden een belangrijk onderwerp is van afgeronde en lopende onderzoeken naar de inzet van AI ter vervanging van de radioloog. Dit is ook een belangrijk aandachtspunt voor het RIVM en BVO NL bij de voorbereidingen die zij treffen voor de inzet van AI in het bevolkingsonderzoek. Zij bekijken hoe AI zo kan worden ingezet dat het niet leidt tot het ongewenst verlies van vaardigheden van de radiologen. Onderwijs, training en kwaliteitsborging spelen hierin een belangrijke rol. Alleen zo kan worden gewaarborgd dat de inzet van AI het bevolkingsonderzoek verbetert. Overigens zien we in de landen waar AI al verder uitgerold is, zoals Zweden en Denemarken dat de uitkomsten van het bevolkingsonderzoek nog steeds accuraat zijn.

Vraag 9

Herinnert u zich de uitspraak «Mijn doel is om in 2030 de administratietijd te halveren. Kunstmatige Intelligentie (AI) biedt veel mogelijkheden om hieraan bij te dragen en tegelijkertijd de uitdagingen op de arbeidsmarkt in de zorgsector aan te pakken» van toenmalig Minister Agema?3In hoeverre onderschrijft u deze uitspraak? Wat zijn de meest recente schattingen van de mogelijkheden om de administratietijd in de zorg terug te dringen via AI?

Ik herinner mij deze uitspraak. Ik onderschrijf net als mijn ambtsvoorganger dat passende inzet van AI een van de mogelijkheden is om de administratietijd te verminderen. AI is daarvoor niet de enige oplossing, er is meer nodig om het personeelstekort op te lossen. De aanpak is daarom veel breder. Naast de inzet van AI zet ik ook in op andere maatregelen voor het halveren van de administratietijd, de juiste medewerker op de juiste plek en het vergroten van vakmanschap en werkplezier. Uit een analyse gericht op de verwachte impact en potentie van de AZWA (concept)afspraken heeft KPMG geconcludeerd dat de inzet van AI en beperking van de administratieve lasten tot de afspraken behoren die de grootste potentiële arbeidsbesparing kunnen opleveren. Gezamenlijk leveren de geanalyseerde conceptafspraken een geschatte arbeidsbesparing op van circa 37.000 werknemers in het lage scenario tot circa 125.000 werknemers in het hoge scenario. De grootste potentiële bijdrage komt daarbij consistent van afspraken over AI en technologische innovatie.11

Vraag 1

Kunt u bevestigen dat het datalek bij laboratorium Clinical Diagnostics veel groter blijkt dan eerder gemeld, en dat naast gegevens van 485 duizend vrouwen ook data van onderzoeken naar huid, urine, penis, anus en wondvocht zijn buitgemaakt?1

Het laboratorium Clinical Diagnostics heeft in zijn eerste berichtgeving over de hack aan Bevolkingsonderzoek Nederland (BVO NL) gemeld dat daarbij de gegevens van ruim 485.000 deelnemers van het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd. Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Uit contact met het laboratorium en Stichting Z-Cert (het expertisecentrum voor cybersecurity in de zorg) is naar voren gekomen dat de omvang van het datalek, naast de deelnemers van het bevolkingsonderzoek baarmoederhalskanker, inderdaad groter blijkt te zijn. Zo heeft de Staatssecretaris Rechtsbescherming uw Kamer geïnformeerd dat ook gegevens van 266 (ex-)gedetineerden betrokken zijn bij de hack.2 Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 2

Hoe beoordeelt u het feit dat gegevens, inclusief burgerservicenummer, medische uitslagen en adviezen, deels op het dark web zijn verschenen en dat criminelen claimen 300 gigabyte aan data te hebben gestolen?

Ik betreur het ten zeerste dat persoonsgegevens van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd als gevolg van een hack bij het laboratorium Clinical Diagnostics. Bovenal voor de deelnemers die direct geraakt zijn door de hack, aangezien het grote impact kan hebben als je gegevens in verkeerde handen komen. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens zijn bemachtigd bij een hack en mogelijk op het dark web zijn verschenen, is dat een ontzettende schok. Ook voor alle andere (potentiële) deelnemers aan de bevolkingsonderzoeken vind ik de situatie betreurenswaardig. Deelnemers aan de bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Ik begrijp heel goed dat zij zich zorgen kunnen maken en vragen hebben.
Ik vind het belangrijk dat deelnemers zo goed mogelijk worden geïnformeerd over de hack. Betrokken zijn of worden door BVO per brief geïnformeerd. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum3 van BVO NL.

Vraag 3

Wat vindt u van het feit dat het datalek al op 6 juli 2025 bekend was bij het laboratorium, maar pas op 6 augustus 2025 is gemeld aan Bevolkingsonderzoek Nederland?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de Autoriteit Persoonsgegevens (AP) en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Kunt u bevestigen dat ook gegevens van patiënten van huisartsen en ziekenhuizen zoals het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis zijn gelekt? Wat betekent dit voor de verantwoordelijkheid van deze instellingen?

Uit contact met het laboratorium en Stichting Z-Cert is naar voren gekomen dat de omvang van het datalek inderdaad groter blijkt te zijn dan het bevolkingsonderzoek baarmoederhalskanker. Zoals ik afgelopen vrijdag en vandaag in aparte brieven uw Kamer heb laten weten, blijkt dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack, ook deze deelnemers worden hierover door BVO NL geïnformeerd.
Desgevraagd Iheeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 5

Welke concrete maatregelen zijn inmiddels genomen om de schade voor betrokken burgers te beperken en herhaling te voorkomen?

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van de hack zoveel mogelijk te beperken, zijn de volgende maatregelen genomen:
De komende periode beziet BVO NL op welke wijze de consequenties van de hack zoveel mogelijk kunnen worden beperkt. Ik sta hierover in nauw contact met het RIVM en BVO NL.
Van het laboratorium heb ik vernomen dat de betrokken zorgverleners en patiënten worden geïnformeerd en gewezen op de mogelijke risico’s. Om herhaling te voorkomen heeft het laboratorium aanvullende maatregelen getroffen, waaronder het verder beperken van de toegang tot de getroffen IT-omgeving en verscherpte monitoring door het Security Operations Center (SOC)-team op de IT-omgeving.

Vraag 6

Hoe kan het dat Bevolkingsonderzoek Nederland en andere zorginstellingen geen gebruik maken van bijvoorbeeld Privacy by Design technieken, waardoor herleidbare persoonsgegevens niet uitgewisseld hoeven te worden tussen een extern laboratorium en de zorginstelling?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.

Vraag 7

Welke verbeteringen gaat u doorvoeren in het toezicht op digitale veiligheid bij laboratoria en andere zorginstellingen? Welke verbeteringen ziet u voor de lange termijn?

Digitale veiligheid vormt een essentieel aandachtspunt voor de gehele maatschappij. Op het gebied van de informatiebeveiliging in de zorg is er al sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-Cert, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Deze meldplicht aan de IGJ bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 8

Hoe beoordeelt u de keuze om gezondheidsdata te laten beheren door private laboratoria? Kunt u toezeggen om te onderzoeken of centrale overheidsregie op digitale gezondheidsdata uitvoerbaar en wenselijk is?

Privacyregelgeving geldt voor iedereen, dus zowel voor publieke als private partijen. Vanuit dat oogpunt is er geen bezwaar om gezondheidsdata te laten beheren door private laboratoria.
Met betrekking tot het tweede aspect van uw vraag, het regievoeren op het organiseren van het gezondheidsinformatiestelsel, waar de organisatie van digitale gezondheidsdata een belangrijk onderdeel van is, gebeurt door het uitvoeren van de in april door de Tweede Kamer goedgekeurde Nationale Visie en Strategie (NVS) op het Gezondheidsinformatiestelsel4. In deze visie staat hoe de opslag en het beheer van digitale gezondheidsdata worden vormgegeven. Privacy en informatiebeveiligingseisen zijn een integraal onderdeel van de NVS, voor primaire zorginformatie en voor informatie zoals die gebruikt wordt voor het bevolkingsonderzoek.

Vraag 9

Bent u bekend met systemen waarbij data bij de bron wordt onthouden en pas bij verwijzing kunnen worden ingezien, met volledige logging van inzage? Hoe beoordeelt u de veiligheid van dit decentrale model ten opzichte van een centraal systeem zoals in Estland?

Ik ben bekend met de systemen waar u op doelt, het zogenoemde communicatiepatroon «gericht beschikbaar stellen», waarbij volledige logging van inzage plaats moet vinden. Ook in de situatie van laboratoriumonderzoek zou gebruik gemaakt kunnen worden van dit communicatiepatroon. Dit communicatiepatroon kan echter niet het hacken van data uit het laboratorium zelf voorkomen.
Met betrekking tot het tweede aspect van uw vraag, de inrichting van zorgstelsels in verschillende landen is niet altijd goed met elkaar te vergelijken. Veiligheidsvraagstukken en de afweging tussen centraal en decentraal worden meegenomen bij de inrichting van het gezondheidsinformatiestelsel op basis van de NVS.

Vraag 10

Is er inmiddels aangifte gedaan van deze hack? Zo ja, door wie en op welk moment? Is dit voor of na de melding op 6 augustus jl. aan Bevolkingsonderzoek Nederland? En mocht dit voor de melding op 6 augustus zijn geweest, hoe beoordeelt u de communicatie van organisaties bij datalekken, welke verbeteringen ziet u?

Over de vraag of er door direct betrokkenen aangifte is gedaan, kan ik mij niet uitlaten.

Vraag 11

Welke rol speelt de Inspectie Gezondheidszorg en Jeugd in het toezicht op digitale veiligheid bij laboratoria? Wordt deze rol versterkt?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wabvpz en Wkkgz). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.

Vraag 12

Wat kan de overheid nog doen als gegevens eenmaal op het dark web zijn verschenen, en hoe wordt de schade voor de betrokken burgers beperkt?

Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn.
Hoewel de mogelijkheden om schade volledig te voorkomen beperkt zijn, kunnen er door zorginstellingen wel maatregelen worden genomen om de (toekomstige) impact voor betrokkenen zoveel mogelijk te beperken. Een belangrijke stap is het tijdig informeren van betrokkenen zodra wordt vastgesteld dat hun gegevens op het dark web zijn aangetroffen. Hacks waarbij zoveel data worden bemachtigd, vergroten namelijk het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
Door snel te informeren, kunnen betrokkenen proactief maatregelen nemen, zoals het wijzigen van wachtwoorden of het melden van mogelijke identiteitsfraude bij de daarvoor bestemde instanties (bijvoorbeeld bij de Rijksdienst voor Identiteitsgegevens5).

Vraag 13

Kunt u uitsluiten dat andere laboratoria of zorginstellingen eveneens slachtoffer zijn van deze of vergelijkbare hacks?

Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Z-Cert monitort continu de informatiebeveiliging van de bij hen aangesloten zorgaanbieders en informeert deze aanbieders over mogelijke risico’s in hun informatiebeveiliging.

Vraag 14

Bent u bereid om een landelijke audit op databeveiliging bij zorginstellingen te laten uitvoeren, en daarbij ook de rol van de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Nationaal Cyber Security Centrum te betrekken?

Nee, het is niet aan mij om landelijke audits uit te voeren. Zorginstellingen in Nederland zijn zelf verantwoordelijk en wettelijk verplicht voor het nemen van technische en organisatorische maatregelen ter bescherming van persoonsgegevens en medische informatie binnen hun organisatie. Zij dienen die maatregelen periodiek te evalueren en zo nodig aan te passen. De AP en de IGJ houden toezicht op de naleving van de betreffende regelgeving.
Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 15

Deelt u de mening dat het vertrouwen in bevolkingsonderzoeken ernstig wordt geschaad door dit datalek?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over deze hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ik wil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 16

Welke maatregelen neemt u om het vertrouwen in bevolkingsonderzoeken te herstellen en deelname te stimuleren?

BVO NL onderneemt verschillende acties om de gevolgen van de hack zoveel mogelijk te beperken:
Ik verwacht dat deze acties bijdragen aan het behouden van vertrouwen in de bevolkingsonderzoeken.
Daarnaast lopen er momenteel verschillende pilots van het RIVM samen met BVO NL om de deelname aan de bevolkingsonderzoeken te stimuleren, waaronder een wijkgerichte aanpak, waarbij door een gezondheidsvoorlichter van het RIVM voorlichting wordt gegeven in wijkcentra in wijken waar de opkomst bij de bevolkingsonderzoeken laag is. Daarnaast wordt voorlichting gegeven op lokale evenementen en festivals en bij voedselbanken. Hierin wordt onder meer samengewerkt met gemeenten en GGD’en. Eventuele signalen die bij deze voorlichting naar voren komen wat betreft de informatievoorziening rond de hack, worden in overleg met BVO NL benut om de informatievoorziening vanuit BVO NL toegankelijker en begrijpelijker te maken.

Vraag 17

Hoe wordt de communicatie richting burgers afgestemd op de ernst van het datalek, en hoe worden deelnemers aan het bevolkingsonderzoek proactief geïnformeerd?

Op 11 augustus heeft BVO NL een nieuwsbericht naar buiten gebracht over de hack bij het laboratorium, om mensen te informeren en te waarschuwen. In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
In deze brief worden deelnemers onder andere geïnformeerd over het belang van alert zijn op fraude. Nu duidelijk is geworden dat meer deelnemers aan het bevolkingsonderzoek zijn getroffen, zullen ook deze deelnemers hierover door BVO NL worden geïnformeerd. Hierover heeft BVO NL op 29 augustus een nieuwsbericht gepubliceerd.
Op de website van BVO NL wordt de informatie voortdurend geüpdatet en worden veelgestelde vragen en antwoorden aangevuld. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van Bevolkingsonderzoek Nederland. 6

Vraag 18

Bent u bereid om met Gemeentelijke Gezondheidsdiensten, huisartsen en Bevolkingsonderzoek Nederland een herstelplan op te stellen voor het vertrouwen in preventieve zorg na dit incident?

Ik wacht op de uitkomsten van de lopende onderzoeken. Hieruit zullen lessen worden getrokken voor verbeteringen in de toekomst. Hierbij kijk ik ook zeker naar het vertrouwen in de preventieve zorg.

Vraag 19

Kunt u als Minister en Staatssecretaris, gezien de ernst van de situatie, toezeggen om voor 1 september 2025 uitgebreid antwoord te geven op bovenstaande vragen, inclusief een visie op de toekomst van digitale gezondheidsdata en cyberveiligheid in de preventieve zorg?

Met de Nationale Visie en Strategie voor het gezondheidsinformatiestelsel, zoals 14 april 2025 door Tweede Kamer akkoord bevonden, is een totaalvisie op het gezondheidsinformatiestelsel voor zorg, preventie en gezondheid gegeven. Mijn ministerie is nu druk bezig om deze visie te realiseren. Om die met vertrouwen van burger en zorgverlener te kunnen realiseren, zijn cyberveiligheid, privacy en informatiebeveiliging van wezenlijk belang en dus ook een integraal onderdeel van de strategie. Dit geldt voor zowel de primaire zorg en preventiezorg als voor gezondheidsdoeleinden.
De vragen zijn per 1 september beantwoord. Ik blijf uw Kamer op de hoogte stellen.

Vraag 1

Bent u bekend met het bericht: «Digitale werkomgeving OM inderdaad gehackt, onderzoek moet uitwijzen welke informatie is gestolen»?1

Ja.

Vraag 2

Wat werd aangetroffen in de eerste scans van het Nationaal Cyber Security Centrum (NCSC) waaruit bleek dat onbevoegden de systemen van het Openbaar Ministerie (OM) zijn binnengedrongen?

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen had losgekoppeld van het internet. Het NCSC heeft met gerichte scans gezocht naar kwetsbare of mogelijk gecompromitteerde systemen. Een analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er gebruik is gemaakt van deze mogelijke kwetsbaarheid. Het NCSC heeft daarop het OM geïnformeerd en geadviseerd om nader onderzoek te verrichten. Inmiddels is een eerste technisch en forensisch onderzoek uitgevoerd.2 Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 3

Bent u op de hoogte van het soort gegevens dat mogelijk is ingezien of buitgemaakt door onbevoegden? Heeft u gericht maatregelen genomen op basis van deze informatie?

Zoals aangegeven in de beantwoording van vraag 2 is zijn er tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader onderzoek gedaan. Over het lopende strafrechtelijk onderzoek kan ik u gedurende dat onderzoek geen mededelingen doen.

Vraag 4

Zijn er aanwijzingen dat persoonsgegevens van medewerkers, zoals e-mailadressen, inloggegevens, telefoonnummers of privéadressen, zijn buitgemaakt of ingezien door onbevoegden?

Zie antwoord vraag 3.

Vraag 5

Wordt er onderzocht welke gevolgen deze hackaanval kunnen hebben voor de digitale en fysieke veiligheid van OM-medewerkers, met name zij die betrokken zijn bij zware strafzaken ten aanzien van ondermijnende criminaliteit? Zo nee, bent u bereid dit wel te doen?

Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 6

Zijn er aanwijzingen dat persoonsgegevens van getuigen of slachtoffers zijn buitgemaakt of ingezien door onbevoegden? Wat doet u om hun veiligheid te waarborgen?

Zie antwoord vraag 5.

Vraag 7

Is er een (voorlopige) risicoanalyse gemaakt en worden er op basis daarvan al maatregelen genomen om kwetsbaarheden af te dekken, naast het offline halen van het OM?

Er zijn maatregelen genomen om kwetsbaarheden af te dekken. Inmiddels gaat het OM stapsgewijs weer online. Dit proces moet zorgvuldig worden ingericht, met versterkte monitoring en detectie, omdat misbruik nooit helemaal kan worden uitgesloten.3

Vraag 8

Welke overheidsorganisaties maken nog meer gebruik van Citrix-software die dezelfde kwetsbaarheid bevat? Welke maatregelen nemen zij om mogelijke hackaanvallen te onderzoeken en zo nodig hun systemen veilig te stellen, gezien u in de brief van 23 juli j.l. schrijft dat het NCSC heeft geadviseerd dat alle organisaties die deze software gebruiken mogelijk misbruik moeten onderzoeken (Kamerstuk 26 643, nr. 1377)?

Het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk gebruik en misbruik van de kwetsbaarheden, ook als de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek en het handelingsperspectief van het NCSC bij alle departementen middels meerdere CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.
Het NCSC vervult een coördinerende rol in de informatie-uitwisseling door continu informatie samen te brengen en te delen, zodat organisaties zelf in staat zijn aanvullend onderzoek te verrichten. Binnen de juridische kaders verstrekt het NCSC informatie als duiding, handelingsperspectieven en beveiligingsadviezen via verschillende netwerken en (openbare) kanalen aan zowel publieke als private organisaties.
Ik kan alleen ingaan op de organisaties die onder mijn departement vallen en verwijs daarvoor onder meer naar de Kamerbrieven van 17 juli jl.4 en van 12 augustus jl.5

Vraag 9

Hoe wordt actuele en relevante informatie uit het onderzoek van het OM gedeeld met andere organisaties die mogelijk ook zijn getroffen door een hackaanval? Bent u bereid deze informatie ook proactief met commerciële partijen te delen?

Zie antwoord vraag 8.

Vraag 10

Hoe worden ketenpartners waar de systemen van het OM mee zijn geïntegreerd betrokken bij deze operatie? Ontvangen zij ook steun voor het onderzoeken van eigen systemen of om belemmeringen in hun werk te voorkomen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en alle samenwerkingspartners. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen heb ik u op 12 augustus jl. geïnformeerd.6

Vraag 11

Is het mogelijk om het herstel van de OM-systemen sneller te laten verlopen dan de verwachte wekenlange operatie? Zo ja, bent u bereid capaciteit vrij te maken om dit te versnellen?

Op basis van de onderzoeksresultaten van het technisch en forensisch onderzoek – en het naarmate het offline zijn van het OM langer duurt, steeds zwaarwegender belang van het goed functioneren van de strafrechtketen en de impact daarvan op de maatschappij – heeft het College van procureurs-generaal het besluit genomen dat het verantwoord en wenselijk is om het OM weer in fasen online te laten gaan. Over deze stapsgewijze livegang van het OM heb ik uw Kamer op 4 augustus geïnformeerd.7

Vraag 12

Wat zijn de praktische gevolgen van het offline halen van de systemen voor OM-medewerkers en lopende strafzaken? Is de organisatie voldoende uitgerust om taken analoog of met back-up systemen volwaardig op te pakken?

Medewerkers van het OM konden alleen inloggen op kantoorlocaties, waren niet per mail bereikbaar en er was sprake van een beperkte functionaliteit van de systemen.8 In de periode dat het OM geheel offline was kon er geen enkele digitale informatie van en naar het OM worden gestuurd. Dit raakten alle ketenpartners in en rondom de strafrechtketen. Het OM en ketenpartners stelden werkprocessen vast om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren. Daarnaast had het OM speciale aandacht voor het informeren van slachtoffers en hun gemachtigden. Dit toont de inventiviteit, enorme inzet en bereidheid om samen te werken in de strafrechtketen. Over de verdere impact op de organisaties in en rondom de strafrechtketen heb ik u op X augustus geïnformeerd.9

Vraag 13

Worden verdachten, advocaten, rechters en andere betrokkenen in de keten actief geïnformeerd over de gevolgen die zij mogelijk ondervinden?

Het OM heeft Q&A’s geplaatst op de eigen website met daarin de veelgestelde vragen op een rij voor de advocatuur, inclusief een apart overzicht voor slachtofferadvocatuur en daarnaast voor slachtoffers. Ook is informatie over de telefonische bereikbaarheid van het OM opgenomen.10 Deze overzichten worden steeds bijgewerkt. Ook op de website van de Rechtspraak is een overzicht met veelgestelde vragen te vinden over de invloed die de IT-problemen bij het OM kunnen hebben op lopende strafzaken.11 Het CJIB en Slachtofferhulp Nederland (SHN) geven op hun websites aan dat de situatie bij het OM gevolgen heeft voor de eigen werkzaamheden en dat – ook met de gegeven alternatieve oplossingen – als gevolg daarvan slachtoffers in bepaalde gevallen mogelijk minder goed geïnformeerd en/of proactief ondersteund kunnen worden.12

Vraag 14

Wanneer is er sprake van genoeg zekerheid om (delen van) het interne systeem weer online te brengen? Hoe voorkomt u dat er uit haast onvoldoende voorzorg wordt genomen, zolang niet precies bekend is wat de ernst van de hack is?

Zoals reeds aan uw Kamer gemeld, zijn er tot op heden er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Op 4 augustus jl. heb ik u geïnformeerd over het stapsgewijs weer online gaan van de systemen van het OM.13 Dit proces wordt zorgvuldig ingericht met versterkte monitoring en detectie. Ik heb het OM verzocht om bij deze gefaseerde livegang in afstemming met de keten te bezien welke essentiële processen met prioriteit weer gedigitaliseerd doorgang moeten vinden.

Vraag 15

Hoe draagt u bij aan het zo snel mogelijk inzicht krijgen van de gevolgen en het veilig online brengen van de het interne OM-netwerk? Stelt u hiervoor extra capaciteit beschikbaar?

Zie antwoord vraag 14.

Vraag 16

Is de Autoriteit Persoonsgegevens betrokken bij deze operatie? Kunt u hen nauw betrekken zodat er snel gehandeld kan worden als blijkt dat persoonsgegevens ingezien of buitgemaakt zijn?

De Autoriteit Persoonsgegevens is reeds door het OM en JIO ingelicht over de situatie. Waar nodig wordt vanzelfsprekend nauw contact onderhouden met de Autoriteit Persoonsgegevens.

Vraag 17

Heeft u contact gehad met Citrix over de kwetsbaarheid in hun software? Kan de leverancier bijdragen aan een oplossing voor het OM?

Ja, met Citrix is regelmatig contact over de kwetsbaarheden en oplossingen hiervoor.

Vraag 18

Kunt u, zo nodig vertrouwelijk, de Kamer informeren over de interne toelichting die is gegeven aan het OM en bekend is bij het NRC?

Ik acht het niet opportuun om in te gaan op mediaberichtgeving over interne communicatie binnen het OM. Het is aan het OM om daar al dan niet op te reageren. Voor het overige verwijs ik naar de Kamerbrieven die uw Kamer over dit onderwerp zijn toegestuurd.

Vraag 19

Kunt u deze vragen afzonderlijk van elkaar en spoedig beantwoorden, en indien mogelijk betrekken bij de eerstvolgende update over de situatie?

Waar relevant zijn antwoorden samengevoegd om herhaling te voorkomen.