Kamervragen

Alle

19 september 2024 - 14 november 2024

56 dagen

De aanval op Nederlandse apparaten door Chinese staatshackers
	Hanneke van der Werf (D66), Barbara Kathmann (PvdA)
	Zsolt Szabó (VVD), Caspar Veldkamp (minister ) (NSC), David van Weel (minister )

Bronnen

1. NU.nl, 18 september 2024, Duizenden apparaten in Nederland getroffen …

Vraag 1

Bent u bekend met het bericht «Duizenden apparaten in Nederland getroffen door Chinese staatshackers»?1

Ja, alle aangeschreven bewindspersonen zijn bekend met het bericht.
Vraag 2

Sinds wanneer is deze hack bij u bekend? Hoeveel tijd is er verstreken tussen de initiële aanval en het moment dat het onder uw aandacht kwam?

De Nederlandse overheid is enkele dagen voor de publicatie van de FBI op 18 september 2024 in vertrouwen geïnformeerd over deze casus door de VS. De gehackte Nederlandse apparaten waren onderdeel van een botnet dat bekend staat in open bronnen als het Raptor Train-botnet. Dit botnet is in mei 2020 geïnitieerd. Het is niet bekend wanneer de eerste apparaten in Nederland zijn besmet. Het ging hier namelijk om een wereldwijd botnet waarvan ca. 260.000 systemen onderdeel uitgemaakt hebben, waaronder ook ruim 2000 apparaten in Nederland.
Vraag 3

Bent u bekend met welk motief Nederlandse apparaten gehackt zijn, naast het kapen van deze systemen voor het uitvoeren van andere cyberaanvallen? Was deze aanval gericht of ongericht?

Bij het opzetten van een botnet worden apparaten besmet die op dat moment eenvoudig over te nemen zijn. Het doel is meestal zo veel mogelijk verschillende apparaten onder controle te krijgen om deze later gericht te kunnen inzetten. Het botnet zelf is dus ongericht. Ook de cybersecurity advisory van de Amerikaanse diensten geeft weer dat deze cyberoperatie ongericht was.
De Chinese cyberactor, een commercieel bedrijf, hackte doorlopend en wereldwijd kwetsbare apparaten om deze toe te voegen aan het Raptor-Train botnet. Vervolgens bood deze het botnet aan als dienstverlening voor obfuscatie doeleinden. Andere Chinese cyberactoren kregen hiermee toegang tot een middel om hun cyberoperaties langs te routeren en zo de herkomst hiervan te verhullen.
Deze activiteit past binnen het normbeeld van het Chinese cyberecosysteem en de rol van commerciële bedrijven daarbinnen. Deze professionaliseerden hun operaties door gebruik te maken van gehackte infrastructuur, waaronder consumentenapparatuur, zo meldden de AIVD2 en MIVD3 in hun jaarverslagen over 2023.
Vraag 4

Welke gevolgen verbindt u aan het de aanval van Chinese staatshackers? Trekt u hierin gezamenlijk op met de andere getroffen landen?

De Joint Cyber Security Advisory4 van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren5 en het Cybersecuritybeeld Nederland (CSBN 2024)6. Met de Nederlandse Cybersecurity Strategie (NLCS)7 streeft het kabinet naar een digitaal veilig Nederland en verhoogt het de weerbaarheid tegen cyberaanvallen.
De antwoorden op vragen 5, 8, 10 en 11 hieronder geven weer welke mitigerende maatregelen zijn genomen door het National Cybersecurity Centrum (NCSC) en Digital Trust Center (DTC). Over verdere maatregelen tracht het Kabinet zoveel mogelijk naar buiten te treden, in lijn met motie Erkens, maar dit is niet altijd mogelijk. Nederland trekt hierbij zoveel mogelijk op met partners, vooral in EU- en NAVO-verband.
Vraag 5

Op welke termijn verwacht u een totaalbeeld te hebben van de gevolgen, de schaal en het motief van deze aanval? Kunt u de analyse (al dan niet vertrouwelijk) aan de Kamer doen toekomen?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren en het Cybersecuritybeeld Nederland (CSBN 2024). Verder geven de antwoorden op vragen 6, 7 en 8 hieronder weer wat het huidige, en naar verwachting zo volledig mogelijk nationale totaalbeeld over de gevolgen, de schaal en het vermoedelijk motief is.
Het NCSC heeft door tussenkomst van het Digital Trust Centre (DTC) van het Ministerie van Economische Zaken, waar mogelijk eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is daarbij een algemeen advies meegegeven aan de eigenaren. Het NCSC en het DTC hebben ook op hun websites8 9 algemeen beveiligingsadvies uitgebracht met een verwijzing naar deze Joint Cyber Security Advisory en algemene kennisproducten over het verhogen van weerbaarheid toegevoegd.
Vraag 6

Is er kritische digitale infrastructuur geraakt door deze aanval? Zijn de volledige gevolgen voor de cyberveiligheid van Nederland in beeld?

Nee, voor zover bekend waren de in Nederland besmette systemen geen onderdeel van de Rijksoverheid of vitale infrastructuur. Het ging met name om besmetting van consumentenapparaten.
Vraag 7

Is er mogelijk staatsgeheime informatie geraakt in de aanval? Met welke zekerheid kunt u dat zeggen?

Voor zover bekend waren de besmette systemen geen onderdeel van de kritische infrastructuur, er zijn geen apparaten van de Rijksoverheid of vitale infrastructuur besmet en onderdeel geweest van het Raptor-Train botnet. Voor zover bekend is het botnet ook niet door andere Chinese cyberactoren gebruikt om cyberoperaties uit te voeren tegen Nederlandse of Europese belangen. Zeer waarschijnlijk is er vanuit het botnet geen dreiging geweest voor Nederlandse staatsgeheimen. Gezien het doel van het netwerk was om cyberoperaties te verhullen, kan echter inherent niet worden uitgesloten dat dit op enig moment het geval is geweest.
Vraag 8

Op welk detailniveau is het bekend welke personen, organisaties en apparaten getroffen zijn? Welke rol speelt het Nationaal Cyber Security Centrum (NCSC) nu bij het informeren en de verdere hulpverlening van getroffenen?

Van de Nederlandse gehackte apparaten is het bekend wat de IP-adressen en MAC-adressen waren. De gebruikers van deze apparaten hebben voor zover bekend geen problemen ondervonden van de malware, omdat deze er op gericht was om internetverkeer op heimelijke wijze via het apparaat te routeren. Voor zover bekend hebben de betreffende gebruikers ook geen problemen ondervonden door de Amerikaanse verstoringsoperatie waarbij deze malware verwijderd is van hun apparaten en waarmee het botnet werd uitgeschakeld.
Het NCSC heeft een lijst gekregen met alle IP-adressen van getroffen apparaten. Partijen zijn, waar mogelijk, via het DTC geïnformeerd. Het gaat hier om een klein deel van de totale hoeveelheid getroffen apparaten in Nederland Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het niet ging om apparaten van organisaties behorende tot de doelgroep van het NCSC (Rijksoverheid of vitale aanbieders). Wel hebben zowel het DTC en het NCSC op hun website algemeen advies gepubliceerd en verwijzingen toegevoegd naar het Joint Cyber Security Advisory en bestaande kennisproducten om de weerbaarheid te verhogen.
Vraag 9

Kunt u vaststellen of de getroffen apparaten een gedeelde kwetsbaarheid hadden? Hoe kan deze kwetsbaarheid worden afgedekt? Zou de Cyber Resilience Act (CRA) voorkomen dat dergelijke hacks in de toekomst weer plaatsvinden?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten spreekt over misbruikte kwetsbaarheden in meer dan 70 verschillende typen apparaten, van meer dan 40 fabrikanten. Het betrof zowel apparaten die end-of-lifezijn als apparaten die nog door de fabrikant ondersteund worden.
Aangezien het botnet vat heeft gekregen op veel verschillende type kwetsbare apparaten is er waarschijnlijk sprake van meerdere uitgebuite kwetsbaarheden. De Cyber Resilience Act(CRA) schrijft voor dat producten met digitale elementen (hard- en software) vanaf eind 2027 aan cybersecurityvereisten moeten voldoen om in de EU op de markt te mogen worden aangeboden. Vanaf 1 augustus 2025 gelden er bovendien op grond van de radioapparatenrichtlijn al cybersecurityeisen voor het op de Europese markt aanbieden van draadloos verbonden apparatuur. De Rijksinspectie voor Digitale Infrastructuur (RDI) zal toezien op de naleving van deze eisen. De kans op kwetsbaarheden in apparatuur wordt met deze cybersecurity-producteisen aanzienlijk verkleind. Toch zullen kwetsbaarheden en hacks die daar misbruik van maken nooit volledig kunnen worden voorkomen. Om die reden krijgen fabrikanten op grond van de CRA ook een zorgplicht voor de cybersecurity van de producten gedurende de verwachte gebruiksduur, waarbij zij een gratis veiligheidsupdate moeten verstrekken zodra er een kwetsbaarheid wordt geïdentificeerd, die in beginsel automatisch wordt geïnstalleerd. Hierdoor zal de impact van een eventuele hack zo veel mogelijk worden beperkt.
Vraag 10

Welke rol hebben uw verschillende ministeries bij het verder afhandelen van de gevolgen van deze aanval?

Het NCSC heeft door tussenkomst van het DTC, waar mogelijk, eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is door het DTC een algemeen advies meegegeven aan de eigenaren. Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het voor zover bekend niet ging om apparaten van organisaties binnen de Rijksoverheid of van vitale aanbieders. Ook hebben het NCSC en het DTC op hun websites algemeen beveiligingsadvies uitgebracht om dergelijke apparaten veiliger te kunnen maken. Tevens hebben het DTC en het NCSC organisaties geattendeerd op de Joint Cyber Security Advisory en algemene kennisproducten die weerbaarheid tegen digitale aanvallen verhogen.
Het Ministerie van Buitenlandse Zaken onderhoudt contact met partners over mogelijke aanvullende maatregelen. Mochten diplomatieke vervolgstappen t.a.v. het incident in beeld komen, dan zal het Ministerie van Buitenlandse Zaken daarover de coördinatie voeren.
Vraag 11

Met welke organisaties en partijen werken uw ministeries en de NCSC samen, zowel landelijk als internationaal, om de aanval verder af te handelen?

De verdere afhandeling van deze cyberoperatie binnen Nederland is beperkt. Er zijn voor zover bekend geen vitale of overheidsbelangen getroffen waar verdere mitigatie nodig is. Door de Amerikaanse verstoringsoperatie is de malware verwijderd van de gehackte Nederlandse apparaten in het botnet. Het kabinet heeft in de communicatie rondom dit incident gewezen op de beschikbare adviesproducten op de website van het NCSC en DTC over cyberdreigingen voor kwetsbare apparaten van particulieren en midden- en kleinbedrijf om eventuele mitigatie van kwetsbaarheden.
Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en op zo kort mogelijke termijn beantwoorden?

Deze antwoorden zijn in samenwerking van de Ministers van Justitie en Veiligheid, Economische Zaken, Buitenlandse Zaken en Binnenlandse Zaken opgesteld en zijn op een zo kort mogelijk termijn beantwoord.

19 september 2024 - 10 oktober 2024

21 dagen

Het platform DBDAAP
	Pepijn van Houwelingen (FVD)
	Gijs Tuinman (BBB)

Vraag 1

Is het Defensie Big Data Advanced Analytics Platform (DBDAAP) ook in gebruik genomen? Zo ja, wanneer?

Ja. Nadat het platform in april 2022 is opgeleverd, hebben in september 2022 de eerste gebruikers gebruik gemaakt van het platform.
Vraag 2

Indien DBDAAP in gebruik is genomen, hoe wordt deze ingebruikname gemeten?

De ingebruikname van DBDAAP wordt «gemeten» aan de hand van het aantal defensiemedewerkers dat gebruik maakt van de aangeboden tooling en het aantal toepassingen dat ontwikkeld wordt op het platform.
Vraag 3

Indien DBDAAP in gebruik is genomen, hoeveel ontwikkelaars hebben in april 2024 ongeveer op het DBDAAP-platform ingelogd?

In april 2024 hebben circa 90 ontwikkelaars ingelogd op DBDAAP.
Vraag 4

Hoeveel van deze ontwikkelaars draaien daadwerkelijk diensten op het DBDAAP-platform?

In april 2024 werkten circa 70 ontwikkelaars aan toepassingen op DBDAAP.
Vraag 5

Indien DBDAAP in gebruik is genomen, hoeveel applicaties draaiden er op 30 april 2024 op het DBDAAP-platform? Kunt u wellicht ook de namen van deze applicaties geven?

Op 30 april draaiden er 34 applicaties op DBDAAP. Vanwege het vertrouwelijke karakter van deze applicaties is het niet mogelijk de namen hiervan te delen.
Vraag 6

Indien DBDAAP in gebruik is genomen, hoeveel gigabyte was er op 30 april 2024 in totaal op het DBDAAP-platform (ongeveer) opgeslagen? Hoeveel inkomend en uitgaand dataverkeer is er (ongeveer) in totaal op deze datum voor het DBDAAP-platform gerealiseerd?

In april 2024 werd er al meer dan 20 terabyte aan data opgeslagen op DBDAAP. Het inkomend en uitgaand verkeer wordt niet bijgehouden.
Vraag 7

Indien DBDAAP in gebruik is genomen, is daarmee het platform DBDAAP ook binnen de gehele krijgsmacht in gebruik genomen?

Ja. Er draaien toepassingen op DBDAAP van alle defensieonderdelen, met uitzondering van de Koninklijke Marechaussee. Vanwege de Wet Politiegegevens vallen de meeste datatoepassingen van de Koninklijke Marechaussee buiten het rubriceringsniveau van DBDAAP.
Vraag 8

Welke krijgsmachtonderdelen hadden DBDAAP op 30 april 2024 eventueel niet in gebruik? Waarom hebben zij dit platform niet in gebruik genomen?

Zie antwoord vraag 7.
Vraag 9

Wat zijn de totale kosten van het project DBDAAP tot op de dag van vandaag?

Tot september 2024 is circa 8,2 miljoen euro uitgegeven aan de ontwikkeling en de exploitatie van DBDAAP.
Vraag 10

Wordt DBDAAP wellicht ook nog doorontwikkeld op dit moment en zo ja, welke partijen zijn hierbij betrokken?

Ja. DBDAAP wordt doorontwikkeld door het datalab van Defensie. De prioriteit voor de doorontwikkeling wordt bepaald door de Chief Data Officersvan de verschillende defensieonderdelen.

5 september 2024 - 7 oktober 2024

32 dagen

Het bericht ‘Pleidooi voor AI-richtlijn op scholen: 'Risico's groot, bewustzijn laag'’
	Ilana Rooderkerk (D66)
	Mariëlle Paul (VVD)

Bronnen

1. Pleidooi voor AI-richtlijn op scholen: «Risico's groot, bewustzijn laag» (nos.nl)
2. Meer kennis algoritmen nodig op scholen, «anders risico op discriminatie» (nos.nl)

Vraag 1

Bent u bekend met het pleidooi van de Algemene Onderwijsbond (AOb) voor een AI-richtlijn op scholen?1

Ja.
Vraag 2

Welk inzicht heeft u in het gebruik van artificiële intelligentie (AI) door scholen? Heeft u een overzicht van welke AI-tools worden ingezet door scholen zelf?

In algemene zin hebben we inzicht in het gebruik van AI door scholen en welke tools dat zijn. In de meest recente Monitor Digitalisering Onderwijs (MDO, voorheen MYRA) 2023 van Kennisnet, de PO-Raad en de VO-raad is leraren gevraagd naar het gebruik van digitale middelen2. In het primair onderwijs maakte in 2023 63 procent van de leraren gebruik van dashboards waarop de voortgang van leerlingen te volgen is (Snappet, Gynzy, Prowise Learn, Rekentuin) en 40 procent gebruikte adaptieve gepersonaliseerde digitale leermiddelen.3 In het voortgezet onderwijs betrof dit respectievelijk 31 procent en 29 procent van de leraren.4 In de MDO 2025 zal leraren specifiek gevraagd worden of zij AI (apps of toepassingen) bij de lessen en lesvoorbereiding gebruiken en over welke kennis en vaardigheden zij op dit terrein beschikken
Vraag 3

Heeft u inzicht in de manier waarop door leerlingen gebruik wordt gemaakt van AI voor het maken van werkstukken en huiswerkopdrachten en hoe scholen hiermee omgaan?

Ik heb geen inzicht in de manier waarop leerlingen thuis gebruik maken van AI voor het maken van werkstukken en huiswerkopdrachten.
Vraag 4

Op welke wijze heeft AI een plek in de nieuwe kerndoelen voor digitale geletterdheid? Wanneer zijn deze definitief verankerd?

Begin maart 2024 heeft de SLO de conceptkerndoelen digitale geletterdheid opgeleverd. In deze concepten is AI expliciet opgenomen. Momenteel worden de kerndoelen op scholen beproefd op bruikbaarheid en wordt geëvalueerd hoe goed ze aansluiten bij de praktijk. Daarnaast zal dit najaar de wetenschappelijke Curriculumcommissie een advies uitbrengen over de conceptkerndoelen.
In oktober ontvangt uw Kamer een brief waarin wordt toegelicht hoe hier invulling aan wordt gegeven.
Vraag 5

Vindt u het goed dat leerlingendata terechtkomt in handen van grote AI-bedrijven? Hoe verhoudt dit zich tot de Algemene verordening gegevensbescherming (AVG) en wat gaat u hieraan doen?

Ik vind het belangrijk dat de (digitale) veiligheid en privacy van de onderwijsomgeving van leerlingen en onderwijspersoneel geborgd is. Het is in de eerste plaats aan de schoolbesturen om hun (digitale) onderwijs vorm te geven, en daarbij te kiezen of, en zo ja welke, AI-producten ze hierbij inzetten. AI kan het onderwijs ondersteunen, mits bewust gekozen en verantwoord toegepast. De handreiking AI van Kennisnet biedt handvatten om te zorgen voor sociale veiligheid en een pedagogisch klimaat bij AI op school.5 Daarnaast is het van groot belang dat de persoonsgegevens van leerlingen bij het gebruik van AI-systemen goed worden beschermd. De website Aanpak IBP van Kennisnet helpt scholen om de AVG goed na te leven. Relevant is onder meer dat de school een verwerkersovereenkomst afsluit met de leverancier van het AI-systeem waarin contractueel wordt vastgelegd dat de leverancier de gegevens alleen mag gebruiken voor de doelen die de school aangeeft. Ook is de school in de meeste gevallen verplicht om een data protection impact assessment (DPIA ofwel een privacyonderzoek) uit te voeren als in een AI-systeem persoonsgegevens worden verwerkt, waarmee de privacyrisico’s in kaart worden gebracht en maatregelen genomen worden om deze te beperken. Omdat dit voor scholen intensief en tijdrovend kan zijn, voeren de ICT-coöperaties SURF en SIVON namens de onderwijssector DPIA’s uit op digitale producten die in het onderwijs gebruikt worden. Dat doen ze niet alleen bij Nederlandse aanbieders, maar ook voor grote internationale bedrijven zoals Google en Microsoft. In dit kader zijn afspraken gemaakt met onder andere Zoom, Google en Microsoft over het beschermen van de privacy van leerlingen, studenten en medewerkers. Ik bevorder via het Programma Digitaal Veilig Onderwijs dat SIVON ook DPIA’s kan uitvoeren op andere digitale producten die in het funderend onderwijs worden gebruikt.
Vraag 6

Denkt u dat leerkrachten en scholen voldoende toegerust zijn om AI veilig in te zetten en de inzet ervan door leerlingen te herkennen en te bespreken?

Ik vind het belangrijk dat het onderwijs AI op een doordachte en verantwoorde manier toepast, met aandacht voor publieke waarden zoals privacy en kansengelijkheid en dat leraren bewuste en weloverwogen keuzes kunnen maken over het gebruik van AI. Leraren moeten de technologie kunnen gebruiken, en begrijpen hoe AI-systemen werken, wat hun beperkingen zijn en welke ethische vraagstukken daarbij komen kijken. Dit vraagt van leraren dat zijzelf ook digitaal vaardig zijn.
Daarom ondersteun ik leraren op verschillende manieren bij de inzet van AI in het onderwijs. Er zijn concrete handvatten beschikbaar, zoals de handreiking AI in het onderwijs van Stichting Kennisnet die scholen helpt verantwoorde keuzes te maken rondom AI, met richtlijnen voor beleid en professionalisering. En er is de gratis online AI-cursus van de Nederlandse AI-coalitie voor docenten in het primair en voortgezet onderwijs. Het Expertisepunt Digitale Geletterdheid biedt daarnaast ondersteuning aan het po, vo, s(v)o en mbo. Tot slot werken we samen met Vlaanderen aan digitale professionalisering voor leraren. We gaan samen onderzoeken hoe we leraren op slimme manieren beter kunnen ondersteunen bij het aanleren van digitale vaardigheden.
Vraag 7

Bent u bekend met het bericht «Meer kennis algoritmen nodig op scholen, «anders risico op discriminatie»»?2

Ja.
Vraag 8

Deelt u de zorgen van het College voor de Rechten van de Mens over dat de inzet van adaptieve leermiddelen kan leiden tot kansenongelijkheid?

Ik ben het met het College eens dat het van belang is dat systemen die gebruikt worden in het onderwijs niet leiden tot uitsluiting of discriminatie. Kinderen mogen nooit de dupe worden van discriminatie, ook niet wanneer die impliciet in algoritmes is ingebouwd. Hoewel de onderzoekers aangeven dat er op dit moment geen concrete voorbeelden te vinden zijn van discriminatie of uitsluiting door algoritmes in het funderend onderwijs, is het ook in de toekomst van belang dat dit geen plaats krijgt in de (digitale) onderwijssystemen. Daartoe is recent de nieuwe AI-verordening in werking getreden. Deze Europese wet stelt verdere grenzen aan de toepassing van algoritmes in het onderwijs. Zo wordt het gebruik van een aantal typen AI en algoritmes ingedeeld in de hoog-risico-categorie, waarin extra eisen zijn opgenomen. Systemen die zich richten op onder andere toelating tot het onderwijs of het beoordelen van een passend onderwijsniveau vallen in deze categorie. Als onderwijsinstellingen deze systemen willen inzetten, dienen zij aanvullende maatregelen te treffen om te voorkomen dat gebruik van deze systemen kansenongelijkheid in de hand werkt.
Vraag 9

Op welke wijze wordt toezicht gehouden op de algoritmes van programma’s zoals Snappet, Gynzy en andere lesmethoden?

Op Europees niveau biedt de recent geïntroduceerde AI-verordening een juridisch kader om ervoor te zorgen dat AI-systemen veilig en ethisch worden ingezet. De komende tijd zal ik samen met de onderwijssector verkennen hoe we de maatregelen binnen de AI-verordening het beste kunnen vormgeven.
Op nationaal niveau speelt het Nationaal Onderwijslab AI (NOLAI) een belangrijke rol in het waarborgen van de kwaliteit, kansengelijkheid en de regie van leraren in de verantwoorde ontwikkeling en toepassing van AI in het onderwijs. Zo maakt NOLAI in het wetenschappelijk programma de pedagogische, maatschappelijke en sociale gevolgen van intelligente technologie in onderwijs inzichtelijk. In het onlangs gepubliceerde referentiekader wordt de werkwijze van het Onderwijslab uitgelegd.7 Daarnaast biedt het opschalingsplan van NOLAI waardevolle inzichten in de integratie van AI-producten in het onderwijs, waarbij de visie van scholen en de vaardigheden van leraren centraal staan. Leraren worden uitgerust met de benodigde kennis en tools om AI op een verantwoorde en effectieve manier in hun onderwijspraktijk te integreren en zorgt voor een duurzame en brede implementatie van AI-producten in het funderend onderwijs.
Vraag 10

Hoe gaat u transparantie, uitlegbaarheid en de eerlijkheid van deze algoritmes waarborgen?

Zie antwoord vraag 9.
Vraag 11

Heeft u inzicht in hoeveel scholen zelfstandig richtlijnen of beleid hebben opgesteld voor het gebruik van AI?

Ik vind het belangrijk dat scholen bewuste en verantwoorde keuzes maken over het gebruik van AI op basis van een AI-beleid dat past bij de visie op onderwijs en de kernwaarden van de school. Scholen kunnen hiervoor gebruikmaken van het Vier-in-balans model8 en de Handreiking AI in het onderwijs9 van Kennisnet. In de Monitor Digitalisering Onderwijs 2025 zullen onder meer vragen worden opgenomen over visie en beleid van het schoolbestuur omtrent AI, en of de school richtlijnen heeft over verantwoord gebruik van AI in de klas.
Vraag 12

Bent u bereid om in gesprek te gaan samen met de AOb en scholen die vooroplopen als het gaat om AI-beleid om lessen te trekken voor een eventuele landelijke richtlijn?

In onze huidige digitale maatschappij, waar technologische innovaties zich snel ontwikkelen, is het noodzakelijk dat we scholen ondersteunen bij de doordachte inzet en gebruik van AI in de klas. In het kader van de gesprekken die ik zal voeren met de onderwijssector over de AI-verordening en hoe we de maatregelen en het toezicht daarop vormgeven, ga ik graag in gesprek met de AOb, de andere onderwijspartners en scholen. Tegelijkertijd wil ik benadrukken dat er al op verschillende manieren ondersteuning wordt geboden aan schoolbestuurders, schoolleiders en leraren. Door inzichten te bundelen kunnen we de samenwerking tussen alle betrokken partijen versterken.
Vraag 13

Bent u bereid om samen met de AOb de handschoen op te pakken voor een richtlijn voor AI in de klas? Zo nee, waarom niet?

Zie antwoord vraag 12.

23 juli 2024 - 26 augustus 2024

34 dagen

De Kamerbrief 29338-276 over het Nationaal Versterkingsplan van Micro-chiptalent als reactie op het advies van speciaal gezant microchipindustrie Dhr. H. de Jong
	Rosanne Hertzberger (VVD), Femke Zeedijk-Raeven (D66)
	Dirk Beljaarts (minister ) , Mariëlle Paul (VVD)

Vraag 1

Op welke wijze is er met de betrokken regio’s overleg gepleegd over en instemming verkregen van de voorgestelde verdeling van de Beethoven-gelden, gezien de negatieve reacties van met name de regio’s Twente en Groningen in de media op het advies? Bent u van mening dat met dit advies de motie van het lid Van Hijum c.s. (Kamerstuk 36 550, nr. 7) voldoende is uitgevoerd?

Het doel van het Nationaal Versterkingsplan is het zo spoedig mogelijk opleiden van extra technische talenten die hun werkkring daadwerkelijk kiezen in de microchipindustrie. De aanpak is vanaf de start een inhoudelijk proces geweest, leidend naar noodzakelijke effectiviteit: het juiste talent, op de juiste plaats, in de juiste tijd.
Samen met de vier betrokken regio’s uit het convenant is een iteratief en collaboratief proces doorlopen met als doel het opleiden van extra technische talent voor de locaties waar de vraag vanuit de microchipindustrie zich bevindt. Het begrip regio is hier breed en niet specifiek gedefinieerd. Dit heeft primair betrekking op de bereidheid tot forenzen naar de industrie. In alle vier de regio’s hebben dialoogsessies plaatsgevonden met speciaal gezant Hans de Jong en vertegenwoordigers van de Rijksoverheid, waarin ook aandacht besteed is aan de talentvraag van de industrie uit de eigen regio en de landelijke talentbehoefte. In deze sessies is het uitgangspunt gehanteerd dat de regionale talentvraag voor het op te leiden microchip-talent door de industrie gevalideerd moet zijn. Ook zijn er doorlopend gezamenlijke regio-overleggen geweest met de regiocoördinatoren voor tussentijdse afstemming en zijn er individuele afstemmingmomenten geweest.
Aan de regio’s is gevraagd binnen de kaders van de regionale uitvraag1, in samenwerking met regionale partners, een conceptplan te maken. Er is ruimschoots gelegenheid geboden om vragen te stellen over de aard en inhoud van de opdracht. De ingediende conceptplannen bleken gezamenlijk niet te passen binnen de gestelde doelen. Bovendien werd het door het kabinet beschikbaar gestelde budget met ongeveer een factor 4 overschreden.
In het overleg met de regiocoördinatoren werd het voorstel gedaan om als tussenstap de microchipindustrie te consulteren over de huidige en toekomstige wervingspraktijk en dit medebepalend te laten zijn voor de criteria rondom de toewijzing van middelen. Een vertegenwoordiging van microchipbedrijven (zowel grote bedrijven als mkb) geeft aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Mbo-talent komt momenteel voor ruim 95% uit de eigen regio, hbo-talent voor ca. 80% en wo-talent voor 50%. De bedrijven verwachten geen grote verschuivingen in dit beeld richting de toekomst. De wervingspraktijk van de bedrijven en de geografische locaties waar deze industrie in Nederland doorgroeit op basis van bedrijfsplannen, hebben we na verificatie als leidende factor beschouwd voor de reservering van de middelen over de regio’s. Door de vraag van de microchipsector (de huidige en toekomstige wervingspraktijk) en het door het kabinet beschikbaar gestelde budget als uitgangspunten te nemen, zijn de reserveringen voor verschillende regio's lager dan zoals door hen zelf voorgesteld in de conceptplannen.
In het debat met de Minister van Financiën heeft het lid Van Hijum aangegeven dat er een inhoudelijke relatie moet zijn tussen datgene wat een regio levert en het aandeel dat men krijgt. De in de motie Van Hijum2 genoemde evenwichtigheid moet volgens het kabinet gezien worden in het licht van de talentopgave van de microchipsector. Het kabinet heeft de evenwichtige verdeling vervolgens gemaakt op basis van de vraagarticulatie van de microchipindustrie. Het kabinet is van mening dat dit advies aansluit op de motie van het lid Van Hijum c.s.
Vraag 2

Op welke wijze zijn de adviescommissie en de partijen van het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» gekomen tot de selectie van de betrokken regio’s? Ziet u dit wellicht voor andere regio’s ook gelden, gezien de aanwezigheid van regio Groningen in dit consortium waar geen microchipindustrie zit, maar de adviescommissie wel de potentie voor langjarige ontwikkeling ziet? Zo ja, voor welke?

In de Kamerbrief van 28 maart 20243 beschrijft het kabinet dat chipbedrijven en toeleveranciers in Nederland met grote uitdagingen kampen op het gebied van technisch geschoold personeel op alle niveaus. De regiegroep heeft uitvoering gegeven aan het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector». De investeringen zijn gericht op het mogelijk maken van de schaalsprong van de microchipsector in Nederland. Ongeveer 70% van de werkgelegenheid van de microchipsector is momenteel in de Brainportregio. De nabijheid en bereikbaarheid van onderwijsinstellingen ten opzichte van de plek waar microchipbedrijven zijn gevestigd spelen een belangrijke rol bij de werving van talent. In het antwoord op vraag 1 wordt beschreven dat microchipbedrijven mbo-talent, en in iets mindere mate hbo-talent, zo dicht mogelijk werven bij de geografische plek waar zij zijn gevestigd.
Daarnaast geldt dat voor wo-talent, en in mindere mate hbo-talent breder gekeken is naar de opleidingen die een bijdrage leveren aan het vergroten van het technisch talent in Nederland. Daaruit komt naar voren dat naast de Brainportregio ook Twente en Delft geografische regio’s zijn om talent op te leiden en te werven. Wo-talent is volgens het bedrijfsleven en de bij het kabinet bekende gegevens, significant mobieler en wordt voor een groter deel geworven ook vanuit andere opleidingsplaatsen. Hierin speelt ook Groningen een steeds belangrijkere rol, aangezien met name de Rijksuniversiteit Groningen een kwalitatieve bijdrage levert aan het opleiden van technische studenten. De vier in het convenant genoemde regio's hebben de mogelijkheid om voor hun opleidingsplannen ook andere regio's te betrekken. Gedurende de totstandkoming van het advies zijn regio’s die hebben aangegeven een aantoonbare bijdrage te kunnen leveren aan de opgave, uitgenodigd zich bij een van de vier regio’s aan te sluiten. Zo lopen er momenteel al gesprekken tussen Brainport en enkele andere regio's die niet in het convenant benoemd zijn.
Vraag 3

Is er overwogen om de bijbehorende mbo/hbo-opleidingen uit de regio Limburg actief te betrekken in de plannen, gezien de relatieve nabijheid van de Limburgse maakindustrie en het feit dat er volgens de «uitvraag regionale voorstellen» aanzienlijk wat personeel uit Limburg afkomstig is? Is er overwogen om met de grote sluiting van Nedcar in Borne, op 45 autominuten van Veldhoven, actief technisch personeel aan te trekken?

Ja, bij de uitvraag naar de vier regio’s is een groot aantal onderwijsinstellingen, inclusief onderwijsinstellingen uit Limburg en de onderwijskoepels, op deze uitvraag gewezen. Er is een oproep gedaan aan instellingen die een fundamentele bijdrage kunnen leveren aan de talentopgave van de microchipsector om zich bij een van de vier regio’s te melden. Er wordt op dit moment actief gesproken door Brainport met Limburgse onderwijsinstellingen. Het is aan de regio’s om te bezien op welke wijze zij een bijdrage kunnen leveren aan de talentopgave van de industrie binnen de kaders van de uitvraag. Kwaliteit van de samenwerking is opgenomen als criterium in het analysekader dat wordt gebruikt bij het beoordelen van de plannen.
De sluiting van autobouwer VDL Nedcar heeft helaas tot ontslagen geleid. Voormalig VDL Nedcar-personeel kan zich uiteraard kandidaat stellen voor openstaande vacatures in de Brainportregio. Op dit moment sluiten de vaardigheden van het voormalig personeel niet altijd direct aan op de vraag van de microchipindustrie. Er bestaat hier ook een bredere behoefte om tot een betere aansluiting te komen op de arbeidsmarkt. Daarom is er vanuit het Europees Sociaal Fonds € 1,2 miljoen beschikbaar gesteld voor scholing en begeleiding van de ontslagen VDL Nedcar-medewerkers die nog geen nieuwe baan hebben gevonden. De Provincie Limburg, de Zuid-Limburgse gemeenten en het UWV (verenigd in de Arbeidsmarktregio Zuid-Limburg) en het Ministerie van Sociale Zaken en Werkgelegenheid stellen daar bovenop gezamenlijk € 800.000,– beschikbaar. Het budget zal vooral worden ingezet voor een integraal pakket van dienstverlening bestaande uit loopbaanoriëntatie, -begeleiding en -advies, aangevuld met scholings- en ontwikkeltrajecten.
Vraag 4

Kunt u een overzicht geven van de beschikbare opleidingsplaatsen per relevante studierichting per regio? Hoeveel opleidingsplaatsen worden er per jaar ingevuld, hoeveel studenten studeren er per jaar momenteel af en hoeveel dit er in 2030 zouden moeten zijn? Kunnen de beschikbare bedragen per regio ook worden onderverdeeld naar mbo, hbo en wo?

Tot en met 2030 wordt de verwachte behoefte aan extra talent van de microchipindustrie geschat op ongeveer 38.000 medewerkers. Het gaat hierbij om extra vacatures bovenop het natuurlijk verloop. Deze schatting is gebaseerd op een enquête onder chipbedrijven en andere bekende cijfers over de industrie, onder meer van het CBS en RVO. Er is in de enquête ook gevraagd naar het scholingsniveau van de talentbehoefte. Deze gegevens zijn gecombineerd met data over het huidige opleidingsniveau in de microchipindustrie en resulteert in een behoefte van de sector die als volgt is verdeeld: 39% mbo, 23% hbo en 38% wo-niveau. In de regionale uitvraag is in bijlage 2 en 3 aangegeven wat relevante studierichtingen voor de microchipindustrie zijn. Daarbij is ruimte gelaten aan regio’s om daar breed naar te kijken. Immers, niet alle functies in de microchipsector zijn één-op-één te vertalen naar een opleiding. Regio’s kunnen andere afwegingen in de selectie van relevante opleidingen maken als dit past bij de vraag van de sector. Daarom kan het kabinet pas van de oplevering van de definitieve plannen van de regio's inzicht geven in de huidige studentenaantallen per relevante studierichting en de aantallen die volgens de plannen in 2030 behaald kunnen worden. Regio's moeten in hun definitieve plannen aantonen dat ze het op te leiden talent ook daadwerkelijk kunnen aantrekken.
De definitieve onderverdeling van de bedragen naar mbo, hbo en wo verschillen per regio en wordt pas duidelijk als de regio’s hun definitieve herijkte plannen hebben ingediend. Nadat de plannen definitief zijn ingediend, zal het kabinet uw Kamer informeren over de onderverdeling per opleidingssector.
Vraag 5

Op welke manier voorziet u dat deze investeringen leiden tot meer technisch geschoold personeel voor de chipsector? Op welke manier gaat het geld resulteren in het realiseren van de genoemde actielijnen, zoals het verhogen van het blijfpercentage («stay rate») van internationale studenten en kenniswerkers, het vergroten van de diversiteit van studenten, waaronder het aantrekken van meer vrouwelijke studenten, en het vergroten van de in- en uitstroom in tijden van dalende studentenaantallen?

De investeringen omvatten een breed palet aan maatregelen, die elk een bijdrage leveren aan de totale beschikbaarheid van talent voor de microchipsector. Gezien de grote verwachte personeelstekorten, is het belangrijk om alle maatregelen die tot meer talent kunnen leiden mee te nemen.
Onderwijsinstellingen worden met deze investeringen in staat gesteld acties te ondernemen om meer talent op te leiden, te werven, te behouden en in samenwerking met het bedrijfsleven toe te leiden naar de microchipsector. Zo kunnen de regio’s met deze investeringen bijvoorbeeld programma’s ontwikkelen om internationale studenten te koppelen aan banen in de microchipsector om het blijfpercentage te verhogen. Ook kunnen instellingen met deze middelen hun voorlichting en werving anders inrichten en genderbias doorbreken, zodat ondervertegenwoordigde doelgroepen meer worden aangetrokken. Het is aan de regio’s om vanuit hun inhoudelijke kennis met maatregelen te komen. Komende tijd zullen de regio’s hiermee aan de slag gaan om te komen tot herijking van hun plannen. We vragen regio's hierbij nauw samen te werken met de microchipindustrie om de aansluiting tussen onderwijs en bedrijfsleven zo goed mogelijk te maken.
Vraag 6

Welke ervaringen, successen en mislukkingen uit de initiatieven om meer docenten, verpleegkundigen en ander talent voor tekortsectoren op te leiden worden meegenomen in deze plannen? Hoe wordt er voorkomen dat het aantrekken van meer studenten voor STEM-opleidingen ten koste gaan van het aantal studenten dat kiest voor de zorg of het onderwijs?

Bij de regionale uitvraag zijn voorbeelden van effectieve interventies aan de regio’s beschikbaar gesteld. Hierin zijn geleerde lessen van aanpakken in andere sectoren en initiatieven verwerkt. Ook geeft het recente onderzoek «Studiekeuze in beweging»4 een beeld over de verwachte effecten van maatregelen en initiatieven om meer studenten te verleiden om een opleiding te volgen in tekortsectoren. Maatregelen als het hanteren van een arbeidsmarktgerelateerde numerus fixus, verlaging van het lesgeld, het geven van een diplomabonus en het bieden van een warme overdracht van studie naar werk zijn onderzocht.
Omdat de instroom van initiële studenten in het vervolgonderwijs over de gehele linie daalt door demografische ontwikkelingen, kunnen verdringingseffecten met andere opleidingen zoals in de zorg of het onderwijs niet worden uitgesloten. Om deze effecten te verkleinen, werken de regio’s nadrukkelijk aan het vergroten van de vijver van talent, zoals het bij- en omscholen van onbenut arbeidspotentieel en het gericht aantrekken van internationaal talent.
Vraag 7

Wat is internationaal bekend qua best-practices voor het laten afstuderen van meer studenten in de techniek? Op welke wijze zullen deze STEM-studenten vervolgens worden worden om voor de microchipsector te kiezen?

Ook in andere landen van Europa is er een groeiende vraag naar technisch personeel die groter is dan de ontwikkeling van het aanbod. In het rapport «Arbeidsmarktkrapte technici: ontwikkelingen, verklaringen en handelingsperspectieven»5 is in opdracht van de Ministeries van OCW, EZK en SZW in 2022 daarom ook gekeken naar de Europese context. Binnen de EU is bijvoorbeeld Portugal één van de landen die relatief hoog scoort in het percentage studenten en afgestudeerden van technische opleidingen. Omdat de onderwijssystemen, de arbeidsmarkt en de beroepscontext in landen in grote mate verschillen, vindt er een veelheid van verschillende (beleids)initiatieven plaats over heel Europa, gericht op het stimuleren van het aanbod van technici. Desondanks blijken deze verschillende initiatieven niet genoeg om de schaarste aan technici op te lossen. De meeste initiatieven proberen de kwaliteit van het primair en secundair onderwijs ten aanzien van het techniekonderwijs te bevorderen en tegelijkertijd het imago van de techniek onder jongeren te verbeteren. Ook wordt in sommige landen, althans in de minderheid van de Europese landen, aandacht besteed aan het werven van technici in het buitenland of aan het terug laten keren van buitenlandse studenten naar het thuisland.
Binnen de Nederlandse onderwijsinstellingen is er de laatste jaren al veel werk gestoken in het verkennen van best-practices om tekorten in sectoren in relatief korte tijd aan te pakken. Een voorbeeld hiervan is het aantrekken van buitenlandse afgestudeerde wo-bachelorstudenten, die met een master in Nederland klaargestoomd worden voor onze arbeidsmarkt.
Zoals benoemd in de regionale uitvraag kunnen regio's ook gebruikmaken bij het opstellen van hun plannen van de kennis en expertise van Platform Talent voor Technologie (PTvT). PTvT is lid en initiator van de EU STEM Coalition, waarin op Europees vlak best-practices worden uitgewisseld.
In de regionale uitvraag en in het analysekader6 is opgenomen dat de regio’s duidelijk dienen te onderbouwen dat het extra opgeleide talent ook bij de vraag van de microchipsector terechtkomt («delivery rate»). In het toetsen van de kwaliteit van de herijkte plannen van de regio’s in het najaar is aandacht voor de initiatieven die in de regio’s worden ontplooid opdat het opgeleide talent daadwerkelijk emplooi zal vinden in de microchipindustrie.
Vraag 8

Op welke wijze is aan bovenstaande vragen aandacht besteed in de ingediende regionale plannen? Is het mogelijk om inzage te krijgen in deze plannen?

De afgelopen maanden is een zorgvuldig proces doorlopen waarin de regio’s hun conceptplannen konden opleveren. Zoals aangegeven hebben de regio’s plannen ingediend die gezamenlijk de beschikbare middelen ver te boven gingen en eveneens onvoldoende aantoonden hoe het opgeleide talent ook daadwerkelijk in de microchipindustrie terecht zou komen. Het is nu aan de regio’s om voor oktober met herijkte plannen te komen. De definitieve plannen waar de regio's mee aan de slag zullen gaan zal het kabinet met uw Kamer delen.
Vraag 9

Hoe beoordeelt u het idee om juist de groei in steden in Groningen en Twente meer te stimuleren, gezien het feit dat daar de beschikbaarheid van studentenhuisvesting minder een probleem is dan in de andere twee regio’s?

De grondslag van het Nationaal Versterkingsplan van Microchip-talent is talent opleiden dat ook daadwerkelijk zijn werkkring vindt in de microchipindustrie zodat de groei van deze industrie in Nederland mogelijk wordt gemaakt. Het zwaartepunt van de groeivraag ligt voor de komende jaren bij ASML en de Brainportregio. De microchipbedrijven geven aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Dit geldt ook – zij het in mindere mate – voor het wo-talent. Deze overwegingen, gevoed door de huidige en toekomstige wervingspraktijk van bedrijven, hebben ertoe geleid dat het zwaartepunt van het Versterkingsplan ook in de Brainportregio is. Regionale plannen dienen rekenschap te geven van de huisvestingsvraag. Dit plan mag er niet toe leiden dat studenten worden geworven terwijl er geen huisvestingsplek is.
Vraag 10

Hoe denkt u de groei van de chipindustrie in de andere regio’s te kunnen laten groeien om zo de voorzieningen in Brainport te ontlasten, gezien het feit dat de leefbaarheid en voorzieningen in de Brainportregio door de schaalsprong onder druk staan?

Voor onze welvaart is het van groot belang om de microchipindustrie en hun toeleveringsketens in Nederland te laten doorgroeien en doorinvesteren. Het kabinet onderschrijft dat dit in de Brainportregio ook om een ontwikkelopgave vraagt voor de leefbaarheid en het voorzieningenniveau. In het «Convenant Rijk en regio investeringen in ondernemingsklimaat microchipsector»7 is hiermee rekening gehouden, door goede afspraken te maken over de bekostiging door het Rijk en de Brainportregio op het gebied van woningbouw en bereikbaarheid. Daarnaast is er in het convenant afgesproken dat Rijk en regio een verkenning starten naar de sociaal-maatschappelijke opgaven, waaronder sociale cohesie, primair- en voorgezet onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. Op basis van deze verkenning zal het kabinet samen met de regio bezien wat nodig is. De verkenning komt eind dit jaar beschikbaar.
Daarnaast werkt het Ministerie van Economische Zaken aan het Meerjarenprogramma voor bovenregionale samenwerking tussen hightech-brandpunten. Dit programma beoogt hightech-bedrijven die op langere termijn niet kunnen doorgroeien of doorinvesteren op hun huidige locatie, te helpen om die groei wel mogelijk te maken in een andere regio, om deze bedrijven zo wel in Nederland te behouden. Dit is bijvoorbeeld aan de orde als onvoldoende ruimte beschikbaar is en/of de druk op de omgeving te groot. Ook microchip start-ups en scale-ups komen in aanmerking voor dit programma. Dit programma komt eveneens eind dit jaar beschikbaar.
Vraag 11

Lijkt het u niet logischer om anders te alloceren dan volgens de huidige wervingspraktijk, waarbij de sterkste regio van dit moment automatisch het meeste geld krijgt toebedeeld, gezien het belang van de stimulering van de ontwikkeling in economisch relatief zwakkere regio’s (uitgangpunt van «elke regio telt»)?

Nee, zie hiervoor ook de antwoorden vraag 9 en 12. Het uitgangspunt van het Nationaal Versterkingsplan van Microchip-talent is een specifiek plan gericht op de microchipindustrie. Het doel is de groei van de microchipsector in Nederland mogelijk maken en het versterkingsplan is ter ondersteuning daarvan. Bij de totstandkoming van de reserveringen is de toekomstige wervingspraktijk van de micro-chipsector medebepalend geweest.
Vraag 12

Hoe ziet u de mogelijkheden om heel Nederland zo breed mogelijk te kunnen laten meeprofiteren met de groei van de chipindustrie? Op welke manier gaat de resterende drie procent worden ingevuld?

De groei van de microchipsector levert veel op voor heel Nederland. De microchipsector is enorm belangrijk voor ons toekomstig verdienvermogen. Waar de sector in 2021 nog € 39,1 miljard aan omzet in Nederland had, zal de omzet naar verwachting tot 2030 verdubbelen. Dit geldt niet alleen voor het grootbedrijf, maar ook voor het mkb in de toeleveringsketen. Deze sector levert dus een belangrijke bijdrage aan de Nederlandse economie en daarmee aan onze zorg, veiligheid, onderwijs, sociale voorzieningen en vele andere belangrijke overheidstaken. Daarbij vergroot een succesvolle microchipsector onze strategische autonomie in de wereld.
De voorgenomen investeringsbeslissing van ASML gaat over een nieuwe fabriek in Eindhoven en mede hierdoor zal de werkgelegenheid van de microchipsector in de Brainportregio alleen maar verder toenemen (die is nu al zo’n 70% van de in totaal ruim 50.000 werknemers). Nabijheid van onderwijs- en kennisinstellingen is de bepalende succesfactor om deze groei te kunnen accommoderen en de daaruit voortvloeide welvaart voor Nederland te behouden. Te weinig beschikbaar talent in de regio waar zij gevestigd zijn kan leiden tot een heroverweging van investeringen in Nederland. Gezien het nationale belang van deze uitbreiding, is het kabinet van mening dat de vraag vanuit de sector leidend moet zijn in de verdeling van de middelen.
Het resterende budget van € 14 miljoen wordt op drie manieren ingevuld: intensivering/bijstelling van de reservering op basis van geactualiseerde plannen, investeringen in andere regio’s en/of landelijke activiteiten. Ook hier geldt dat de inhoudelijke, industrie gedreven opgave de basis vormt voor invulling van het resterende budget.
Vraag 13

Bent u bereid om daar actief industriepolitiek beleid voor te ontwikkelen, bijvoorbeeld door naast de infrastructurele investeringen in de Brainportregio, ook te investeren in infrastructuur in Twente, Arnhem/Nijmegen, Groningen, Almere, en Limburg?

Er is bestaand beleid om infrastructurele investeringsbeslissingen te kunnen nemen. Besluitvorming hierover vindt plaats in het bestuurlijk overleg Meerjarenprogramma Infrastructuur, Ruimte en Transport (BO-MIRT). In dit bestuurlijk overleg worden op regionaal niveau beslissingen genomen door Rijk en regio op het gebied van de ontsluiting van woningen, economische toplocaties, weginfrastructuur en ook nieuwe OV-verbindingen. De Minister van Infrastructuur en Waterstaat neemt hierin het voortouw, en verschillende andere relevante Ministers nemen ook deel aan deze overleggen.
Bedrijfsactiviteiten verplaatsen of uitbreiden naar een andere regio dan waar bedrijven nu gevestigd zijn, is over het algemeen onwenselijk voor bedrijven en laat zich bovendien lastig sturen door de overheid. Het scheppen van de juiste condities om economische ecosystemen te ontwikkelen duurt decennia. Daar is gezien de scope en timing van dit plan geen tijd voor.
Vraag 14

Deelt u de mening dat deze regio’s het voordeel hebben dat er meer ruimte is voor woningbouw en dat zorg en onderwijsvoorzieningen in deze regio’s minder onder druk staan dan in de Brainportregio?

De druk op de woningbouw, zorg en onderwijsvoorzieningen is afhankelijk van de hoeveelheid mensen en de nieuwe bedrijvigheid in een bepaalde regio. In de Brainportregio komen er naar verwachting tot en met 2030 26.000 nieuwe banen bij in de microchipindustrie. Het kabinet erkent dat dit tot een toenemende druk op de huisvesting in de regio leidt. Daarom zijn er in het bredere convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» maatregelen genomen om de woningbouw in de Brainportregio te versnellen. De groei van de microchipsector zal in absolute aantallen de komende jaren voornamelijk in de Brainportregio plaatsvinden. Vanuit het bedrijfsleven worden nabijheidsfactoren van bijvoorbeeld de aanleverende industrie, huidige eigen vestigingen en talent als zeer belangrijke reden genoemd voor hun investeringsbeslissingen, wat ertoe leidt dat deze groei niet zomaar kan worden doorgeleid naar een andere regio met minder druk op de voorzieningen. Wel zal de groei in de bredere zone rond Eindhoven geaccommodeerd moeten worden, wat er bijvoorbeeld toe leidt dat de Brainportregio kijkt naar mogelijkheden voor de woningbouw in aangrenzende regio's.
Vraag 15

Kunt u aangeven wat de afgesproken co-financieringsvoorwaarden zijn bij de investeringen, in welke regio’s die bedragen zullen worden besteed en waaraan?

In de Kamerbrief van 16 juli 20248 heeft het kabinet vermeld dat, om tot een daadwerkelijke toekenning van de regionale plannen te komen, een nadere uitwerking door betrokken regio’s nodig is. Er is nu een bedrag per regio gereserveerd. Op basis van de kwaliteit van de herijkte plannen die voor 29 september ingediend moeten worden, zullen bedragen aan de regio’s worden toegekend. Als de plannen (nog) niet van voldoende kwaliteit zijn, kan worden besloten dat de middelen (nog) niet worden toegekend. Pas op basis van de herijkte plannen zal duidelijk worden waaraan de middelen besteed gaan worden.
Hierop sluit de cofinancieringsvraag aan, waarbij het kabinet de volgende uitgangspunten hanteert:
Vraag 16

Bent u bereid om Twente, Groningen en Delft extra te ondersteunen op het gebeid van regionale strategievorming en de triple-helix manier van werken om zo een gelijk speelveld te creëren bij het uitwerken van plannen en hierbij te leren van de langjarige ervaring hiermee in de Brainport regio?

Het kabinet vindt het belangrijk een gelijk speelveld te hanteren. Bijvoorbeeld door een helder proces in te richten en door het hanteren van een openbaar analysekader bij de toetsing van de kwaliteit van de plannen. Daarnaast hecht het Kabinet eraan dat door Twente, Groningen, Delft en de Brainportregio wordt samengewerkt aan de vraag voor het opleiden van voldoende microchip talent.
Zoals benoemd in de regionale uitvraag is aan alle regio’s de kennis en expertise van Platform Talent voor Technologie (PTvT), die ruime ervaring hebben met het opbouwen van triple-helix samenwerkingsverbanden, beschikbaar gesteld. Ook binnen de monitoringsaanpak wordt ingezet op extra ondersteuning en lerend vermogen. Er vindt onderlinge intervisie plaats (via peer-reviews) en partijen worden uitgedaagd om optimaal van elkaars kennis, kunde en ervaring te leren. De bereidheid om te leren, bij te sturen en door te ontwikkelen door zowel de regio’s als de overheid staat centraal.
Vraag 17

Kunt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Ja, de vragen zijn afzonderlijk beantwoord. Gezien de benodigde interdepartementale afstemming hebben we uw vragen zo snel als mogelijk beantwoord.

19 juli 2024 - 20 september 2024

63 dagen

Het bericht ‘ Dure reclamecampagne blijkt flop: nauwelijks ‘ouderlijk toezicht’ op Instagram’
	Don Ceder (CU)
	Zsolt Szabó (VVD)

Bronnen

1. BNR, 18 juli 2024 (www.bnr.nl/nieuws/tech-innovatie/10552636/dure-rec…
2. Kamerstuk 26 643, nr. 1163.

Vraag 1

Bent u bekend met het artikel «Dure reclamefilmpje blijkt flop: nauwelijks «ouderlijk toezicht» op Instagram»?1

Ja, ik ben hiermee bekend.
Vraag 2

Kunt u aangeven wat de wettelijke verplichtingen zijn ten aanzien van social mediagebruik onder 16 jaar? In hoeverre voldoen social mediabedrijven, en specifiek META, hieraan? Acht u deze aanpak voldoende?

Rechtmatige verwerking van persoonsgegevens bij online diensten, zoals Meta, van kinderen die de leeftijd van 16 jaar nog niet hebben bereikt mogen volgens de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) alleen met toestemming van de ouders of de wettelijke vertegenwoordiger worden verwerkt. Dit betekent dat een kind jonger dan zestien jaar enkel een account mag aanmaken als hiervoor door de ouder of wettelijke vertegenwoordiger toestemming is gegeven. Bedrijven die online persoonsgegevens van kinderen verwerken zijn volgens de AVG verplicht een redelijke inspanning te leveren om te controleren of er daadwerkelijk toestemming is gegeven. Naast deze wettelijke verplichting kiezen diverse sociale mediaplatforms, waaronder Instagram, ervoor om kinderen jonger dan 13 jaar in elk geval niet toe te laten tot hun platform. Deze regel volgt echter niet uit een wettelijk vereiste. Uit onderzoek van Ofcom, de Britse mediatoezichthouder, blijkt dat 60% van de kinderen tussen de 8 en 12 jaar een sociale media-account hebben. Hoewel dit onderzoek specifiek ziet op Britse kinderen is het aannemelijk dat deze aantallen in Nederland vergelijkbaar zijn. Dit zijn zorgelijke aantallen en het is belangrijk dat dit wordt teruggebracht en dat sociale media platforms aan de wetgeving (ouderlijke toestemming onder de 16 jaar) en aan hun eigen beleid (veelal geen account onder de dertien jaar) voldoen.
Het is aan de Europese toezichthouders (in Nederland is dit de Autoriteit Persoonsgegevens (AP)) dan wel aan de toezichthoudende autoriteit van de hoofdvestiging in een andere lidstaat, om als onafhankelijke toezichthouder toe te zien op de naleving van de AVG en waar nodig handhavend op te treden voor zover de toezichthouder daar de competentie toe heeft.
De Digitaledienstenverordening (DSA), die in februari van dit jaar volledig van toepassing is geworden, verplicht bovendien onlineplatforms die toegankelijk zijn voor minderjarigen om passende en evenredige maatregelen te nemen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen (artikel 28 DSA, eerste lid). De Autoriteit Consument & markt (ACM) en de AP zijn de beoogde toezichthouders op de naleving van een groot deel van de DSA waarbij de ACM digitaledienstencoördinator is. Beide toezichthouders zullen worden aangewezen in de uitvoeringswet DSA (uDSA). De uDSA is echter nog niet officieel aangenomen. Vooralsnog is de ACM aangewezen als voorlopige bevoegde autoriteit.
Zeer grote online platforms moeten daarnaast op grond van de DSA ook de systeemrisico’s voor de bescherming van minderjarigen in kaart brengen en mitigeren. Het gaat hierbij onder andere om de werkelijke of voorzienbare negatieve effecten op de bescherming van minderjarigen. Een ander relevant systeemrisico in dit kader zijn ernstige negatieve gevolgen voor het lichamelijke en geestelijke welzijn van personen. Zeer grote online platforms moeten dus nadrukkelijk rekening houden met de negatieve effecten die hun algoritmes kunnen hebben op kinderen en zij moeten deze systemen zo nodig aanpassen. Zij moeten dit bovendien laten onderzoeken door externe auditors. De Europese Commissie (EC) houdt toezicht op de naleving van deze verplichtingen voor de zeer grote online zoekmachines en platforms, waar Instagram en Facebook onder vallen. Ook het Europees Centrum voor Algoritmische Transparantie is mede hiertoe opgezet.
Er zijn dus verschillende wettelijke verplichtingen die beogen kinderen online te beschermen. De DSA is een belangrijke stap voor de bescherming van kinderen in de online wereld. Deze verordening is echter recentelijk pas van toepassing geworden. De voor de DSA noodzakelijk nationale uDSA is bovendien vertraagd waardoor ook de start van het toezicht op de DSA nog niet volledig operationeel is. Het kabinet zal de uitwerking van de DSA in de praktijk monitoren. De verordening voorziet bovendien in een tweetal evaluaties; per 17 november 2025 en 17 november 2027. Het kabinet wil de uitkomsten van deze evaluaties afwachten voordat er een uitspraak kan worden gedaan of het voorgenomen stelsel met regulering via de DSA voldoende handvatten biedt.
De EC werkt daarnaast aan de uitwerking van richtsnoeren onder de DSA over de bescherming van minderjarigen online. Deze richtsnoeren zullen, zodra ze zijn aangenomen, advies geven over hoe onlineplatforms een hoog niveau van privacy, veiligheid en beveiliging voor minderjarigen online moeten implementeren. De EC heeft aangegeven hierbij in te willen zetten op een risico gebaseerde aanpak, gebaseerd op kinderrechten impact assessments.
Naast deze eerdergenoemde meer specifieke verplichtingen om kinderen te beschermen, moeten bedrijven zich richting alle consumenten, waaronder kinderen, houden aan het consumentenrecht. Zo mogen bedrijven consumenten niet misleiden (een vorm van een oneerlijke handelspraktijk). Wat een oneerlijke handelspraktijk is kan per situatie anders zijn. Daarbij wordt o.a. rekening gehouden met de kwetsbaarheid van consumenten. Sommige groepen, zoals kinderen, zijn extra kwetsbaar en vaak gevoeliger voor verleidingstechnieken.
De ACM houdt in Nederland toezicht op de naleving van het consumentenrecht door bedrijven en heeft in haar eerder gepubliceerde Leidraad Bescherming online consument, invulling gegeven aan de norm voor online misleiding. Daarbij wordt ook ingegaan op praktijken gericht op kinderen.2
Vraag 3

Welke stappen heeft de overheid tot nu toe gezet om niet naleving van Tech bedrijven te handhaven? Zijn er inmiddels sancties uitgedeeld, zo ja welke? Kunt u deze uitsplitsen per bedrijf?

De toezichthouders hebben verschillende middelen en instrumenten tot hun beschikking om te handhaven. Zo is de EC onder de DSA eind april een nalevingszaak gestart naar TikTok, en medio mei naar Instagram en Facebook. Deze zaak ziet onder andere op de verslavende werking van deze diensten en het gebruik van informatiefuiken.3 Wanneer de EC na afronden van dit onderzoek vaststelt dat er sprake is van een inbreuk kan zij een boete opleggen van maximaal 6% van de totale wereldwijde jaaromzet. Het is aan de verschillende toezichthouders om toezicht te houden op de naleving van de eerdergenoemde regelgeving daar waar die competentie niet bij de EC ligt.
Eerder heeft de Autoriteit Persoonsgegevens (AP) een boete opgelegd aan TikTok4. De AP was destijds de bevoegde toezichthouder, voordat TikTok haar Europese hoofdvestiging naar Ierland verhuisde. Daarna heeft ook de Ierse Data Protection Commission (DPC) op 1 september 2023 aan TikTok een boete opgelegd van 345 miljoen Euro wegens meerdere schendingen van de AVG.5 Omdat de hoofdvestiging van TikTok in de EU in Ierland is gevestigd, was de DPC de competente toezichthouder. Dit onderzoek is in nauwe samenwerking met de AP uitgevoerd.
Naast handhaving zet de overheid ook in op het de ontwikkeling van instrumenten om ontwikkelaars van onlinediensten te ondersteunen bij het creëren van leeftijdsgeschikte ontwerpen, waarbij de risico’s op schending van kinderrechten zoveel mogelijk worden beperkt. Zo heeft het vorige kabinet een kinderrechten impact assessment (KIA) ontwikkeld en een geactualiseerde Code voor kinderrechten opgesteld. Deze KIA’s zullen jaarlijks worden uitgevoerd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, op sociale mediaplatformen die veel door kinderen worden gebruikt.6 De uitvoering van de eerste kinderrechten impact assessments is recent gestart. De eerste resultaten worden begin 2025 verwacht. Deze resultaten zullen na afronding met uw Kamer worden gedeeld.
Vraag 4

Welke sanctiemiddelen staan er nog steeds open die nog niet ingezet zijn en gaat u deze inzetten om naleving van de wet af te dwingen?

Zoals in het antwoord op vraag 3 is toegelicht, is er door de EC een onderzoek gestart onder de DSA en beoordeelt de AP, of de toezichthoudende autoriteit van de hoofdvestiging in een andere lidstaat, per geval en uit eigen beweging of er aan de AVG is voldaan en of er al dan niet handhavings- en onderzoeksbevoegdheden ingezet dienen te worden. Er bestaat hierin geen rol voor het ministerie, enkel de onafhankelijke toezichthouder heeft handhavings- en onderzoeksbevoegdheden. Deze handhavings- en onderzoeksbevoegdheden kunnen bestaan uit het doen van onderzoek naar de naleving van wetten die zien op het gegevensbeschermingsrecht, waarbij ingezet kan worden op het inzien van gegevensverwerkingen, bijvoorbeeld in de vorm van het inzien van het register of logging dan wel het doen van audits. Daarnaast worden grote partijen die hun diensten ook aanbieden aan kinderen door de AP en haar Europese collega’s bevraagd op de risico’s voor kinderen en hoe deze partijen risico’s mitigeren om aan de wetgeving te voldoen. Tot slot heeft de AP dit jaar kritische vragen gesteld aan een groot techbedrijf dat een chatbot gericht op kinderen op de markt bracht.7
Ook heeft de AP de mogelijkheid om gegevensverwerkingen stop te zetten en kunnen dwangsommen of boetes worden opgelegd. Het is aan de toezichthouder of zij tot handhaving overgaat. Vanuit de DSA kan de AP optreden als het gaat om het verbod op profileren met gebruik van gegevens van kinderen (art. 28, tweede lid). De overheid, anders dan de eerdergenoemde toezichthouders, zoals genoemd in vraag 3, kan geen sanctiemiddelen inzetten.
Zodra de ACM volledig bevoegd is om toezicht te houden op de DSA, kan zij handhavend optreden tegen online platforms bij overtreding van de open norm dat zij maatregelen moeten nemen om een «hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen» (art. 28, eerste lid). Denk hierbij onder andere aan het opleggen van een boete of een last om een overtreding te staken. Deze handhavingsbevoegdheid beperkt zich tot aanbieders van online platforms met een hoofdvestiging of wettelijk vertegenwoordiger in Nederland. Als het online platform in een andere lidstaat gevestigd is, kan de ACM o.a. meldingen over overtredingen naar de digitale diensten coördinator van de desbetreffende lidstaat sturen of hen verzoeken handhavend op te treden.
Vraag 5

Bent u bekend met het toenemende bewijs dat social media een negatief effect heeft op jongeren? Wat vindt u ervan dat sociale mediabedrijven tot op heden nog niet aan wetgeving voldoen?

Het kabinet ziet dat er steeds meer onderzoeken uitwijzen dat problematisch gebruik van sociale media ten koste gaat van de mentale en cognitieve ontwikkeling van jongeren. Dit is zorgelijk. Om de negatieve effecten van onlinediensten voor minderjarigen te beperken, wordt er ook in nieuwere wetgeving steeds meer rekening gehouden met de kwetsbare positie van kinderen, juist ook bij het gebruik van onlinediensten. Een voorbeeld daarvan is de in het antwoord op vraag 2 genoemde DSA. Dit ziet het kabinet als een goede stap in de bescherming van kinderen tegen de schadelijke effecten van bijv. sociale mediadiensten te beschermen.
Het is uiteindelijk aan de onafhankelijke toezichthouders om vast te stellen of sociale mediabedrijven aan de in de wet- en regeling gestelde wettelijke eisen voldoen en in een voorliggend geval onrechtmatig handelen. Dat is niet aan het kabinet.
Vraag 6

Is het volgens u wel haalbaar om ouderlijk toezicht onder 16 jaar te handhaven? Zo nee, hoe kijkt u naar de mogelijkheid om deze uitzondering niet meer mogelijk te maken en een social media-account pas vanaf 16 toe te staan?

Het kabinet erkent dat het in de praktijk moeilijk kan zijn om te bepalen wanneer ouderlijke toestemming vereist is, omdat er sprake is van een gebruiker, die jonger is dan zestien jaar. Dit betekent echter niet dat sociale media-gebruik tot 16 jaar moet worden verboden. Uit wetenschappelijk onderzoek8 blijkt dat sociale media voor jongeren ook positieve effecten kunnen hebben. Zo kan het kinderen helpen op een veilige manier te oefenen met sociale relaties en is er op sociale media een schat aan informatie te vinden over verschillende onderwerpen. Het is echter wel belangrijk dat sociale mediabedrijven ervoor zorgen dat de online omgeving veilig is voor kinderen en dat zij niet worden blootgesteld aan onwenselijke praktijken, zoals schadelijke content, cyberpesten of verslavende elementen. Daarnaast is het van belang dat de toestemming van ouders wordt gevraagd in alle gevallen waarin dat wettelijk verplicht is. Hiervoor is het belangrijk dat online platforms op een adequate manier de leeftijd van kinderen vaststellen, zonder hiermee inbreuk te maken op de privacy van gebruikers. Dit risico bestaat bijvoorbeeld bij het gebruik van biometrie of het uploaden van een kopie van het identiteitsbewijs om leeftijd vast te stellen. Om kinderen beter te beschermen, heeft de voormalige Staatssecretaris Koninkrijksrelaties en Digitalisering een raamwerk leeftijdsverificatie laten ontwikkelen, dat ontwikkelaars van onlineproducten en diensten voor kinderen kan helpen om te komen tot een adequate vorm van leeftijdsverificatie voor hun onlineproduct of dienst.
Vraag 7

Hoe staat het met de ontwikkeling van het wetsvoorstel naar aanleiding van de aangenomen motie van de leden Ceder en Six Dijkstra voor een wetsvoorstel voor het borgen van wettelijke leeftijdsverificatie? Wanneer worden de contouren hiervan naar de Kamer gezonden?2

Verschillende betrokken ministeries zijn momenteel aan het uitwerken hoe wettelijke borging van adequate leeftijdsverificatie in de verschillende situaties vorm zou kunnen krijgen. Zo is het Ministerie van VWS al enige tijd bezig met het uitwerken van de eisen waar een betrouwbaarder leeftijdsverificatiesysteem bij de online verkoop van alcohol aan moet voldoen. De Staatssecretaris Jeugd, Preventie en Sport bereidt momenteel een wijziging van het Alcoholbesluit voor ten behoeve van het invoeren van een betrouwbaarder leeftijdsverificatiesysteem bij de online verkoop. Het streven is om begin 2025 de internetconsultatie te starten waarna het ontwerpbesluit in het kader van de voorhangprocedure wordt aangeboden aan beide Kamers.
Daarnaast heeft de Minister van Financiën de Kamer op 19 juni jl. in zijn antwoorden op Kamervragen van de leden Mohandis en Ceder over de noodzaak tot verplichte leeftijdscontrole bij Buy Now Pay Later (BNPL)-diensten geïnformeerd dat hij momenteel samen met de Staatssecretaris Participatie en Integratie en de Staatssecretaris Rechtsbescherming uitwerkt hoe leeftijdsverificatie door BNPL-aanbieders bij alle klanten wettelijk kan worden afgedwongen.10 In de tussentijd heeft ook het interdepartementale onderzoek problematische schulden aanbevolen een leeftijdsverificatie verplicht te stellen voor BNPL-aanbieders.11 De verkenning van mogelijke beleidsopties zal na de zomer met de Kamer worden gedeeld.
Voor sociale mediadiensten zijn er geen voornemens om online leeftijdsverificatie verder wettelijk te borgen. Online leeftijdsverificatie wordt in de DSA genoemd als mogelijke maatregel die online diensten kunnen nemen ten behoeve van de bescherming van de rechten van het kind. Verdere uitwerking hiervan zal, gezien de maximaal harmoniserende werking van de DSA, op Europees niveau moeten gebeuren. Hierbij is het wel belangrijk dat er bij Europese standaardisatie de afweging van belangen als privacy, non-discriminatie, inclusiviteit, veiligheid en betrouwbaarheid in acht worden genomen en dat dit niet leidt tot het verwerkingen van aanvullende persoonsgegevens teneinde de meerderjarigheid van afnemers van een dienst vast te stellen. Ik blijf dit internationaal onder de aandacht brengen.
Vraag 8

In hoeverre acht u zero proof knowledge identity proof technologie als betrouwbaar en middel om verplicht te stellen, dan wel via de wet dan wel via lagere regelgeving?

De toepassing van zero knowledge proof technologie voor online leeftijdsverificatie is nog niet op grote schaal onderzocht en het is daarom nog niet met voldoende zekerheid te zeggen dat deze toepassing voldoende betrouwbaar zal zijn voor online leeftijdsverificatie. Het zal daarbij ook per situatie kunnen verschillen welke betrouwbaarheid wenselijk is. Daarnaast moet worden opgemerkt dat het over het algemeen wenselijk is om wetgeving techniek-onafhankelijk op te stellen, aangezien technologische ontwikkelingen elkaar in rap tempo opvolgen. Het is dan ook ongewenst om specifieke technologieën in wetgeving vast te leggen. In lagere wet- en regelgeving kunnen wel vereisten worden vastgelegd, maar het is niet aan de wetgever om te bepalen welke specifieke technologie hierbij gebruikt moet worden.

12 juli 2024 - 2 oktober 2024

82 dagen

Het onderzoek van Trollrensics over desinformatienetwerken tijdens de EU verkiezingen
	Barbara Kathmann (PvdA), Kati Piri (PvdA)
	Caspar Veldkamp (minister ) (NSC), Judith Uitermark (minister ) (NSC), Zsolt Szabó (VVD)

Bronnen

1. Russisch netwerk op X poogde radicaal-rechts in Europa te versterken | de Volkskrant, 12 juli 2024
2. Nederland en VS verstoren Russische digitale beïnvloedingsoperatie | Nieuwsbericht | AIVD, 9 juli 2024
3. Kamerstuk 21 501-20, nr. 2093

Vraag 1

Bent u bekend met het onderzoek van Trollrensics over desinformatienetwerken op sociale media met als doel de Europese verkiezingen van 2024 te beïnvloeden?1

Ja, hiermee zijn we bekend.
Vraag 2

Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?

Ja. Heimelijke beïnvloeding ondermijnt onze democratische rechtsstaat en het vertrouwen in onze democratische instituties. Daarmee vormt het een bedreiging voor onze nationale veiligheid. Het is voor het kabinet van groot belang om dreigingen tegen onze samenleving tegen te gaan.
Vraag 3

Beamen de AIVD, MIVD en NCTV de resultaten van het onderzoek volledig? Met hoeveel zekerheid is te zeggen dat in Nederland niet op dezelfde schaal campagnes zijn gevoerd door buitenlandse mogendheden tijdens de verkiezingen van 2024?

Onze inlichtingen- en veiligheidsdiensten waarschuwen al langere tijd dat inmengingsactiviteiten van andere landen in toenemende mate een bedreiging vormen.2 Het netwerk ontdekt door Trollrensics was actief in Frankrijk, Duitsland en Italië. In Nederland werd het niet waargenomen. Dit netwerk past in het normbeeld waarbij Rusland voortdurend probeert westerse beeld- en besluitvorming te beïnvloeden ten gunste van Rusland, maatschappelijke tegenstellingen probeert aan te wakkeren en te versterken en onderlinge eenheid te ondermijnen. In de openbare jaarverslagen van de AIVD en MIVD is te lezen dat Rusland zijn heimelijke beïnvloedingsactiviteiten vooral op grote Europese landen richt. Dat betekent niet dat er geen risico is voor Nederland op heimelijke beïnvloeding vanuit Rusland. Rusland stelt zich in deze opportunistisch op en is in staat om in te spelen op zich voordoende kansen in kleinere landen. Bovendien kunnen beïnvloedingscampagnes tegen bondgenoten ook indirect gevolgen hebben voor Nederland.
Vraag 4

Hebben de AIVD en MIVD signalen opgevangen dat soortgelijke desinformatiecampagnes in Nederland zijn gevoerd tijdens de verkiezingen van 2024? Zo ja, zijn deze effectief bestreden? Wat was de schaal van deze campagne(s)?

De diensten hebben een divers instrumentarium om heimelijke beïnvloeding te onderzoeken en waar nodig de samenleving, instanties en/of personen te alerteren. Het kabinet kan in het openbaar geen mededelingen doen naar waar de inlichtingen- en veiligheidsdiensten al dan niet onderzoek naar doen. Het is voor het werk van de inlichtingen- en veiligheidsdiensten immers van doorslaggevend belang dat zij in het belang van onze nationale veiligheid, geheimhouding en bronbescherming waarborgen. U kunt ervan uitgaan dat de diensten hun wettelijke bevoegdheden kunnen en zullen inzetten om heimelijke beïnvloeding te onderkennen en waar mogelijk, tegen te gaan.
Vraag 5

Draagt Nederland als wereldwijde host van online diensten, waaronder servers die gebruikt worden in Russische desinformatiecampagnes zoals recent bevestigd door de AIVD2, een bijzondere verantwoordelijkheid in het bestrijden van desinformatie? Zo ja, hoe kan hier effectief tegen worden opgetreden met respect voor de privacy van onschuldige internetgebruikers?

Aanbieders van hostingdiensten (inclusief online platformen) hebben bepaalde verantwoordelijkheden voor de informatie die zij hosten, die nader beschreven staan in de Digitaledienstenverordening (DSA). Dit betekent onder andere dat wanneer desinformatie de vorm heeft van illegale inhoud de DSA diverse bepalingen bevat die aanbieders van hostingdiensten een verantwoordelijkheid geven in de bestrijding daarvan. Artikel 6 DSA bepaalt dat aanbieders van hostingdiensten in beginsel niet aansprakelijk zijn voor informatie die gebruikers op hun servers plaatsen en opslaan. Zodra zij er echter kennis van krijgen dat ze illegale inhoud hosten, dan zijn ze verplicht om prompt te handelen en die inhoud te verwijderen of de toegang ertoe te blokkeren. Doen ze dat niet, dan kan de Europese Commissie, als toezichthouder van de DSA, ze wél aansprakelijk stellen voor die illegale inhoud. De DSA verplicht hen ook om meldingen van illegale inhoud mogelijk te maken en verduidelijkt dat dergelijke meldingen leiden tot kennis in de zin van artikel 6 (artikel 16, derde lid). Daarmee is er niet alleen een verplichting maar ook een prikkel om dat soort meldingen op te volgen.
Een puur hostingsbedrijf kan veelal niet ingrijpen op het niveau van specifieke inhoud van internetgebruikers, maar wel op het niveau van een hele server of website. Bijvoorbeeld door die ontoegankelijk te maken. Ingrepen door hostingbedrijven zijn daardoor over het algemeen minder proportioneel dan ingrepen door de website-eigenaar of de dienst die op de servers van het hostingbedrijf draait.
Niet alle desinformatie is illegaal. Niettemin kan het schadelijk zijn. Voor die gevallen bevat de DSA verplichtingen voor zeer grote online platformen. Zeer grote online platformen zoals X moeten daardoor in aanvulling op de verplichtingen waar alle aanbieders van hostingdiensten aan dienen te voldoen, verantwoordelijkheid nemen tegen desinformatiecampagnes, bijvoorbeeld in de vorm van niet-authentieke manipulatie van die diensten, op hun platformen. Dit probleem moet Europa-breed en bij de bron worden aangepakt. Artikel 34 en 35 van de DSA, die betrekking hebben op risicobeoordeling en risicobeperking, verplichten sociale media platforms als X of Facebook om maatregelen te nemen tegen gecoördineerd niet-authentiek gedrag en desinformatiecampagnes. Het is de Europese Commissie die hierop toezicht houdt vanuit de Digital Services Act (DSA). Meer informatie over de wijze waarop de Europese Commissie dit heeft ingevuld rondom de Europese Parlementsverkiezing is te vinden in het recentelijk gepubliceerde rapport hierover.4
Vraag 6

Zijn er nog andere voorbeelden bekend waar Nederland een faciliterende rol speelde in beïnvloedingscampagnes gericht op andere landen? Hoe wordt dit ondervangen?

Nederland is een belangrijk knooppunt in mondiale digitale netwerken en infrastructuur. Het is voor veel statelijke actoren aantrekkelijk om misbruik te maken van Nederlandse ICT-infrastructuur, omdat deze van hoge kwaliteit is en eenvoudig is in te zetten. De AIVD, MIVD en NCTV waarschuwen daarom al langer voor het risico van misbruik van Nederlandse infrastructuur door statelijke actoren.5 Het is een belangrijke bevoegdheid en tegelijkertijd een taak van de AIVD en de MIVD om heimelijke beïnvloeding te onderkennen en tegen te gaan. Ook als de beïnvloeding in een ander land plaatsvindt en gebruik maakt van Nederlandse infrastructuur. Op 9 juli jl. is uw Kamer geïnformeerd over de verstoring van een Russische digitale beïnvloedingsoperatie, gericht op de beïnvloeding van het publieke debat in de Verenigde Staten van Amerika. Bij deze beïnvloedingsoperatie werd gebruik gemaakt van een server in Nederland. De MIVD rapporteerde in 2022 over routers die door de Russische militaire inlichtingendienst (Glavnoje Razvedyvatelnoje Oepravlenije, GROe) gebruikt worden als aanvalsinfrastructuur en de verstoring van dat netwerk.6 In 2023 zag de MIVD dat Russische actoren gebruik blijven maken van gehackte infrastructuur van onschuldige gebruikers ten behoeve van digitale spionage-, sabotage- en beïnvloedingsactiviteiten.7
Het is van belang om de Nederlandse ICT-infrastructuur in generieke zin weerbaarder te maken tegen misbruik, daarom zet het kabinet in op de uitvoering van de Nederlandse Cybersecurity Strategie.8
Vraag 7

Doet de regering uws inziens voldoende om desinformatiecampagnes in Nederland als ook beïnvloedingscampagnes die gehost worden vanuit Nederland tegen te gaan?

Het kabinet heeft in de Voortgangsbrief Rijksbrede strategie desinformatie, die in juni aan de Tweede Kamer is verzonden, beschreven wat zij deed en welke nieuwe acties zij voornemens zijn te ondernemen. Deze acties zijn onder andere gericht op het versterken van de weerbaarheid van burgers tegen desinformatie.9
Zie verder het antwoord op vraag 5.
Vraag 8

Zijn er tijdens de Europese verkiezingen in 2024 aanvullende maatregelen genomen om desinformatienetwerken tegen te gaan? Zo ja, welke en bleken deze effectief? Zo nee, waarom niet?

Ja, er zijn maatregelen genomen in aanvulling op reeds bestaande maatregelen, zowel in samenwerking op Europees niveau, als aanvullende maatregelen op nationaal niveau.
De Europese Dienst voor extern optreden (EDEO) heeft netwerken van statelijke actoren tijdens de Europese verkiezingen beter in beeld gebracht door deze te identificeren en hierover artikelen te publiceren op de website EUvsDisinfo.10
De Europese Commissie heeft met enkele van de sociale media platformen, NGO’s en nationale toezichthouders, waaronder de ACM, een zogenoemde «stresstest» gevoerd. Hierbij testte de Commissie samen met de platformen of zij klaar waren voor heimelijke verkiezingsbeïnvloeding, zoals desinformatienetwerken, op hun platform en hoe daarmee om te gaan.11 Verder heeft de Commissie richtsnoeren gepubliceerd voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOPS en VLOSE) inzake de beperking van systeemrisico’s voor verkiezingsprocessen.12 Sinds de inwerkingtreding van de DSA is de ACM in Nederland aangewezen als digitaledienstencoördinator. Bij de afgelopen EP-verkiezing was de ACM betrokken bij onder andere de verkiezingstafel.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt samen met andere EU-lidstaten via mechanismen zoals het Rapid Alert System (RAS), de voor de verkiezingen ingestelde geïntegreerde regeling politieke crisisrespons (IPCR) en het European Cooperation Network on Elections (ECNE) om informatie en acties te coördineren en de weerbaarheid te vergroten.
Op nationaal niveau neemt het Ministerie van BZK tijdens de verkiezingen standaard extra maatregelen om de effecten van desinformatienetwerken te verminderen.13 Dit gaat op de eerste plaats om begrijpelijke en transparante communicatie over het verkiezingsproces en de stemprocedure. Als burgers weten hoe het verkiezingsproces werkt, zijn ze minder vatbaar voor desinformatie over dit onderwerp. Daarnaast organiseerde het Ministerie BZK wederom een verkiezingstafels voor vertegenwoordigers van de gemeenten, de Kiesraad en alle veiligheidspartners (Politie, OM, ACM en betrokken ministeries), waar mogelijke risico’s worden besproken die ondermijnend zijn voor het verkiezingsproces. Verder organiseerde het ministerie een webinar voor gemeenteambtenaren waar specifiek is ingegaan op het tegengaan van desinformatie.
Tot slot kan het Ministerie van BZK in bijzondere gevallen haar trusted flagger status inzetten, waardoor meldingen door sociale media platformen met prioriteit worden behandeld. De sociale mediabedrijven maken hierbij altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of actie gerechtvaardigd is. Het ministerie heeft geen bevoegdheid bepaalde content te laten verwijderen. Deze status is voor de EP-verkiezing eenmalig ingezet bij het platform X om een algemene waarschuwing te geven dat er wellicht valse berichten worden verspreid over het verkiezingsproces. Uw Kamer wordt hierover nader geïnformeerd in de evaluatie van de EP-verkiezingen. De Minister van BZK streeft ernaar deze evaluatie begin november aan uw Kamer toe te sturen.
Uit rapporten van de onder de DSA opgerichte Europese digitaledienstenraad en de EDMO (het factcheckers consortium) Task Force blijkt dat er, ondanks pogingen van desinformatienetwerken, geen grote of structurele problemen zijn geweest bij de Europese verkiezingen.14 Ook de nieuwe, onder de DSA opgerichte, Europese digitaledienstenraad concludeert op dit moment dat er geen grootschalige of systemische incidenten hebben plaatsgevonden waardoor het verloop van de Europese verkiezingen is verstoord.15
Vraag 9

Biedt de bestaande Europese wet- en regelgeving, met name via de Digital Services Act, voldoende mogelijkheden om op te treden tegen desinformatiecampagnes? Welke nationale en Europese maatregelen zijn er verder nog nodig om desinformatie effectief te bestrijden?

Ja, de desinformatiecampagnes zoals omschreven in het onderzoek van Trollrensics, vonden plaats op X. Dit platform geldt als een zeer grote online platform en valt sinds augustus 2023 onder de DSA. De DSA bevat verschillende bepalingen over inhoudsmoderatie door aanbieders van online tussenhandeldiensten. Volgens de definitie van het begrip «inhoudsmoderatie» (artikel 3, onderdeel t, van de DSA) gaat het dan om zowel illegale inhoud als om informatie die in strijd is met de algemene voorwaarden die de aanbieder toepast, bijvoorbeeld omdat hij deze onwenselijk of schadelijk acht. Desinformatie kan zowel de vorm aannemen van illegale inhoud als schadelijke inhoud. In het geval van het laatste, kan desinformatie en andere schadelijke inhoud vallen onder contractuele beperkingen die in de algemene voorwaarden opgenomen zijn. Daarnaast kan desinformatie ook vallen onder zogenaamde «systeemrisico» zoals beschreven in artikel 34 van de verordening. Tegen dergelijke schadelijke inhoud moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken.
Aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines moeten daarom, bij de beoordeling van systeemrisico’s, bijzondere aandacht besteden aan de manier waarop hun diensten (kunnen) worden gebruikt om misleidende of bedrieglijke inhoud, met inbegrip van desinformatie en gecoördineerde desinformatiecampagnes, te verspreiden of versterken. Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om toezicht te houden op zeer grote online platformen en onlinezoekmachines. Bij het treffen van maatregelen moeten platformen de rechten van burgers beschermen, zoals het recht op privacy en de vrijheid van meningsuiting.
Daarnaast is uw Kamer recentelijk geïnformeerd over de nieuwe maatregelen die wij nemen in de Rijksbrede strategie voor de effectieve aanpak van desinformatie.16 Het Ministerie van BZK heeft opdracht gegeven tot een brede verkenning waarin wordt onderzocht hoe de kwaliteit van het open publieke debat beter kan worden gewaarborgd. Daarbij wordt onderzocht welke kwetsbaarheden het open publieke debat kent, waaronder de wijze waarop desinformatie de Nederlandse democratische rechtsstaat kan ondermijnen en welke interventies het open publieke debat beter kunnen beschermen. Over dit onderzoek en de eerste resultaten wordt uw Kamer eind 2024 geïnformeerd.
Vraag 10

Doen grote online platforms volgens u voldoende om desinformatiecampagnes op hun kanalen te bestrijden? Zo ja, waaruit blijkt dat? Zo niet, van welke online platforms verwacht u meer actie en is de Digital Services Act, onder andere, voldoende uitgerust om hen hiertoe te dwingen?

De DSA verplicht zeer grote online platforms en zoekmachines om tenminste jaarlijks een risicobeoordeling te verrichten om te onderzoeken of hun diensten vatbaar zijn voor systeemrisico’s. De verspreiding van desinformatie kan zo’n systeemrisico vormen. Indien dergelijke systeemrisico’s aanwezig zijn, moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken. Dergelijke maatregelen kunnen de aanpassing van hun diensten, online-interfaces, algemene voorwaarden inhoudsmoderatieprocedures, algoritmische systemen of aanbevelingssystemen omvatten.
Het is nu nog te vroeg om volledig te kunnen vaststellen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om systeemrisico’s, waaronder de verspreiding van desinformatie, te mitigeren. Dat oordeel is in de eerste plaats aan de Europese Commissie als bevoegde toezichthouder. In het geval van niet-naleving van de bepalingen door zeer grote online platformen en zeer grote onlinezoekmachines kan de Europese Commissie handhavingsmaatregelen. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de wereldwijde omzet van een zeer groot online platform.
De Europese Commissie is voortvarend gestart met het toezicht, ook op de verplichtingen van artikel 34 en 35 DSA. Op 18 december 2023 is ze een formele procedure gestart tegen X. Onder meer omdat ze twijfelt aan de doeltreffendheid van de maatregelen die X neemt ter bestrijding van desinformatie. Deze procedure loopt nog. Op 12 juli j.l. heeft de Europese Commissie zijn voorlopige bevindingen naar X gestuurd.17 Daarnaast is ze een formele procedure gestart tegen Meta. De systeemrisico-analyses van Meta, de risico’s van desinformatie, en de maatregelen die Meta daartoe heeft genomen zijn onderdeel van die procedure.18 Wij volgen de voortgang van deze procedures en ondersteunen de Europese Commissie waar nodig in haar rol als toezichthouder op de naleving van de DSA.
Vraag 11

Welke stappen gaat u nemen om samen met uw ambtsgenoten in de EU op te treden tegen deze vorm van buitenlandse verkiezingsbeïnvloeding? Bepleit u samen met hen een gezamenlijke boodschap richting de nieuwe Europese Commissie?

Het hoofdlijnenakkoord omschrijft dat de overheid zich inzet om de maatschappij weerbaar te maken tegen desinformatie. Dit belang dragen we ook in de EU uit. Het kabinet staat in EU verband in nauw contact met andere landen waar het buitenlandse beïnvloeding betreft. Concrete voorbeelden hiervan zijn het Europese Rapid Alert System (RAS) en het European cooperation network on elections (ECNE). In deze gremia zijn onder andere signalen over desinformatie, maatregelen om hiermee om te gaan en de laatste wetenschappelijke inzichten uitgewisseld. Leden van de Europese lidstaten doen mee om de negatieve impact van desinformatie zo effectief mogelijk aan te pakken en van elkaar te leren. Via deze wegen worden ook FIMI-campagnes19 gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Waar nodig wordt gekeken naar een gezamenlijke reactie. Nederland participeert actief, o.a. door via het Rapid Alert System vertaalde versies van de Rijksbrede Strategie en de Kamerbrief Weerbaarheid Verkiezingsproces te delen.
De nieuwe Europese Commissie zal op het onderwerp desinformatie nieuwe stappen willen zetten. Dat blijkt uit de politieke richtlijnen van de herkozen Commissievoorzitter.20 Het is nu aan de Commissie om binnen hun mandaat met nieuwe voorstellen te komen. Uw Kamer wordt hier te zijner tijd over geïnformeerd.
Vraag 12

Wat is de stand van zaken van de motie van de leden Piri en Paternotte over het in de Europese Raad pleiten voor onderzoek naar buitenlandse inmenging in de Europese Parlementsverkiezingen?3

Deze motie is uitgevoerd. De Minister-President heeft tijdens de informele Europese Raad van 17 juni 2024 zijn zorgen overgebracht over mogelijke buitenlandse inmenging in de EP-verkiezingen.22 De Minister-President gaf daarbij aan dat een onderzoek wenselijk is als er indicaties van inmenging zijn. Een dergelijk onderzoek op Europees niveau zou in de eerste plaats aan het EP zijn, in samenwerking met de Belgische autoriteiten.
Vraag 13

Kunt u de vragen afzonderlijk van elkaar beantwoorden?

Ja.

26 juni 2024 - 19 september 2024

85 dagen

Het bericht ‘Meta schort AI-plannen in Europa op na druk toezichthouders’
	Barbara Kathmann (PvdA)
	Micky Adriaansens (VVD), Alexandra van Huffelen (D66)

Bronnen

1. RTL Nieuws, 14 juni 2024, «Meta schort AI-plannen in Europa op na dru…
2. Tweakers, 24 juni 2024, «WSJ: Apple voerde gesprekken met Meta over integreren AI-model in iPhones». (tweakers.net/nieuws/223558/wsj-apple-voerde-gesprekken-met-meta-over-integreren-ai-model-in-iphones.html)
3. Hof van Justitie van de Europese Unie, 4 juli 2023, «Zaak C-252/21, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk». (curia.Europa.eu/juris/document/document.jsf;jsessionid=77F1D737FB9E298249F218E607B2A0D6?text=&docid=276478&pageIndex=0&doclang=NL&mode=req&dir=&occ=first&part=1&cid=10282064)
4. Meta, 10 juni 2024, «Building AI Technology for Europeans in a Transparent and Responsible Way». (about.fb.com/news/2024/06/building-ai-technology-for-europeans-in-a-transparent-and-responsible-way/)

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.
Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).
Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.
Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.
Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.
Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.
Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.
Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.
Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.
Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.
Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.
Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.
Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.
Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.
Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.

13 juni 2024 - 9 september 2024

88 dagen

Het bericht van Elon Musk op X waarin hij stelt alle apparaten van Apple te zullen weren uit zijn bedrijven wanneer OpenAI geïntegreerd wordt op OS-niveau
	Jan Valize (PVV)
	Alexandra van Huffelen (D66), Micky Adriaansens (VVD)

Bronnen

1. Elon Musk op X: «If Apple integrates OpenAI at the OS level, then Apple devices will be banned at my companies. That is an unacceptable security violation.» / X
2. Het rommelt bij ChatGPT-maker OpenAI (alweer) (businessinsider.nl)

Vraag 1

Bent u bekend met het volgende bericht van de heer Musk?1

Ja, ik heb kennisgenomen van dit bericht.
Vraag 2

Bent u bekend met het vijf dagen eerder verschenen artikel «Het rommelt bij OpenAI, de maker van ChatGPT: kritiek op veilig gebruik van artificial intelligence komt van binnen en buiten» gepubliceerd door Business Insiders Nederland op 5 juni 2024?2

Ja, ik heb kennisgenomen van dit bericht.
Vraag 3

Deelt u de opvatting van de heer Musk dat de integratie van OpenAI op OS-niveau van Apple producten, zoals verkondigd door Apple op de WWDC (Worldwide Developers Conference), een potentieel veiligheidsrisico kan vormen voor deze apparaten? Zo nee, waarom niet?

Het integreren van producten van derde partijen in Apple producten, maar ook producten van vergelijkbare partijen, is een veel voorkomend proces. Dit integratieproces kan veiligheidsrisico's met zich mee brengen, waarbij de potentiële kwetsbaarheden over het algemeen toenemen naarmate de integratie diepgaander wordt. In het specifieke geval van AI-integratie binnen een besturingssysteem, zoals de integratie van OpenAI op OS-niveau, worden deze risico's verder geïntensiveerd. Deze vorm van integratie vereist namelijk toegang tot gevoelige gegevens en kerncomponenten van het OS, wat verder gaat dan conventionele integraties. Apple heeft aangegeven in openbare berichtgeving dat er in dit proces data wordt uitgewisseld met externe partijen. Ook heeft Apple in openbare berichtgeving aangegeven maatregelen te hebben getroffen om de cybersecurity en dataprivacy te borgen. Daar zijn geen technische details over openbaar gemaakt. Uiteraard moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8.
Apple heeft overigens de uitrol van de integratie van ChatGTP van OpenAI binnen de EU uitgesteld (zie hiervoor ook de beantwoording van vraag 6, 7 en 8).
Vraag 4

Deelt u de mening dat de scheidingslijn tussen «lokaal opgeslagen» en «opgehaald/gedeeld middels geautoriseerde apps» geen heldere barrière kent en derhalve flinterdun genoemd mag worden? Graag een onderbouwing van uw beantwoording.

De scheidingslijn tussen lokaal opgeslagen gegevens en gedeelde gegevens is technisch gezien duidelijk, namelijk dat lokaal opgeslagen gegevens zich bevinden op het apparaat van de gebruiker, terwijl gedeelde gegevens worden overgedragen naar externe servers. Tegelijkertijd is voor gebruikers niet altijd duidelijk wat er wel of niet gebeurt met hun gegevens. Dit komt door de complexiteit van moderne besturingssystemen en de voortdurende balans tussen gebruiksgemak en beveiliging. Hierdoor kan lokale informatie op verschillende manieren, zowel actief (aangevinkt door de gebruiker) als automatisch (bijvoorbeeld via virusscans, en spellingcheckers), met externen worden gedeeld zonder dat de gebruiker zich hiervan bewust is.
Vraag 5

Vindt u dat dergelijk potentieel veiligheidsrisico voor een overheidsorgaan onwenselijk is? Zo nee, waarom niet?

In algemene zin kunnen veiligheidsrisico’s die ontstaan door integraties van producten van derde partijen in een besturingssysteem onwenselijk zijn voor de overheid. Zo is een risico van oneigenlijk delen en verwerken van gegevens van smartphonegebruikers onwenselijk. Tegelijkertijd zijn er maatregelen mogelijk om deze risico’s te mitigeren. Ook moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8. Apple geeft aan te werken aan uitgebreide bescherming van persoonsgegevens voor hun AI-toepassingen, bijvoorbeeld middels «Private Cloud Compute (PCC)»3. De PCC ontvangt gegevens van het toestel van de gebruiker voor het uitvoeren van een AI-toepassing wanneer deze niet op het toestel zelf kunnen worden uitgevoerd. Na ontvangst worden de gegevens gebruikt voor het uitvoeren en worden deze na gebruik gelijk verwijderd. Gegevens in de PCC worden volgens Apple niet gedeeld met derden en zouden ook niet door Apple verder worden verwerkt.
Vraag 6

Wat bent u voornemens te gaan doen om hieraan gerelateerde potentiële veiligheidsrisico’s in kaart te brengen en tevens in te perken?

Voor het inzetten van AI-toepassing binnen de Rijksoverheid gelden verschillende risico mitigerende maatregelen. Deze maatregelen zijn verwerkt in zowel (EU) wet- en regelgeving alsook de inkoopvoorwaarden voor ICT. Dit betekent enerzijds dat Apple zelf verantwoordelijk is voor het naleven van de inkoopvoorwaarden en anderzijds zij op wet- en regelgeving getoetst en gecontroleerd worden door Rijksoverheidsorganisaties en toezichthouders.
Voor het gebruik van generatieve AI-toepassingen, zoals die van Apple, geldt nog steeds het voorlopige standpunt generatieve AI over het gebruik door Rijksorganisaties van generatieve AI.4 Hierin staat dat voor het inzetten van een AI-toepassing, deze onderworpen moet worden aan een Impact Assessment Mensenrechten Algoritme (IAMA) en een Data Protection Impact Assessment (DPIA). De uitkomsten van de DPIA en IAMA dienen voor inzet van de toepassing ter advies aan de (departementale) Chief Information Officer (CIO) en de Functionaris Gegevensbescherming (FG) te worden voorgelegd. Door middel van deze maatregelen worden potentiële veiligheidsrisico’s op tijd gesignaleerd en kan er doelmatig ingegrepen worden.
Leveranciers hebben ook een eigen verantwoordelijkheid om te voldoen aan wetgeving en inkoopvoorwaarden. Zoals in antwoord op vraag 3 benoemd, heeft Apple vooralsnog de uitrol van de AI integratie binnen de EU uitgesteld.
Vraag 7

In hoeverre past een integratie van AI op OS-niveau binnen de kaders van de DMA, DSA, AI-Act en andere relevante wetten, regels en verordeningen?

Het is aan de toezichthouders en uiteindelijk aan de rechters op Europees en nationaal niveau om te bepalen in hoeverre een integratie van AI op OS-niveau binnen de bestaande kaders van relevante wet- en regelgeving past. In de Digital Markets Act (DMA) en de AI-verordening staan bepalingen die ingaan op onder andere interoperabiliteitsverplichtingen en de verantwoordelijkheden binnen de waardeketen van AI. Besturingssystemen vallen niet binnen de reikwijdte van de Digital Services Act (DSA).
Apple is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. De iOS-diensten van Apple vallen onder het toepassingsgebied van de DMA en zijn door de Commissie aangewezen als kernplatformdienst in de categorie besturingssysteem (artikel 2, tweede lid, onder f). Dit betekent dat Apple moet zorgen voor effectieve naleving van de maatregelen in de DMA die van toepassing zijn op besturingssystemen, zoals het verbod op het combineren van data of de interoperabiliteitsverplichtingen. Op basis van artikel 5, tweede lid, van de DMA mag Apple bijvoorbeeld niet zonder toestemming persoonsgegevens gebruiken in andere diensten die Apple afzonderlijk aanbiedt.
Onder de DMA zijn diensten die gebruikmaken van AI niet opgenomen als afzonderlijke kernplatformdienst. Uit overweging 14 van de DMA volgt echter dat de definitie van kernplatformdiensten voor de toepassing van deze verordening technologieneutraal is en ook diensten omvat die langs verschillende wegen worden aangeboden. De onderliggende technologie waar het besturingssysteem op leunt, kan op deze wijze dus ook onder het toepassingsgebied van de DMA komen te vallen. Dat betekent echter niet dat de DMA zich verzet tegen een integratie van AI op OS-niveau, mits Apple zich voor haar iOS-diensten houdt aan de verplichtingen en verboden die volgen uit de DMA.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 2 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stelt aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Vraag 8

Wat gaat u doen om de privacy van onze burgers te borgen?

De privacy van burgers binnen het digitale domein wordt op verschillende manieren geborgd. Binnen de EU wordt het grondrecht op gegevensbescherming wettelijk beschermd via de Algemene Verordening Gegevensbescherming (AVG). Toezicht en handhaving op de rechtmatigheid van gegevensverwerking in de publiek en private sector wordt in Nederland gedaan door de Autoriteit Persoonsgegevens (AP).
De AP is een onafhankelijke toezichthouder en heeft ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. Zo heeft de AP als toezichthoudend autoriteit de bevoegdheid om organisaties te gelasten alle informatie voor hun onderzoek te verstrekken (art. 58, AVG). Ook is de AP bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. Sancties die de AP kan opleggen zijn: waarschuwingen, berispingen, last onder dwangsom, boetes (maximaal 20 miljoen of 4% van de wereldwijde jaaromzet) of een verwerkingsverbod.
In de casus van Apple wordt het toezicht niet door de AP opgepakt, maar door de Ierse privacyautoriteit. Het Europese hoofdkantoor van Apple is namelijk gevestigd in Cork, Ierland. Dit houdt in dat, aangezien de hoofdvestiging zich in Ierland bevindt, de leidende toezichthoudende autoriteit conform artikel 56 uit de AVG de Ierse toezichthouder is. De Ierse toezichthouder heeft eenzelfde mandaat en bevoegdheden als de Nederlandse AP en zij werken bij grensoverschrijdende gegevensverwerkingen nauw samen. Deze samenwerking vindt plaats middels de European Data Protection Board (EDPB).

12 juni 2024 - 11 september 2024

91 dagen

De kabinetsbrief Gemelde kwetsbaarheid Cisco Webex vergadervoorziening
	Queeny Rajkowski (VVD), Jan Valize (PVV), Jesse Six Dijkstra (NSC)
	Alexandra van Huffelen (D66), Kajsa Ollongren (D66), Hugo de Jonge (CDA)

Bronnen

1. Kamerstuk 26 643, nr. 1181
2. NOS, 6 juni 2024, https://nos.nl/nieuwsuur/artikel/2523333-ambtenaren…
3. De Volkskrant, 6 juni 2024, https://www.volkskrant.nl/tech/lekke-verg…

Vraag 1

Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.
Vraag 2

Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3

Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.
Vraag 3

Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.
Vraag 4

Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.
Vraag 5

Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.
Vraag 6

Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.
Vraag 7

Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?

Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.
Vraag 8

Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?

Zie antwoord vraag 7.
Vraag 9

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?

Zie antwoord vraag 7.
Vraag 10

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?

Zie antwoord vraag 7.
Vraag 11

Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?

Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.
Vraag 12

Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?

Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.
Vraag 13

Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?

Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.
Vraag 14

Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?

Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.
Vraag 15

Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?

Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.
Vraag 16

Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?

De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.

10 juni 2024 - 9 september 2024

91 dagen

Het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht
	Queeny Rajkowski (VVD)
	Alexandra van Huffelen (D66), Micky Adriaansens (VVD)

Bronnen

1. NOS (4 juni 2024). Werknemers in brief: «OpenAI is roekeloos en het o…

Vraag 1

Bent u bekend met het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht?1 Herkent u de zorgen zoals geuit in de brief van huidig en voormalig werknemers van OpenAI? Zo ja, hoe ziet de Minister het mogelijke gevaar van het versterken van ongelijkheid en het verspreiden van desinformatie door AI (in Nederland)? Welke gevaren ziet de Minister nog meer?

Ja, hier ben ik mee bekend. Ik herken de risico’s die worden genoemd in de brief en de bezorgdheid over het effect dat artificiële intelligentie (AI) kan hebben op het creëren en verspreiden van mis- en desinformatie.
Generatieve AI zoals de producten van OpenAI maken het in potentie makkelijker om mis- en desinformatie te creëren. Om deze risico’s te beperken zijn regels opgesteld in de AI-verordening. Zo moeten aanbieders van AI-systemen die synthetische content2 genereren ervoor zorgen dat de output van het AI-systeem wordt gemarkeerd in een machineleesbaar formaat en detecteerbaar zijn als kunstmatig gegenereerd of gemanipuleerd. Dit maakt het makkelijker voor grote online platforms om systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content te identificeren en te beperken. Verder geldt dat AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum, of van het stemgedrag bij verkiezingen of referenda als hoog-risico worden geclassificeerd vanuit de AI-verordening. Aanbieders van deze systemen moeten dan ook voldoen aan de eisen en verplichtingen voor AI-systemen met een hoog risico, zoals het identificeren en voorkomen van risico’s. OpenAI verbiedt dan ook het gebruik van hun producten voor politieke beïnvloeding.
Het kabinet wil dat deze risico’s van generatieve AI worden ingeperkt en aangepakt, maar ook de kansen van generatieve AI benutten voor het tegengaan van desinformatie. In de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie3, die onlangs vanuit mijn ambtsvoorgangers, aan uw Kamer is verzonden, wordt dieper ingegaan op de impact van generatieve AI en het verspreiden van desinformatie.
Het kabinet erkent ook het risico dat AI kan hebben op groeiende ongelijkheid en de sociaaleconomische implicaties. Daarom steunt zij ook het eerder aangevraagd advies van het vorige kabinet hierover aan de Sociaal Economische Raad4, zodat het kabinet samen met werkgevers en werknemers actie kan ondernemen om de impact van AI op de samenleving op een verantwoorde manier een vervolg te geven. De AI-verordening heeft als doel om risico’s van AI-systemen aan te pakken, waaronder het risico op discriminatie wat ongelijkheid veroorzaakt en kan vergroten. De AI-verordening bepaalt dat onder meer risico’s op aantasting van fundamentele rechten zoals het recht op non-discriminatie moeten worden aangepakt bij de ontwikkeling van AI-systemen en bij de inzet van AI-systemen door overheidsinstanties.
Vraag 2

Hoe ziet u in algemene zin het spanningsveld tussen het feit dat de AI Act pas in haar volledige vorm over enkele jaren in werking treedt en dat het op dit moment wenselijk kan zijn om toezicht te houden en daar waar nodig in te grijpen bij organisatie die maatschappij veranderende technieken uitbrengen, zoals kunstmatige intelligentie en large language models?

Als het gaat om het reguleren van AI als product binnen de EU en in Nederland, vormt de AI-verordening hiervoor het juridisch fundament. De AI-verordening is in werking getreden op 1 augustus jl. en wordt stapsgewijs van toepassing. Zo zijn bepaalde AI-praktijken al na 6 maanden verboden. De eisen voor AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI naar verwachting ook onder vallen) zijn al na 12 maanden van toepassing. Hieronder vallen ook de zwaardere eisen wanneer deze modellen ook voor systeemrisico’s kunnen zorgen. Voor de eisen aan hoog-risico AI-toepassingseisen gelden termijnen van 24 en 36 maanden. Het is belangrijk dat ontwikkelaars en gebruiksverantwoordelijken van deze AI-modellen en systemen voldoende tijd hebben om zich goed te kunnen voorbereiden op het van toepassing worden van de eisen.
Het kabinet neemt nu al stappen om risico’s van (generatieve) AI te adresseren. Daarom wordt in Nederland al hard gewerkt aan het versterken van het toezicht op AI, mede in voorbereiding op de AI-verordening. Zo is onder de Autoriteit Persoonsgegevens (AP) de Directie Coördinatie Algoritmes (DCA) opgericht om het toezicht op algoritmes en AI in Nederland te versterken. Dit doet zij door risico’s van algoritmes en AI te signaleren en analyseren, samenwerking tussen toezichthouders te versterken en guidance te bevorderen. Daarnaast hebben de Rijksinspectie Digitale Infrastructuur (RDI) en de DCA in 2024 samen 3,1 miljoen euro ontvangen van het Ministerie van Economische Zaken om Nederland te kunnen voorbereiden op het inrichten van toezicht op de AI-verordening. De RDI en DCA bieden in de loop van dit jaar een definitief advies aan over de inrichting van het toezicht op de AI-verordening aan de bewindspersonen van Economische Zaken, Binnenlandse Zaken en Koninkrijksrelaties en Justitie en Veiligheid. Daarna wordt de voorgenomen inrichting van het toezicht opgenomen in de uitvoeringswet die aan het parlement wordt voorgelegd via de gebruikelijke wegen.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 1 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stellen aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Het AI-bureau («AI Office») van de Europese Commissie is bevoegd om toezicht te houden op AI-modellen voor algemene doeleinden. De eisen voor deze modellen treden 1 augustus 2025 in werking, waarna het AI-bureau kan gaan controleren of deze worden nageleefd.
Er wordt niet gewacht tot de AI-verordening van toepassing is om veilige ontwikkeling en gebruik van AI te bevorderen. Zo heeft de Europese Commissie recent het «AI Pact» gelanceerd. Dit AI Pact heeft als doel om organisaties vroegtijdig aan de AI-verordening te laten voldoen. Aan de ene kant door informatie en best practices tussen organisaties uit te wisselen, en aan de andere kant door organisaties te motiveren om toe te zeggen dat ze vroegtijdig aan de eisen zullen voldoen. Daarnaast ontwikkelt het AI-bureau al verschillende instrumenten die bijdragen aan een effectieve uitvoering van de AI-verordening, zoals richtsnoeren en lagere wetgeving die de AI-verordening verder duidelijk maken, praktijkcodes, benchmarks en het ondersteunen en bundelen van kennis uit de verschillende adviesorganen. Daarbij draagt de Commissie namens de Europese lidstaten bij aan internationale gedragscodes voor geavanceerde AI-systemen, zoals de Hiroshima gedragscode van de G7.5 Nederland volgt deze ontwikkelingen nauw en werkt tijdens de implementatie van de AI-verordening via verschillende adviesorganen nauw samen met het Europese AI-bureau.
Daarnaast bestaan er al verschillende wetten die niet specifiek over AI gaan, maar die wel normen bevatten waarmee de inzet van AI wordt gereguleerd. De Algemene Verordening Persoonsgegevens (AVG) biedt bijvoorbeeld juridische kaders bij geautomatiseerde besluitvorming met behulp van AI en bij het verwerken van persoonsgegevens voor het trainen of gebruik van AI. Op grond van de AVG hebben EU privacy toezichthouders ervoor gezorgd dat ChatGPT extra privacy waarborgen biedt. De Algemene wet bestuursrecht (Awb) stelt normen aan de kwaliteit van overheidsbesluiten en de motivering daarvan, ook als daar AI voor wordt gebruikt. De Algemene wet gelijke behandeling (Awgb) beschermt tegen discriminatie als AI-systemen worden gebruikt bij het aanbieden van bijvoorbeeld werk, goederen en diensten.
Tenslotte zijn er de afgelopen jaren verschillende (niet-regulerende) beleidsacties op nationaal niveau opgezet die ook bijdragen aan een verantwoorde inzet van AI. Voorbeelden hiervan zijn het algoritmeregister voor AI dat wordt gebruikt door de overheid6, de ELSA-labs7, het investeringsprogramma AiNed, het ROBUST programma en het impact assessment mensenrechten algoritmes (IAMA).
Vraag 3

Welke mogelijkheden zijn er in afwachting van de volledige inwerkingtreding van de AI-Act om de negatieve risico’s van AI op de samenleving te mitigeren? Zijn er mogelijkheden om op te treden tegen activiteiten en handelingen die nu formeel nog niet als illegaal bestempeld zijn onder de AI-Act, maar dat wel gaan zijn zodra de volledige AI-Act in werking zal treden?

Het is pas mogelijk om juridisch op te treden tegen activiteiten en handelingen op het moment dat zij illegaal zijn. Alhoewel de AI-verordening nog niet (volledig) van toepassing is, kunnen bepaalde activiteiten en handelingen op dit moment al wel illegaal zijn op grond van bestaande juridische kaders, zoals non-discriminatiewetgeving. Bijvoorbeeld als deze activiteiten en handelingen onrechtmatig zijn.
Overigens is het denkbaar dat activiteiten en handelingen illegaal zijn, terwijl het toezicht daarop en de handhaving daarvan op dat moment nog niet zijn gerealiseerd. Zo zijn de verboden in de AI-verordening van toepassing met ingang van 1 februari 2025, terwijl het toezicht op en de handhaving van de verboden pas 6 maanden later geregeld hoeft te zijn.8 Voor het inzetten van toezichtsbevoegdheden of handhavend optreden is een grondslag in de nationale (formele) wet noodzakelijk.9 Tot die tijd is een overtreding van de verboden wel onrechtmatig en kan een procedure gestart worden bij de civiele rechter. Tevens kan een toezichthouder, na de aanwijzing bij of krachtens formele wet, zo nodig met terugwerkende kracht handhaven.
Vraag 4

Wat kan er nu al gedaan worden om te voorkomen dat (de toepassing van) generatieve en specifieke AI gevaarlijk wordt? Deelt de Minister de mening dat het belangrijk is om niet te wachten op de AI-Act en nu al stappen te ondernemen, gezien de snelle ontwikkelingen als het gaat om (de toepassing van) verschillende soorten AI? Welke maatregelen neemt de Minister hiervoor? Zo nee, waarom niet?

Zie antwoord vraag 2.
Vraag 5

Deelt u de mening dat de AI-adviesraad, zoals om gevraagd in de motie-Rajkowski (Kamerstuk 21501-33-1041), er zo snel mogelijk moet komen om na te kunnen denken over mogelijke acties als het gaat om (de toepassing van) AI op het gebied van veiligheid, weerbaarheid, wenselijkheid, innovatie en strategische autonomie? Op welke termijn kunnen we een dergelijke raad verwachten? Welke maatregelen of besluiten moeten er nog genomen worden?

Genoemde motie vraagt de regering om te onderzoeken of een Nederlands adviserend orgaan van toegevoegde waarde kan zijn om de overheid op korte termijn te adviseren bij ontwikkelingen rondom kunstmatige intelligentie. Door het vorige kabinet is gemeld dat er een verkenning wordt gedaan naar het inrichten van een AI-adviesraad en de laatste stand van zaken van vóór de zomer10. Die verkenning continueert het huidig kabinet. Aan de nadere vormgeving van de adviesraad, inbegrepen haar bevoegdheden, wordt nog gewerkt. Hierbij wordt er ook juridisch bekeken welke mogelijkheden de Kaderwet Adviescolleges hiertoe biedt. Ik verwacht dit najaar de uitkomsten van dit onderzoek met uw Kamer te kunnen delen.
Vraag 6

Deelt u de mening dat het wenselijk is om in te zetten op Nederlandse/Europese ontwikkeling van kunstmatige intelligentie met de focus op publieke waarden met positieve maatschappelijke en economische effecten en dat een AI-fabriek hier een interessant instrument voor kan zijn? Deelt u de mening dat het wenselijk kan zijn om een AI-fabriek, eventueel in Europese samenwerking, te plaatsen in Nederland en het daarmee een mooie aanvulling kan zijn op ons digitale knooppunt en het versterken van onze digitale economie van de toekomst? Zo ja, op welke manier gaat u zich hiervoor inzetten in Europa? Zo nee, waarom niet?

Het AI-beleid in Nederland heeft zich sinds 2019 gericht op het versterken van het waardengedreven AI-ecosysteem waar onze publieke belangen, zoals fundamentele rechten, zijn geborgd en we de maatschappelijke en economische kansen verzilveren. Dit gebeurt onder meer via de publiek-private Nederlandse AI Coalitie (NLAIC), het AiNed investeringsprogramma (Nationaal Groeifonds) en de inzet voor de AI-verordening. Om het Europese AI-ecosysteem verder te versterken, heeft de Europese Commissie in januari 2024 het AI-innovatiepakket gelanceerd. In de BNC-fiches hierover is positief gereageerd op het voorstel van de Commissie om AI-fabrieken te ontwikkelen.11 Het voorstel voor amendering van de verordening omtrent de voortzetting van de gemeenschappelijke onderneming voor High Performance Computing (HPC) is 23 mei jl. goedgekeurd door de Raad van Concurrentievermogen.
In de Kamerbrief «Verkenning mogelijkheden AI-faciliteit»12 van 4 juni jl. is uw Kamer onlangs geïnformeerd over drie scenario’s die de Ministeries van OCW, BZK en EZ momenteel aan het verkennen zijn, namelijk: 1) bestaande middelen gebruiken, 2) meer investeringen in Europese AI-faciliteiten binnen EuroHPC, en 3) AI-faciliteit in Nederland, waarbij deze faciliteit onderdeel uitmaakt van het bredere Europese supercomputerecosysteem (gemeenschappelijke onderneming EuroHPC). Per scenario brengen de betrokken ministeries momenteel de meerwaarde en haalbaarheid in kaart. Hierin is onder meer aandacht voor de impact op maatschappelijke en economische belangen.
De scenario-aanpak is bedoeld om een zorgvuldige afweging te kunnen maken door het kabinet, omdat er aanzienlijke investeringen mee gemoeid kunnen zijn.
Vraag 7

Bent u bereid om, eventueel met Europese collega’s in gesprek te gaan met de Europese Commissie over hoe er op korte termijn gezorgd kan worden dat OpenAI openheid geeft over een aantal zaken zodat we het tegengaan van misbruik van kunstmatige intelligentie en andere onwenselijke effecten kunnen mitigeren? Zo nee, waarom niet?

Zoals ook aangegeven in het antwoord op vraag 2 tot en met 4, zal het AI-bureau van de Europese Commissie toezicht gaan houden op AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI ook onder vallen). Om ervoor te zorgen dat de aanbieders van deze modellen weten hoe ze aan de gestelde eisen moeten voldoen, worden er codes of practice opgesteld. Dit zijn praktische richtsnoeren die in samenwerking met de lidstaten en andere belanghebbenden worden opgesteld.
Hoewel de Commissie na een jaar bevoegdheden heeft om naleving van de regels te eisen, treedt zij in het kader van het opstellen van de codes of practice daarvoor al wel in dialoog met onder andere aanbieders en gebruikers van AI-modellen voor algemene doeleinden. Indien de Commissie signalen krijgt over de negatieve gevolgen van deze AI-modellen, kan hierover ook de dialoog aangegaan worden met de ontwikkelaars.
Via de recent opgerichte AI-Board is Nederland actief betrokken bij deze ontwikkelingen en staan we in nauw contact met de Europese Commissie over de bredere uitwerking van de AI-verordening.

23 mei 2024 - 20 juni 2024

28 dagen

Fiches over digitalisering in de door de informateurs aangeboden formatiestukken
	Barbara Kathmann (PvdA)
	Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. Kabinetsformatie 2023 | Tweede Kamer der Staten-Generaal (Onderliggende stukken 4 van de 5)

Vraag 1

Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?

Ja, dat klopt.
Vraag 2

Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?

Het hoofdfiche digitalisering is ten behoeve van de formatietafel opgesteld onder auspiciën van de Ambtelijke Commissie Digitalisering (ACD). Alle departementen zijn op hoog-ambtelijk niveau in deze commissie vertegenwoordigd.
De onderliggende fiches zijn gemaakt door verschillende departementen. Om een integraal beeld te bieden, hebben departementen aangegeven welke fiches zij hebben opgesteld die kunnen worden verbonden aan de opgaven op het gebied van digitalisering die in het hoofdfiche digitalisering worden genoemd. Deze onderliggende fiches zijn niet vastgesteld in de ACD. De verschillende departementen zijn zelf verantwoordelijk voor deze fiches en hebben dan ook zelf een afweging gemaakt om een bepaald fiche te verbinden aan het hoofdfiche digitalisering.
Ik ben niet bekend met eventuele andere fiches die raken aan digitale zaken dan de zeventwintig fiches die in het hoofdfiche zijn opgenomen.
Vraag 3

Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?

Uit artikel 5.4 van de Wet open overheid (Woo) volgt dat in beginsel geldt dat documenten die ten behoeve van de formatie zijn opgesteld – zoals de onderhavige fiches – uitgezonderd zijn van openbaarheid totdat de formatie is afgerond. Deze bepaling werkt ook door in de wijze waarop ik met het verzoek vanuit uw Kamer dien om te gaan.
Dit betekent dat alle fiches eventueel pas openbaar gemaakt kunnen worden als de formatie is afgerond. Hierbij geldt, als in antwoord op vraag 2 genoemd, dat het hier gaat om fiches van verschillende departementen. De afweging om de fiches nadien openbaar te maken is aan de dan verantwoordelijke bewindspersonen. Hierbij geldt als gedeeld uitgangspunt dat dergelijke stukken in beginsel openbaar kunnen worden gemaakt, met dien verstande dat er ook redenen kunnen zijn om dat niet te doen, dan wel om gedeeltelijk te verstrekken.

12 april 2024 - 21 juni 2024

70 dagen

Het Convenant Rijk en regio investeringen in ondernemingsklimaat microchipsector
	Femke Zeedijk-Raeven (D66)
	Micky Adriaansens (minister economische zaken) (VVD)

Vraag 1

Wat is de status van dit document? Is het daadwerkelijk ondertekend op 28 maart 2024 door de partijen? Wat zal er ter besluitvorming aan de kamer worden voorgelegd?

Het convenant maakt deel uit van een pakket aan afspraken. Rijk, regio en bedrijfsleven trekken tot en met 2030 in totaal 2,51 miljard euro uit voor dit pakket. Daarvan wordt 1,73 miljard euro bijgedragen door het Rijk en 778 miljoen euro door de regio en het bedrijfsleven. De afspraken in het convenant zijn voor het Rijk onder voorbehoud van instemming door de Staten-Generaal en voor de regio onder voorbehoud van instemming door provinciale staten van Noord-Brabant, goedkeuring door de 21 gemeenten in de Brainportregio (regio Zuidoost-Brabant) en de bijdrage door private partijen. De voorzitter van de Stichting Brainport handelt hierbij namens de samenwerkende overheden, kennisinstellingen en bedrijven in de Brainportregio. De rol van de voorzitter van de Stichting Brainport is om die instemming voorafgaand aan de ondertekening van het convenant te verkrijgen. Het proces voor deze instemming loopt. Hierbij worden geen bottlenecks verwacht. Naar verwachting kan het convenant binnen afzienbare tijd worden ondertekend.
Vraag 2

Kunt u toelichten wat de rol is van Stichting Brainport als vertegenwoordiger van de samenwerkende partijen? In hoeverre heeft Stichting Brainport de mogelijkheid om partijen in de regio te houden aan de afspraken?

Zie antwoord vraag 1.
Vraag 3

Waarom is ervoor gekozen om een vertegenwoordiging van het bedrijfsleven of grote bedrijven als ASML, NXP en Philips niet afzonderlijk te laten mee tekenen?

Het convenant beschrijft hoe het Rijk en de decentrale overheden zich verhouden tot de gemaakte afspraken om de groei van ASML en de hightech maakindustrie te kunnen accommoderen en wie daarbij welke financiële verplichtingen heeft. Het gaat hierbij om een intensivering op het oorspronkelijke pakket van 1,6 miljard euro uit 2022. Dit behoeft geen mede ondertekening door het bedrijfsleven. De Stichting Brainport vertegenwoordigt de samenwerkende overheden, kennisinstellingen en bedrijven in de Brainportregio.
Vraag 4

Waar bestond het oorspronkelijke pakket van 1,7 miljard euro uit? Kunt u de bedragen onderverdelen in talentontwikkeling, woningen en mobiliteit?

Uit de vraagstelling leiden we af dat u hiermee doelt op het oorspronkelijke pakket van 1,6 miljard euro uit 2022. Tijdens het BO-MIRT (Meerjarenprogramma Infrastructuur, Ruimte en Transport) van 9 november 2022 hebben Rijk en regio samen bekend gemaakt 1,6 miljard euro te investeren om de sterke groei van economische activiteiten in de Brainportregio te kunnen accommoderen. De financiering van dit pakket is gericht op bereikbaarheid van wonen en werken. Daarvoor zijn verschillende financieringsbronnen aan Rijks- en regiozijde ingezet. De grootste rijksbijdrage kwam uit de middelen voor Woningbouw en Mobiliteit voor de ontsluiting van de grootschalige woningbouwlocaties. Deze investeringen dragen bij aan de opgave van de realisatie van 50.000 nieuwe woningen tot en met 2030 (opgave 2022). Het maakt de verwachte reizigersgroei in het openbare vervoer mogelijk, aanpassingen van de weginfrastructuur onder meer voor de ontsluiting van de economische toplocaties en het verbeteren van bestaande spoorlijnen. Naast de middelen voor infrastructuur is een deel van de Rijksmiddelen (ad 23 miljoen euro) direct toe te wijzen aan de woningbouwimpuls. In het oorspronkelijke pakket zitten geen middelen voor talentontwikkeling.
Vraag 5

Hoe zal de structurele bijdrage van 80,5 miljoen euro aan talentontwikkeling worden gedekt?

De structurele kosten vanaf 2031 van het Nationaal versterkingsplan van microchip-talent worden voor de helft gedekt door het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) en voor de andere helft door het Ministerie van Economische Zaken en Klimaat (EZK). Het OCW-gedeelte wordt gedekt op de OCW-begroting. Hiervoor worden vanaf 2028 de resterende middelen van de maatregel afschaffing halvering van collegegeld ingezet (deze maatregel is stopgezet vanaf collegejaar 2024/2025). Ook worden van de Aanvullende Post de resterende middelen voor het fonds Onderzoek & Wetenschap in 2030 en 2031 hiervoor ingezet. Voor de resterende dekking wordt vanaf 2031 structureel omgebogen op de bekostiging van het mbo, hbo, wo en de onderzoeksbekostiging bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Het EZK-gedeelte hiervan wordt gedekt op de EZK-begroting. De dekking vindt vanaf 2031 plaats en wordt vooralsnog bekostigd uit de post PPS-Innovatiemodule. De PPS-Innovatiemodule draagt bij aan publiek-private samenwerkingsprogramma’s onder meer voor de hightech systemen- en materialensector.
Vraag 6

Is al bekend wat de bijdrage zal zijn van private partijen in de genoemde bedragen? Kunt u deze bijdrage uitsplitsen naar talentontwikkeling, woningbouw, mobiliteit en netcongestie?

De private bijdrage is onderdeel van de regionale cofinanciering. In het convenant zijn geen afspraken gemaakt over de hoogte van de private bijdrage als onderdeel van de regionale cofinanciering. Voor wat betreft de opgave voor talentontwikkeling moet de bijdrage door private partijen volgen uit de dialoog die met partijen gevoerd zal worden voor het kunnen opstellen van het Nationaal versterkingsplan van microchip-talent. Zie hiervoor tevens het antwoord bij vraag 9. Voor wat betreft de ruimtelijke schaalsprong (mobiliteit en woningbouw) betrof de private bijdrage tijdens het oorspronkelijke pakket (2022) 1/3 deel van de regionale bijdrage. Het is aan de regio zelf om ook voor het nieuwe pakket hier samen met de private partijen tot overeenstemming te komen. Het convenant regelt geen afspraken over de private bijdrage voor netcongestie.
Vraag 7

Is hierbij uitgegaan van de verdeling van 1/3 van 1/3, zoals dat bij het voorgaande pakket de afspraak was? Waarom wel, of waarom niet?

Zie antwoord vraag 6.
Vraag 8

Deelt de u de mening dat, gezien de winstgevendheid van de chipsector en gezien precedentwerking voor eventueel toekomstige overeenkomsten, een significante bijdrage van de sector zelf een vereiste is?

Ja, het belang voor de chipsector zelf is evident. En dit belang zal ook terugkomen in de afspraken van de nadere uitwerking van het convenant.
Vraag 9

Kunt u de tekst «het zwaartepunt ligt in de regio» met betrekking tot talentontwikkeling nader toelichten? Wat zou de juiste verdeling zijn tussen de Brainport regio en andere regio’s (Twente, Delft, Groningen)?

Het doel van deze investeringen is meer talent voor de halfgeleiderindustrie. In de Brainportregio ligt het zwaartepunt van de halfgeleiderindustrie. Hieruit volgt dat er relatief meer investeringen en activiteiten in de Brainportregio neerslaan en daarom komt het zwaartepunt van de investeringen in de Brainportregio te liggen.
De precieze verdeling van de middelen moet nog worden bepaald en ook hoe dat in de andere regio’s kan neerslaan. Daarvoor geldt dat we zullen kijken naar waar de middelen de meeste impact hebben op de talentvraag van de halfgeleiderindustrie. Ik verwacht uw Kamer in het najaar te informeren over de verdeling van de middelen.
Vraag 10

Overwegende dat reistijden binnen Nederland relatief klein zijn en talent zich makkelijk verspreid over Nederland, deelt u de mening dat wat betreft talentontwikkeling het zwaartepunt niet noodzakelijkerwijs op de Brainport regio zou hoeven te liggen? Wat is de reden om dit wel te doen?

Onderdeel van het maatregelenpakket rond talentontwikkeling is een Nationaal versterkingsplan van microchip-talent gericht op het landelijk versterken van de gehele waaier, van om- en bijscholen en het opleiden van mbo, hbo en wo studenten. De bereidheid om te reizen en de bereidheid om te verhuizen varieert per opleidingsniveau. Praktisch opgeleiden hebben gemiddeld genomen een kleinere actieradius van en naar werk en zijn minder vaak bereid om te verhuizen voor werk en studie dan theoretisch opgeleiden. Voor theoretisch opgeleiden is de bereidheid tot reizen en te verhuizen voor werk en studie hoger.
Hans de Jong, speciaal gezant namens het kabinet, heeft de regio’s Brainport, Twente, Groningen en Delft gevraagd om hiertoe met onderbouwde plannen te komen. Ook is het mogelijk andere regio’s, buiten de genoemde regio’s, die een substantiële bijdrage kunnen leveren aan de opgave te betrekken. Deze partijen dienen zich dan aan te sluiten bij de plannen van één van deze vier genoemde regio’s. De deadline voor indiening is 1 juli 2024, waarna deze nog verwerkt en beoordeeld worden. Vanwege de kabinetswissel op 2 juli 2024 zal dit plaatsvinden na de beëdiging van de nieuwe bewindspersonen.
Vraag 11

Is het mogelijk om concrete en bindende afspraken te maken over de stay-rate van buitenlandse studenten? En indien ja, hoe kan dat het beste?

Buitenlandse studenten kunnen een belangrijke bijdrage leveren aan het helpen oplossen van het tekort aan talent. We kunnen buitenlandse studenten die in Nederland afstuderen niet verplichten om na hun studie in Nederland te gaan werken, maar we kunnen wel afspraken maken met instellingen en bedrijven om de kans dat zij blijven te vergroten. Om internationale studenten na hun studie succesvol te koppelen aan Nederlandse bedrijven is een integrale aanpak nodig van werving, matching, opleiding en begeleiding. Recent Nuffic onderzoek laat zien dat het hierbij ook gaat om het spreken van de taal en een thuis- of welkomstgevoel. Binnen de Wet internationalisering in balans, die op 13 mei jl. aan uw Kamer is aangeboden, wordt de zorgplicht van instellingen om de uitdrukkingsvaardigheid in het Nederlands te bevorderen verruimd zodat deze van toepassing wordt op internationale studenten. Daarbij wil de Minister van OCW samen met de instellingen bestuurlijke afspraken vastleggen hoe zij invulling geven aan deze zorgplicht. Door internationale studenten tijdens de studie de mogelijkheid te bieden te werken aan de taalvaardigheid in het Nederlands, zal het niet spreken van de taal in mindere mate een belemmering vormen om na de studie in Nederland te blijven. In de zelfregieplannen die hogescholen en universiteiten hebben opgesteld ten aanzien van de instroom van internationale studenten, wordt op verzoek van de Minister van OCW ook aandacht besteed aan de taalvaardigheid en aan binding van internationale studenten aan de Nederlandse samenleving en arbeidsmarkt. Zowel hogescholen als universiteiten gaan aan de slag met (regionale) werkgevers om studenten te begeleiden naar banen in Nederland; ze hebben landelijke werkgroepen ingesteld om succesvolle voorbeelden daarvan uit te wisselen.1 Nadere routes naast de Wet internationalisering in balans en mogelijkheden voor de samenwerking tussen de technische onderwijsinstellingen en de bedrijven zal ik uitwerken in het Nationaal versterkingsplan van microchip-talent.
Vraag 12

In de media is verschillende keren een inschatting gemaakt van de extra basis- en middelbare scholen die nodig zijn in de regio. Is daar ook extra investeringsgeld voor opgenomen in deze afspraken?

Als onderdeel van het convenant spreken Rijk en Regio af een verkenning te starten naar de sociaal-maatschappelijke opgaven in de gebiedsontwikkeling waaronder sociale cohesie, faciliteiten als onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. De regio verwacht bijvoorbeeld voor onderwijshuisvesting een aanvullende investering te moeten doen van circa 150 miljoen euro. Deze verkenning heeft tot doel om in beeld te krijgen wat deze opgaven zowel fysiek als financieel betekenen en welke fasering mogelijk is. Het streven is om deze verkenning voor het einde van dit jaar (2024) af te ronden.
Bovendien wordt in de Regio Deal «Thuis in Brainport» ingezet op sociaal-maatschappelijke opgaven in de regio. In de aanvraag is te lezen dat uit de praktijk blijkt dat er knelpunten zijn op sociale samenhang, de ontwikkeling van competenties & basisvaardigheden, en leefbaarheid. Voor de Regio Deal «Thuis in Brainport» is vanuit het Rijk een bedrag van 20 miljoen euro gereserveerd. De regio investeert eenzelfde bedrag als cofinanciering. De aanvraag wordt de komende periode verder uitgewerkt door de regio. De regiodeal is geen onderdeel van het convenant.
Vraag 13

Is er tijdens de gesprekken ook gesproken over zorg en culturele voorzieningen? Hoe wordt voorzien in de benodigde groei op deze punten?

Zie antwoord vraag 12.
Vraag 14

Wat wordt onder mobiliteit bedoeld met «afspraken maken over risicoverdeling en omgang met risico’s»? Tussen welke partijen wordt er risico verdeeld en om welke risico gaat het?

Risico’s zijn inherent aan bouwprojecten. Vertrekpunt voor de gemaakte afspraken is dat de bijdragen taakstellend zijn en dat risico’s voor nationale projecten belegd worden bij het Rijk. De risico’s van regionale projecten worden belegd bij de regio. Echter, enkele infrastructuurprojecten hebben betrekking op zowel regionale als nationale netwerken. Voor deze projecten is maatwerk noodzakelijk. Het is in alle gevallen een gezamenlijk belang van Rijk en regio om de scope en taakstellend budget in evenwicht te houden. Daarvoor zullen de risico’s actief gemanaged moeten worden. Over de omgang met risico’s op deze projecten moeten Rijk en Regio nog afspraken maken. De afspraken uit het gezamenlijk ontwikkelde afsprakenkader van de Brainportdeal in 2022 zijn hierin vertrekpunt. De Kamer is hierover geïnformeerd via de MIRT brief van 2022 (Kamerstuk 36 200 A, nr. 9) en de brief over de Bestuurlijke Overleggen Leefomgeving van 2023 (Kamerstuk 34 682, nr. 173).
Vraag 15

Heeft u een beeld hoe de benodigde stikstofdeskundigheid die nodig is voor de infrastructuurprojecten kan worden vrijgemaakt?

Rijkswaterstaat (RWS) onderzoekt hoeveel capaciteit er nodig is voor de Rijksinfrastructuurprojecten uit het convenant, inclusief stikstofdeskundigheid. Voor de regionale projecten uit het convenant doorloopt de regio vergelijkbare stappen. Vervolgens worden afspraken gemaakt over wie deze stikstofdeskundigheid kan leveren (RWS, de regio of een marktpartij). Met die stikstofdeskundigheid kan de stikstofopgave in beeld worden gebracht. Vervolgens moeten maatregelen genomen worden en moeten vergunningen worden verleend. Per stap zal worden gekeken wat mogelijk is en wat dit betekent voor de prioritering van projecten.
Vraag 16

Kunt u meer inzicht geven in de bestemming van de 425 miljoen euro voor woningbouw? Gaat het hier over garanties, financieringen van onrendabele top of bouwdepots zelf? Hoeveel van deze investering verwachten we terug bij verkoop van de woningen?

Van de beschikbare 425 miljoen euro is 180 miljoen euro bestemd voor het treffen van gebiedsmaatregelen in de 2 grootschalige NOVEX-woningbouwlocaties (Knoop XL en HOV-4). Deze gebiedsmaatregelen leveren een bijdrage aan de leefbaarheid van de woningbouwlocaties o.a. door groen- en watermaatregelen. Rijk en regio maken afspraken over de nadere invulling van de gebiedsmaatregelen bij het BO Leefomgeving 2025. Het gaat hierbij om het afdekken van de onrendabele top van publieke maatregelen.
Voor het versnellen van de realisatie van 17.000 (extra) woningen en 2.280 aanvullende studenteneenheden tot en met 2030 is in totaal 245 miljoen euro beschikbaar. Beide partijen werken gezamenlijk uit hoe de beschikbare middelen optimaal kunnen worden ingezet teneinde deze opgave te realiseren. Er is geen sprake van een verplichte «return on investment» bij de verkoop van woningen. Het doel is om te komen tot versnelde realisatie van voldoende betaalbare woningen in de Brainport regio. Hierbij willen we een maximaal doelbereik realiseren met de beschikbare middelen en de publieke en private middelen doelmatig en doeltreffend inzetten voor de woningbouwopgave.
Vraag 17

Welk deel van de grond voor deze woning is in eigendom van de gemeente? Welk deel is daarnaast al beschikbaar en bestemd en welk deel moet nog worden gevonden?

De gronden waar de woningen op gebouwd worden zijn deels in publieke handen (gemeente, corporaties) en deels in private handen. Het is niet mogelijk om specifiek aan te geven welk deel van de grond voor de te bouwen woningen in eigendom is van de gemeente. Door Wet voorkeursrecht Gemeenten (WvG) te vestigen probeert de gemeente de gronden in eigen bezit uit te breiden. Een goed voorbeeld hiervoor is de gebiedsontwikkeling Fellenoord waar sprake is van voornamelijk privaat bezit maar de gemeente met actief grondbeleid haar bezit probeert te vergroten. De gemeente stuurt actief op het realiseren van woningbouw met zowel private als publieke partijen.
Vraag 18

Welk deel van de woningen zullen sociale huur zijn? Welk deel betaalbare huur?

Er zijn geen specifieke afspraken gemaakt in het convenant over het aandeel sociale huur of betaalbare huur van de woningen. Alle woningen worden echter onderdeel van de gemaakte afspraken in de woondeal. Doel van de Woondeal is om toe te werken naar meer balans in de woningvoorraad, met een streven naar 30% sociale huurwoningen in de bestaande voorraad op provinciaal niveau, regionaal niveau en lokaal niveau. Daarbij kunnen provincies rekening houden met specifieke situaties in regio’s waarbij het toegroeien naar 30% evident niet logisch of haalbaar is.
Vraag 19

Hoe verhoudt het woonfonds van private partijen in de regio waaronder ASML zich tot de investering?

Zoals aangegeven werken rijk en regio, waaronder publieke en private partijen, gezamenlijk uit hoe de beschikbare middelen optimaal kunnen worden ingezet teneinde deze opgave te realiseren. Het beoogde woonfonds van private partijen in de regio waaronder ASML is een voorbeeld welke meegenomen wordt in de nadere uitwerking. Het doel van de nadere uitwerking is om de beschikbare middelen zo optimaal mogelijk in te zetten om een maximaal resultaat te realiseren.
Vraag 20

Wat zal het effect zijn van de groei van het eco-systeem op de woningtekorten in andere regio’s, zoals Twente, waar veel toeleveranciers gevestigd zijn die mee moeten groeien?

De verwachting is dat een gebied zoals Twente door deze investeringen ook een economische impuls krijgt, omdat dit naar verwachting ook een effect heeft op de toeleverende keten. Het is echter lastig dit concreet en kwantitatief te maken, omdat de vraag naar woningen uit veel meer factoren bestaat dan enkel economische groei (denk aan leefbaarheid en culturele en/of familiare banden in de regio). Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties worden op dit moment gesprekken gevoerd met de regio Twente om samen te gaan werken aan een verstedelijkingsstrategie. Daarin wordt ook het effect van de (groeiende) economie meegenomen om de verstedelijkingsbehoefte te bepalen. Op het BO Leefomgeving wordt naar verwachting een afspraak gemaakt om een gezamenlijke verstedelijkingsstrategie te maken.
Vraag 21

Zijn er afspraken gemaakt over een energie hub op het terrein van ASML? Is de Minister het Minister het met NSC eens dat dit een goede investering zou zijn die ASML zelf kan bijdragen?

In mijn brief van 21 november 20232 heb ik u er over geïnformeerd dat Brainport Development als gebiedsregisseur optreedt, om vanuit een multistakeholder-aanpak te kunnen samenwerken aan concrete casussen van bedrijven in de Brainportregio. Hierin worden netbeheerders, gemeenten en provincie maximaal gevraagd mee te denken in mogelijkheden, op het gebied van bijvoorbeeld contracten en vergunningen. Onderdeel van deze aanpak is ook de verbinding met het Nationaal Stimuleringsprogramma Energiehubs. Ik zie energiehubs als een schakel in een sterker energiesysteem. Hierdoor kunnen bedrijven lokaal samenwerken aan de gezamenlijke energiebehoefte, het verbruik onderling verdelen, opslaan of convergeren. ASML kan ook gebruik maken van deze aanpak.
Vraag 22

Deelt u de mening dat elektriciteitsaansluitingen van (nieuw te bouwen) huizen en publieke voorzieningen in de regio niet in gevaar moeten komen door prioriteitstelling via de MIEK? kunt u garanderen dat in dergelijke afspraken deze doelen voorrang hebben boven groei van het bedrijfsleven?

Het Meerjarenprogramma Infrastructuur Energie & Klimaat (MIEK) is gericht op tijdige realisatie van energie-infrastructuurprojecten die van groot maatschappelijk belang zijn voor de gebouwde omgeving, mobiliteit, landbouw en industrie én voor de opwek van duurzame energie. MIEK-projecten zijn hiermee gericht op brede ontwikkelingen in een bepaald gebied (waaronder mogelijk woningbouw) en zijn niet gericht op specifieke klantaansluitingen. MIEK-projecten kunnen het hiermee juist ook mogelijk maken dat huizen en publieke voorzieningen tijdig kunnen worden aangesloten, voor zover deze ontwikkelingen zijn opgenomen in een MIEK-project.
Naast bovenstaande prioritering van de uitbreidingsinvesteringen is er ook het prioriteringskader voor individuele aansluitingen. Dit kader is opgesteld door de toezichthouder Autoriteit Consument en Markt (ACM) en is op 18 april jl. gepubliceerd. Het is de exclusieve bevoegdheid van de toezichthouder om regels op te stellen voor het aansluiten van individuele partijen. Het kader van de ACM heeft als doel voorrang te geven aan individuele aansluitingen van hoog maatschappelijk belang. Het kader geeft voorrang aan congestieverzachters en aan veiligheidsfuncties en basisbehoeften zoals politie, ziekenhuizen en scholen. Het bedrijfsleven is geen specifieke categorie. Door voorrang te krijgen in de wachtrij kunnen deze partijen als eerste worden aangesloten zodra er ruimte op het net vrij komt door congestiemanagement of uitbreiding van het net. Hiermee wordt een uitzondering mogelijk gemaakt op het principe van «wie-het-eerst-komt-wie-het-eerst-maalt».
Vraag 23

Kunt u meer kwantitatieve duidelijkheid geven over de afspraken die zijn gemaakt over de middelen uit het klimaatfonds?

Op 16 april jl. is de Voorjaarsnota 2024 aan de Kamer aangeboden, waarin ook de Klimaatbesluitvorming voor 2025 en verder zijn beslag heeft gekregen.3 Voor maatregelen ter verbetering van de benutting van elektriciteitsnetten, waaronder de financiering van de opstartfase van energyhubs, is tijdens de Voorjaarsbesluitvorming Klimaat 2023 binnen het perceel Energie-infrastructuur 166 miljoen euro vrijgemaakt voor de periode 2024–2030.4 Over de implementatie van de maatregel en de beschikbaarstelling van de middelen aan partijen worden momenteel nog afspraken gemaakt.
Vraag 24

Kunt u deze vragen beantwoorden minimaal een week voor het door lid Sneller aangevraagde plenaire debat over het vestigingsklimaat van Nederland?

Er is nog geen datum bekend voor het aangevraagde plenaire debat over het vestigingsklimaat van Nederland.

29 maart 2024 - 18 april 2024

20 dagen

Het bericht 'IT-bedrijf Atos dieper in schulden, overheidsklanten nemen maatregelen'
	Gijs Tuinman (BBB)
	Christophe van der Maat (staatssecretaris defensie) (VVD)

Bronnen

1. NOS, 26 maart 2024, IT-bedrijf Atos dieper in schulden, overheidsklan…

Vraag 1

Bent u ervan op de hoogte dat Atos al jarenlang financiële problemen ervaart? Heeft u deze berichten meegenomen in de risicoanalyses in de derde voortgangsrapportage Grensverleggende IT (GrIT)?1

Defensie monitort de ontwikkelingen bij Atos nauwlettend, dit gebeurt onder de coördinatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Samen met de hoofdaannemer van het consortium Athena, Kyndryl, worden maatregelen voorbereid voor het geval Atos wegvalt. In de derde voortgangsrapportage bent u aan de hand van de op dat moment actuele informatie geïnformeerd over de situatie rondom Atos. In de vertrouwelijke bijlage van de vierde voortgangsrapportage (Kamerstuk 35 728, nr. 14) heb ik u op basis van de op dat moment beschikbare informatie geïnformeerd over de situatie rondom Atos.
Vraag 2

De, nu openbaar bekende, grote financiële problemen (waar ook naar is gevraagd tijdens de technische briefing GrIT op 7 maart jl.) betekent voor Atos dat ze moeten overleggen met banken over hoe om te gaan met een miljardenschuld; kunt u aangeven in hoeverre dit invloed heeft op het project GrIT?

Atos is een onderaannemer van het consortium. Kyndryl is de hoofdaannemer en daarmee verantwoordelijk voor de continuïteit van de dienstverlening van het consortium. Defensie bereidt samen met Kyndryl maatregelen voor om adequaat te kunnen reageren op de ontwikkelingen bij Atos. Deze voorbereidingen zijn in een vergevorderd stadium. Doordat deze voorbereidingen tijdig worden getroffen is het op dit moment niet nodig om de doelen van het programma GrIT te wijzigen.
Vanwege de commerciële vertrouwelijkheid kan ik op dit moment niet verder ingaan op de situatie rondom Atos of de maatregelen die worden voorbereid.
Vraag 3

Kunt u de mogelijke risico's meenemen in de vierde voortgangsrapportage GrIT?

De situatie rondom Atos en de risico’s voor het programma zijn behandeld in de vierde voortgangsrapportage dan wel de vertrouwelijke bijlage. De situatie rondom Atos wordt nauwgezet gevolgd door Defensie zodat er tijdig kan worden ingespeeld op relevante ontwikkelingen. In de komende voortgangsrapportages zal aandacht blijven voor de samenwerking met het consortium in het algemeen en de situatie rondom Atos in het bijzonder.
Vraag 4

In hoeverre beïnvloeden de financiële problemen bij Atos de kerndoelen van het GrIT-project en zijn er risico's groter geworden waardoor doelverschuiving noodzakelijk is?

Zie antwoord vraag 2.
Vraag 5

Wat zijn de mogelijke richtingen waarin het project GrIT zou moeten gaan om in deze gewijzigde situatie succesvol afgerond te kunnen worden?

Met de herijking van het programma worden maatregelen genomen zodat er snel resultaten behaald kunnen worden (Kamerstuk 35 728, nr. 13). Daarnaast bereidt Defensie, samen met de hoofdaannemer Kyndryl, maatregelen voor om adequaat te reageren op de situatie rondom Atos.
Vraag 6

Kunt u de vragen beantwoorden voorafgaand aan het publiceren van de vierde voortgangsrapportage GrIT?

In het kader van de zorgvuldige beantwoording van de gestelde vragen heb ik deze niet beantwoord voor het publiceren van de vierde voortgangsrapportage GrIT op 2 april.

28 maart 2024 - 26 april 2024

29 dagen

De Chinese cyberaanvallen op Nederlandse Kamerleden
	Joost Sneller (D66), Femke Zeedijk-Raeven (D66)
	Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. US Department of Justice – Office of Public Affairs, 25 maart 2024, «Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians» (Office of Public Affairs | Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians | United States Department of Justice)
2. Reuters, 26 maart 2024, «New Zealand accuses China of hacking parliament, condemns activity» (New Zealand accuses China of hacking parliament, condemns activity | Reuters)

Vraag 1

Bent u bekend met het bericht «Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians»?1

Ja.
Vraag 2

Wat is uw reactie op de aantijgingen van de Verenigde Staten (VS) en het Verenigd Koninkrijk (VK) tegen deze zeven hackers, die volgens hen in opdracht van de Chinese Staat cyberaanvallen uitvoerden tegen journalisten, politici, activisten en bedrijven?

De verklaringen van de VS en het VK passen in het algemene beeld van de cyberdreiging die uitgaat van China, dat al langer wordt geschetst door de AIVD, de MIVD en de NCTV.2 Na publicatie van de Britse verklaring op 28 februari jl. heeft Nederland, zowel nationaal als via de Europese Unie (EU), solidariteit uitgesproken met het VK. De verklaringen van de VS en het VK onderstrepen de noodzaak om de groeiende cyberdreiging, samen met de EU, VS, VK en andere partners, strategischer en proactiever tegen te gaan, zoals ook beschreven in de Internationale Cyberstrategie 2023–2028.3
Vraag 3

Deelt u de grote zorgen over de gevolgen van mogelijke Chinese cyberaanvallen?

Wij delen de zorgen over de gevolgen van Chinese cyberaanvallen. Die zorgen zijn overgebracht door de Minister-President en de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking aan de Chinese autoriteiten tijdens hun gezamenlijke bezoek aan Beijing op 26 en 27 maart jl. Daarbij is specifiek verwezen naar de recente attributie door het kabinet van een Chinese cyberaanval op het Ministerie van Defensie.
Vraag 4

Is de hackgroep Advanced Persistent Threat Group 31 (APT31) bekend bij de Nederlandse inlichtingen-en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de dreiging daarvan voor Nederland?

Er wordt in het openbaar niet ingegaan op de werkwijze en het kennisniveau van de inlichtingen- en veiligheidsdiensten.
Zoals vermeld in het Cyber Security Beeld Nederland 2022, heeft de Chinese digitale spionage actor APT31 op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor.4 De interesse vanuit statelijke actoren in deze doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectiemogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek te verrichten.
Vraag 5

Kunt u bevestigen dat deze groep wordt aangestuurd door het Chinese Ministerie van Staatsveiligheid?

Zie antwoord vraag 4.
Vraag 6

Kunt u bevestigen dat deze groep gerichte aanvallen uitvoert op journalisten, politici (o.a. van de Inter-Parliamentary Alliance on China), activisten en bedrijven? Zo ja, hoe lang gebeurt dat al?

Zie antwoord vraag 4.
Vraag 7

Klopt het voor zover bij u bekend dat APT31 zich ook richtte op Nederlandse Kamerleden? Zo ja, sinds wanneer en welke zijn dit?

Zie antwoord vraag 4.
Vraag 8

In hoeverre kan er via deze hackaanvallen staatsgeheime informatie zijn verkregen? Kunt u daarbij specifiek ingaan op informatie die eventueel van/via Nederlandse politici is verkregen?

Zie antwoord vraag 4.
Vraag 9

Bent u tevens bekend met het bericht «New Zealand accuses China of hacking parliament, condemns activity»?2

Ja.
Vraag 10

Is de hackgroep ATP40 bekend bij de Nederlandse inlichtingen- en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de gevolgen daarvan?

Zie beantwoording vraag 4 t/m 8.

19 februari 2024 - 14 maart 2024

24 dagen

Het niet op tijd invoeren van de Uitvoeringswet digitaledienstenverordening (DSA)
	Marieke Koekkoek (D66), Barbara Kathmann (PvdA)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Micky Adriaansens (minister economische zaken) (VVD)

Bronnen

1. Overheid.nl, 8 februari 2024, «Uitvoeringswet digitaledienstenverordening» (wetgevingskalender.overheid.nl/regeling/WGK015094/documenten/Raad%20van%20State/Advies%20Raad%20van%20State%20uitgebracht/1)
2. Autoriteit Consument en Markt, 18 januari 2024, «ACM consulteert leid…

Vraag 1

Vindt u het acceptabel dat Nederland achterloopt met het implementeren van de Uitvoeringswet digitaledienstenverordening, gezien de noodzaak voor het reguleren van verslavende en polariserende online diensten?

Uiteraard is het spijtig dat het wetsvoorstel voor de Uitvoeringswet digitaledienstenverordening op 17 februari jl. nog niet tot wet verheven en in werking getreden was. Er wordt al sinds de totstandkoming van de digitaledienstenverordening (in het Engels: de Digital Services Act, hierna «DSA») aan het ontwerpwetsvoorstel voor de uitvoeringswet gewerkt. De DSA heeft een complex karakter en een breed toepassingsbereik en heeft gevolgen voor bestaande wetgeving, onder meer het Burgerlijk Wetboek, het Wetboek van Strafvordering en de Algemene wet bestuursrecht. Het zorgvuldig opstellen van het wetsvoorstel en bijbehorende memorie van toelichting in afstemming met alle betrokken partijen en het doorlopen van alle stappen van het wetgevingsproces, waaronder verplichte raadplegingen en toetsen1, hebben ervoor gezorgd dat het niet mogelijk was om de uitvoeringswetgeving binnen de termijn die de DSA voorschrijft (15 maanden) tot stand te doen komen.
In dit verband zij opgemerkt dat een uitvoeringstermijn van 15 maanden erg kort is als de uitvoering op het niveau van een formele wet dient plaats te vinden, zoals bij de DSA het geval is. Niet voor niets heeft de Nederlandse regering tijdens de onderhandelingen gepleit voor een langere uitvoeringstermijn van ten minste 18, maar liever 24 maanden. Ook in 10 andere lidstaten is tijdige uitvoering niet gelukt (zie verder antwoord op vraag 12).
Dat neemt niet weg dat we uiteraard de urgentie voelen om de bevoegde autoriteiten in Nederland aan te wijzen en van de benodigde bevoegdheden te voorzien. Om die reden heeft de Minister van Economische Zaken en Klimaat op 11 februari jl., vooruitlopend op de verdere totstandkoming en inwerkingtreding van de Uitvoeringswet digitaledienstenverordening een ministerieel aanwijzingsbesluit genomen waarin de Autoriteit Consument & Markt («ACM») voorlopig wordt aangewezen als bevoegde autoriteit en digitaledienstencoördinator.2 Dit besluit stelt de ACM in staat om een aantal handelingen ter uitvoering van de DSA alvast te verrichten. Inmiddels is het advies van de Afdeling advisering van de Raad van State van 7 februari jl. verwerkt. Het ontwerpvoorstel voor de uitvoeringswet is gereed en wordt op korte termijn voorgelegd aan de ministerraad. Naar verwachting wordt het wetsvoorstel daardoor binnenkort bij uw Kamer ingediend.
We hechten er verder aan te benadrukken dat het niet zo is dat online (tussenhandel)diensten op dit moment niet gereguleerd zijn. De DSA is sinds 17 februari jl. volledig van toepassing. Tussenhandeldiensten moeten dus aan de daarin neergelegde regels voldoen en gebruikers kunnen hun rechten onder de DSA inroepen. Bovendien moeten aangewezen «zeer grote online platforms» en «zeer grote online zoekmachines» al sinds 25 augustus 2023 volledig aan de regels uit de DSA voldoen. Laatstgenoemde diensten vallen primair onder het toezicht van de Europese Commissie, die deze taak serieus neemt en voortvarend oppakt.3
Vraag 2

Ziet u met oog op de aankomende Europese verkiezingen de noodzaak voor het snel implementeren van de Uitvoeringswet om desinformatie zo goed mogelijk te kunnen bestrijden en de toegang tot betrouwbare informatie juist te versterken?

We zien sowieso de noodzaak om zo snel mogelijk goed en volledig uitvoering te geven aan de DSA. Het streven en de verwachting is dat het voorstel voor de uitvoeringswet op korte termijn kan worden aangeboden aan uw Kamer.
Voor wat betreft de bestrijding van desinformatie in relatie tot het Europese verkiezingsproces wordt opgemerkt dat de aanpak hiervan valt onder de DSA-regels gericht op het identificeren en beperken van systeemrisico’s door zogenaamde «zeer grote online platforms» en «zeer grote online zoekmachines», waarvan er thans 22 zijn aangewezen.4 Desinformatie kan zo’n systeemrisico vormen. Deze verplichtingen gelden uitsluitend voor de aangewezen zeer grote online platforms- en zoekmachines. Op grond van artikel 56, tweede lid, van de DSA houdt de Europese Commissie exclusief toezicht op de naleving van deze regels. Dat doet zij al sinds 25 augustus 2023. De lidstaten – en dus de op nationaal niveau aangewezen/aan te wijzen bevoegde autoriteiten – hebben geen bevoegdheid tot toezicht en handhaving ten aanzien van deze verplichtingen. Dat de nationale uitvoeringswet nog niet in werking is getreden heeft daarop geen invloed.
Waar het gaat om maatregelen voor het tegengaan van desinformatie en de toegang tot betrouwbare informatie zullen bij de Europese verkiezingen dezelfde maatregelen worden genomen als bij de Tweede Kamerverkiezingen van afgelopen november. Zie hierover de brief van de Minister van BZK over de weerbaarheid van het verkiezingsproces5.
Vraag 3

Heeft u zonder deze Uitvoeringswet voldoende gereedschap om online platforms te dwingen tot actie als er willens en wetens desinformatie en nepnieuws wordt gedeeld op hun kanalen? Welke bevoegdheden vanuit de digitaledienstenverordening zouden u hierbij helpen?

Zoals toegelicht in het antwoord op vraag 2, valt de aanpak van desinformatie (zoals nepnieuws) onder het bereik van de regels gericht op het voorkomen van systeemrisico’s door zeer grote online platforms en zeer grote online zoekmachines (artikelen 34 en 35 van de DSA). De Europese Commissie is exclusief bevoegd voor het toezicht op en de handhaving van de verplichtingen die uitsluitend gelden ten aanzien van aanbieders van zeer grote online platforms en zeer grote online zoekmachines, waaronder de verplichtingen ten aanzien van systeemrisico’s.
De eerste 19 aangewezen zeer grote online platforms – zoals Facebook, Instagram, TikTok, X en YouTube – moeten sinds 25 augustus 2023 al aan de DSA voldoen. Sindsdien kan het strijd met de verordening opleveren als zij niet-optreden tegen desinformatie die een systeemrisico vormt. De Commissie kan daarop handhaven. Daar is de Nederlandse uitvoeringswet niet voor nodig.
Vraag 4

Bent u het met de indieners eens dat het een zwaktebod is dat het Nederland niet is gelukt om de digitaledienstenverordening op tijd als nationale wet in te voeren, ondanks de regelmaat waarmee het kabinet verwijst naar deze verordening als voorbeeld van effectieve en noodzakelijke regulering van online diensten?

Het is spijtig dat de uitvoeringswet op 17 februari jl. nog niet tot wet verheven en in werking getreden was en de toezichthouders nog niet bevoegd zijn om toezicht te houden en te handhaven. Zoals toegelicht in het antwoord op vraag 1, was de uitvoeringstermijn echter te kort voor een zorgvuldig wetgevingsproces.
Dat de uitvoeringswet er nog niet is, betekent overigens niet dat online tussenhandeldiensten nu niet gereguleerd zijn. Vanaf 17 februari jl. moeten online diensten die onder de DSA vallen volledig aan de verplichtingen uit de verordening voldoen. De ACM en de Autoriteit persoonsgegevens (AP) kunnen, zodra de Uitvoeringswet er is, zo nodig met terugwerkende kracht optreden tegen aanbieders van tussenhandeldiensten die in Nederland gevestigd zijn of hier hun wettelijke vertegenwoordiger hebben aangewezen.
Ook wordt er opgemerkt dat een goede uitvoering van een verordening zoals de DSA meer behelst dan enkel het tot stand brengen van de uitvoeringswet. Zo wordt er sinds de adoptie van de DSA met onder meer de ACM en AP als beoogd toezichthouders samengewerkt, bijvoorbeeld om informatie over de DSA onder de aandacht te brengen van de bedrijven die er straks aan moeten voldoen en van de gebruikers en belanghebbenden die door de DSA nieuwe rechten krijgen. De ACM is bijvoorbeeld in contact gebracht met partijen die geïnteresseerd zijn in het verwerven van de status van «trusted flagger» of «erkend onderzoeker». Verder heeft de Minister van Economische Zaken en Klimaat in 2023 reeds middelen voor beide toezichthouders beschikbaar gesteld zodat zij zich kunnen voorbereiden op het moment dat de DSA volledig van toepassing wordt en zij toezicht kunnen gaan houden. Ook voor 2024 en verder zijn er inmiddels (structurele) middelen beschikbaar gesteld aan de toezichthouders. Verder heeft de Minister van Economische Zaken en Klimaat, vooruitlopend op de uitvoeringswet, het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening genomen (zie het antwoord op vraag 1).
Vraag 5

Deelt u de mening dat het herhaaldelijk missen van deadlines voor de invoering van digitale wetgeving de rol van Nederland als koploper binnen Europa verzwakt?

Uiteraard streeft het kabinet ernaar om uitvoeringstermijnen te halen. In de praktijk blijken de termijnen die hiervoor worden gegeven in Europese regelgeving echter vaak te krap om nationaal de vereiste formele wet tot stand te brengen.
De uitvoering van wetgeving behelst, zoals in het antwoord op vraag 4 toegelicht, meer dan enkel het zorgvuldig tot stand brengen van uitvoeringswetgeving. Daar is veel op bereikt. Daarom denken we dat de beperkte vertraging die Nederland in dit geval oploopt geen substantieel negatief effect heeft op het vertrouwen in Nederland als onderdeel van de kopgroep in digitalisering.
Vraag 6

Kunt u toelichten wat de gevolgen zijn van het niet tijdig invoeren van de wet? Kunt u ook uitleggen waarom het niet is gelukt om de Uitvoeringswet vóór de formele inwerkstelling op 17 februari 2024 nationaal in te voeren?

Dat de Uitvoeringswet nog niet tot wet verheven is, betekent dat de ACM en de AP als beoogd toezichthouders op dit moment nog geen toezichtsbevoegdheden kunnen inzetten of handhavend kunnen optreden tegen overtredingen van de DSA door diensten die onder hun bevoegdheid vallen. De redenen voor het niet tijdig invoeren van de wet zijn beschreven in de antwoorden op vragen 1, 4, en 5. Zoals toegelicht bij het antwoord op vraag 9, kan de ACM op basis van het aanwijzingsbesluit bepaalde onderdelen van de verordening wel al uitvoeren.
Vraag 7

Wanneer verwacht u dat de invoeringswet wél is geïmplementeerd? Welke deadlines volgen er nog voor het invoeren van de digitaledienstenverordening en wat zijn de gevolgen als we deze missen?

Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat advies is inmiddels verwerkt en het wetsvoorstel zal na akkoord van de ministerraad bij uw Kamer worden ingediend. Naar verwachting wordt het wetsvoorstel medio/eind maart 2024 aan uw Kamer aangeboden. De uiteindelijke datum van inwerkingtreding is afhankelijk van de behandeling door uw Kamer en de Eerste Kamer.
Er volgen verder geen deadlines meer. De DSA is sinds 17 februari jl. volledig van toepassing.
Vraag 8

Bent u gezien het verstrijken van de deadline in staat om het zeer recente advies van de Raad van State (14 februari 2024) op fatsoenlijke manier te verwerken en tevens genoeg tijd aan de Kamer te laten om de wet goed te controleren en zo nodig te amenderen?1

Ja. Het advies van de Raad van State is inmiddels verwerkt en het wetsvoorstel wordt op korte termijn bij uw Kamer ingediend. Het is daarna vanzelfsprekend aan uw Kamer, in haar rol als medewetgever, om te bepalen op welke wijze zij het wetsvoorstel wenst te behandelen. In dit verband hechten we er aan om op te merken dat het wetsvoorstel zich beperkt tot datgene wat noodzakelijk is voor de uitvoering van de DSA in Nederland. Daarbij gaat het om de aanwijzing van bevoegde autoriteiten en de digitaledienstencoördinator, het stellen van regels met betrekking tot hun bevoegdheden en samenwerking en de benodigde wijzigingen van andere wetten. Het wetsvoorstel zelf bevat geen nadere regels waar aanbieders van tussenhandeldiensten zich aan moeten houden. Dat zou ook niet mogelijk zijn omdat de DSA een verordening is, die rechtstreeks werkt en voorziet in maximumharmonisatie.
Vraag 9

Welke bevoegdheid heeft de Autoriteit Consument en Markt (ACM) precies om toezicht te houden op de digitaledienstenverordening, nu hun taak niet wettelijk is vastgelegd en zij slechts «beoogd toezichthouder» is?

Bij het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening is de ACM, vooruitlopend op de verdere totstandkoming van voornoemde uitvoeringswet, aangewezen als bevoegde autoriteit en als digitaledienstencoördinator. De aanwijzing stelt de ACM in staat bepaalde onderdelen van de verordening die het karakter hebben van uitvoeringshandelingen alvast uit te voeren. Een voorbeeld is het ontvangen van contactgegevens van in Nederland gevestigde wettelijke vertegenwoordigers van buiten de Unie gevestigde aanbieders van tussenhandeldiensten (artikel 13, vierde lid, DSA). De ACM zal door de aanwijzing tevens fungeren als aanspreekpunt voor de digitaledienstencoördinatoren van andere lidstaten en de Europese Commissie in het kader van de wederzijdse bijstand (artikel 57 DSA) en in die hoedanigheid informatie kunnen uitwisselen die nodig is voor een goede uitvoering van de verordening. Daarnaast zal de ACM deel uitmaken van de digitaledienstenraad – de onafhankelijke adviesgroep van digitaledienstencoördinatoren – en kunnen deelnemen aan de besluitvorming daarin.
De ACM kan op basis van het besluit nog geen uitvoeringstaken uitvoeren die de uitoefening van openbaar gezag behelzen. Dit betekent dat de ACM nog geen toezichtsbevoegdheden kan inzetten of handhavend op kan treden. Ook is zij nog niet bevoegd om besluiten met rechtsgevolgen te nemen, zoals het certificeren van buitengerechtelijke geschilbeslechtingsorganen of het toekennen van de status van «betrouwbare flagger» of «erkende onderzoeker». Die taken kan de ACM pas uitvoeren op het moment dat de uitvoeringswet in werking is getreden.
Zoals toegelicht in het antwoord op vraag 4, beschikt de ACM wel al over financiële middelen waarmee zij al volop voorbereidingen treft om bovenstaande taken wel uit te kunnen voeren als de uitvoeringswet eenmaal tot wet verheven is. Zo heeft de ACM onder meer een meldingenloket ingericht en een leidraad opgesteld over de DSA.7
De reden dat tot dusver steeds is gesproken over «beoogd» toezichthouders, heeft te maken met het feit dat het ontwerpwetsvoorstel nog niet is aangenomen door de Tweede en Eerste Kamer. Pas als dat het geval is, is hun aanwijzing definitief.
Vraag 10

Is de ACM in staat om te handelen volgens haar conceptleidraad zonder implementatie van de Uitvoeringswet?2 Zijn de verplichtingen in deze leidraad afdwingbaar als online platforms deze niet naleven?

De verplichtingen vloeien rechtstreeks voort uit de verordening en tussenhandeldiensten moeten daar sinds 17 februari jl. volledig aan voldoen. Gebruikers kunnen de rechten die zij op grond van de DSA hebben jegens online diensten inroepen. De DSA is dus wel degelijk afdwingbaar. Zoals toegelicht in het antwoord op vraag 9, kan de ACM op dit moment echter nog niet handhavend optreden. De leidraad gaat in op de zorgvuldigheidsverplichtingen voor tussenhandeldiensten die zijn neergelegd in de DSA en hoe de ACM die interpreteert. Zij vormt een hulpbron voor tussenhandeldiensten die uitvoering moeten geven aan de verplichtingen uit de DSA.
Vraag 11

Hoe vaak heeft u contact met de ACM om vast te leggen wat precies haar bevoegdheden zijn? Is de Uitvoeringswet hiervoor noodzakelijk?

De ACM is intensief betrokken bij de totstandkoming van het ontwerpwetsvoorstel. Ook heeft zij een Uitvoerbaarheids- en handhaafbaarheidstoets verricht op het ontwerpwetsvoorstel.
De uitvoeringswet is noodzakelijk om de ACM als beoogd toezichthouder te voorzien van de bevoegdheden die zij op grond van (artikel 50 van) de DSA moet hebben.
Vraag 12

Zijn er andere landen die de wet niet tijdig hebben ingevoerd? Welke landen zijn dit?

Ja. De Europese Commissie houdt een website bij met daarop een overzicht van de aangewezen digitaledienstencoördinatoren.9 Uit dit overzicht blijkt dat België, Estland, Frankrijk, Duitsland, Griekenland, Letland, Litouwen, Malta, Polen, Slowakije, überhaupt nog geen digitaledienstencoördinator hebben aangewezen. Een aantal landen heeft, net als Nederland, (voorlopig) een digitaledienstencoördinator aangewezen, vooruitlopend op uitvoeringswetgeving die nog niet is aangenomen. Voor hoeveel landen dit geldt is niet bekend.
Vraag 13

Kunt u een overzicht geven van de wetten die betrekking hebben op digitale zaken, die momenteel niet zijn ingevoerd ondanks de verstreken deadline? Wat zijn de financiële gevolgen geweest voor het missen van de deadlines?

Verordening
Deadline1
Stand van zaken
Gevolgen2
Platform to Business Verordening (P2B) – 2019/1150/EU
Geen, verordening is sinds juli 2020 van toepassing.
Wetsvoorstel om ACM als toezichthouder aan te wijzen is in december 2022 aangeboden aan uw Kamer.3
De verordening verplicht lidstaten om te voorzien in een adequate en doeltreffende handhaving van de verordening, maar schrijft niet voor hoe dat vormgegeven moet worden. Sinds de inwerkingtreding vindt in Nederland privaatrechtelijke handhaving van de P2B door de rechter plaats. Nadien is ervoor gekozen om ook de ACM te belasten met de handhaving van de P2B-verordening. Hiertoe is een wetsvoorstel bij uw Kamer ingediend. De ACM heeft zich al voorbereid op haar toekomstige taak, onder andere door het opstellen van een leidraad waarmee zij de regels uit de verordening verder verduidelijkt. Zolang het wetsvoorstel niet is aangenomen en in werking treedt, kan de ACM niet handhavend optreden. De Europese Commissie is van oordeel dat Nederland had moeten voorzien in specifieke nationale uitvoeringsbepalingen ter handhaving van de verordening en heeft Nederland daarom in gebreke gesteld. Het wetsvoorstel neemt de bezwaren van de Commissie weg.
Data Governance Verordening (DGA) – 2022/868/EU
24 september 2023
Het voorstel uitvoeringswet DGA is in oktober 2023 aangeboden aan uw Kamer.4 De nota n.a.v. het verslag wordt op korte termijn aan uw Kamer verstuurd.
Als onderdeel van de DGA geldt een registratieverplichting voor databemiddelingsdiensten, data-altruïstische organisaties kunnen zich vrijwillig registreren. Daarnaast kunnen zij een EU-label aanvragen om het vertrouwen in hun dienst te vergroten. Zo wordt voor iedereen zichtbaar welke partijen betrouwbaar met data omgaan. Een registratie of een EU-label aanvraag is pas mogelijk vanaf het moment dat de ACM met de inwerkingtreding van de uitvoeringswet formeel wordt aangewezen als toezichthouder. Aanbieders kunnen vanaf nu wel al een pre-notificatie van registratie en EU-label indienen bij de ACM. Dit zorgt ervoor dat het registratieproces efficiënt doorlopen kan worden zodra de ACM formeel is aangewezen als toezichthouder. Ook is er nog geen bevoegd orgaan aangewezen om overheidsorganisaties bij te staan in het kader van het tweede hoofdstuk van de verordening. Daarnaast kan de ACM nog niet formeel als toezichthouder deelnemen aan het Europees Comité voor Gegevensinnovatie.
Digitale Markten Verordening (DMA) – 2022/1925/EU
Geen.
Het voorstel uitvoeringswet DMA is in januari 2024 aan uw Kamer aangeboden.5
De Commissie is als enige bevoegd tot handhaving van de DMA. Voor lidstaten is er geen verplichting om nationale toezichthouders aanvullende onderzoeksbevoegdheden te geven, maar de verordening biedt wel die mogelijkheid. In het wetsvoorstel wordt voorgesteld om de ACM deze aanvullende onderzoeksbevoegdheden te geven.
Digitale Diensten Verordening (DSA) – 2022/2065/EU
17 februari 2024
Het voorstel uitvoeringswet wordt binnen enkele weken aangeboden aan uw Kamer.
Zie het antwoord op vraag 6.
Die de verordening stelt voor de uitvoeringswetgeving.
Er zijn vooralsnog geen financiele gevolgen voorzien.
Kamerstuk 36285.
Kamerstuk 36451.
Kamerstuk 36495.
Vraag 14

Hoe gaat u ervoor zorgen dat digitale wetgeving voortaan tijdig en degelijk wordt ingevoerd, zodat de Kamer deze ook grondig kan behandelen en tijd heeft om deze nog te amenderen?

Vanzelfsprekend streeft het kabinet altijd naar tijdige implementatie of uitvoering van Europese (digitale) wetgeving. Dat lukt echter alleen met een realistische implementatie- of uitvoeringstermijn die ruimte laat voor de vereiste nationale afstemming en wetgevingsprocedures van alle lidstaten. Daar maakt het kabinet zich hard voor tijdens het Europese wetgevingsproces en dat zal zij ook in de toekomst blijven doen. Die pogingen zijn soms succesvol en soms niet.
Dat één of meerdere implementatie/uitvoeringswetten op of na de betreffende termijn bij de Kamer worden ingediend, doet overigens niet af aan de rol en bevoegdheden van de Kamer als medewetgever.
Vraag 15

Bent u het met de indieners eens dat het niet op tijd voorleggen van wetgeving de controlerende en medewetgevende taak van de Kamer verslechtert?

Het aan de Kamer voorleggen van wetsvoorstellen na het verstrijken van de uitvoerings- of implementatietermijn neemt naar de mening van het kabinet niet weg dat de Kamer haar controlerende en medewetgevende taak voldoende kan verrichten. Ten overvloede zij opgemerkt dat de Kamer ook tijdens de onderhandelingen over de DSA is geïnformeerd.
Vraag 16

Deelt u de mening dat regulering van het digitale domein noodzakelijk is en we hier in het verleden te veel steken hebben laten vallen?

Regulering van het digitale domein is inderdaad wenselijk en het kabinet heeft zich daarom ook proactief opgesteld bij de totstandkoming van diverse wetgeving in het digitale domein op Europees niveau.
Vraag 17

Kunt u deze vragen zo spoedig mogelijk en apart van elkaar beantwoorden?

Ja.

31 januari 2024 - 22 maart 2024

51 dagen

De verhuizing van het .nl domein
	Joost Sneller (D66), Barbara Kathmann (PvdA), Jesse Six Dijkstra (NSC)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Micky Adriaansens (minister economische zaken) (VVD)

Bronnen

1. SIDN, 29 januari 2024, We blijven pionieren door de inzet van de best…
2. Volgt uit de Wet beveiliging netwerk- en informatiesystemen: https://…

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.
Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.
Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.
Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.
Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.
Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.
Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.
Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.
Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.
Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.
Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.
Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.
Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).
Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.
Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.
Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.
Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.
Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.
Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.
Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.
Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

26 januari 2024 - 18 maart 2024

52 dagen

Het bericht ‘Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid’ en het bericht ‘Telegramdealers: 'De straten hebben rust, zoals jullie wilden'
	Harmen Krul (CDA)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NOS, 25 januari 2024, Miljoenen drugsadvertenties op Telegram, platfo…
2. NOS, 25 januari 2024, Telegram-drugsdealers: «De straten hebben rust,…
3. Aanhangsel van de Handelingen, vergaderjaar 2023–2024, nr. 212. …

Vraag 1

Bent u bekend met het bericht «Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid»?1 2

Ja, daar ben ik bekend mee.
Vraag 2

Wat vindt u ervan dat drugscriminelen in openbare Telegram-groepen ongestoord kunnen handelen in drugs, zowel softdrugs als harddrugs en designerdrugs?

Het is schokkend om te zien hoeveel van dit soort berichten rondgaan op Telegram. Het is in de eerste plaats de verantwoordelijkheid van Telegram om dit te modereren. Dit soort zelfreinigend vermogen wordt ook door andere sociale media platforms toegepast. Daar zet ik ook op in bij Telegram. We zijn daar helaas nog niet in geslaagd, omdat het moeilijk is om met Telegram in contact te komen en afspraken te maken.
De politie mag en kan, gelet op het grote aantal berichten en de schaarste in de capaciteit, niet het hele internet monitoren op berichten waarin drugs wordt aangeboden. Wel gaat de politie daar waar mogelijk over tot handhaving. De opsporing richt zich op het opsporen van de grote drugsaanbieders.
Momenteel worden samen met betrokken partijen, zoals het Openbaar Ministerie (OM) en politie, verkennende gesprekken gevoerd met als doel het opstellen van een plan van aanpak voor handhaving op de online verkoop van verboden middelen. De handhaving van de online verkoop van drugs kent uitdagingen die niet zijn voorbehouden aan de verkoop van drugs, maar breder gelden voor de online verkoop van verboden middelen. De aanpak hiervan is complex en de totstandkoming van een goed en gedragen plan hierop vergt tijd. Ik zal uw Kamer in een volgende voortgangsbrief nader informeren over de concrete voorstellen om beter te kunnen handhaven op de verkoop van drugs via online kanalen.
Vraag 3

Herkent u het beeld dat Telegram vooral wordt gebruikt als advertentieplatform en dat dealers na het opbouwen van een vertrouwensband overstappen op andere communicatiemiddelen? Welke andere apps kent u met vergelijkbare praktijken?

Telegram voorziet behalve in groepen en kanalen ook in de mogelijkheid om één-op-één te communiceren over bijvoorbeeld betaling en aflevering. Bij frequenter contact kan inderdaad een vertrouwensband ontstaan waarna andere communicatiewijzen kunnen worden gedeeld, zoals alternatieve berichtendiensten die voorzien in interpersoonlijke privécommunicatie.
Vraag 4

Bent u het met de stelling eens dat drugsdealers die op Telegram hun criminele praktijken uitvoeren, zoveel mogelijk opgespoord en bestraft moeten worden met medewerking van Telegram? Zo nee, waarom niet?

De criminaliteit die via Telegram plaatsvindt, moet worden bestreden. De verwachting is dat nieuwe Europese wetgeving – zoals de Digital Services Act (DSA)3 – de internetsector tot meer actie dwingt met de verplichtingen die daarin geregeld zijn. In het geval van Telegram lijkt in een adequaat moderatiebeleid voor openbare groepen4 de grootste winst te behalen. De Nederlandse strafrechtelijke aanpak heeft een beperkt effect aangezien het hier om een internationale online dienst gaat met een groot aantal gebruikers. Omdat de capaciteit binnen onze strafrechtketen beperkt is, moeten bovendien altijd keuzes gemaakt worden. Een meewerkende houding van Telegram is in alle gevallen van groot belang.
Vraag 5

Wanneer is voor u de maat vol voor Telegram, gezien de aanhoudende berichten over online haat, bedreiging, expose-groepen, criminele praktijken en oplichting via dit platform en het feit dat Telegram hier zelf helemaal niets aan doet?

De aanwezigheid van illegale inhoud en illegale activiteiten op Telegram vind ik problematisch. Temeer omdat Telegram weinig bereidheid tot medewerking toont in het kader van zelfregulering en opsporingsonderzoeken. In de beantwoording van eerdere Kamervragen van de leden Kuik en Slootweg (CDA)5 over Telegram heb ik daarom aangegeven dat het kabinet de inspanningen verhoogt om partijen als Telegram en X op hun verantwoordelijkheden te wijzen, deels met behulp van nieuwe wetgevende instrumenten, zoals de Verordening Terroristische Online Inhoud6 en de eerdergenoemde DSA. Over de ontwerp Verordening ter voorkoming en bestrijding van seksueel kindermisbruik wordt nog onderhandeld. Deze drie verordeningen leggen aan tussenhandeldiensten meer (zorgvuldigheids)verplichtingen op, onder meer in relatie tot illegale online inhoud. Ze spelen daarom een belangrijke rol in het aanpakken van de soorten inhoud en praktijken die u noemt. Daarnaast ben ik in constante dialoog met verschillende soorten aanbieders in de internetsector, zoals via de «publiek-private samenwerking online content moderatie». Juist vanwege de constructieve samenwerking met de aldaar aanwezige platforms (zoals Meta, TikTok en Snapchat) is de afwezigheid van partijen als Telegram en X te betreuren.
Vraag 6

Zijn de claims van Telegram dat zij wel degelijk proactief modereren op schadelijke content te verifiëren?

De gemaakte claims door Telegram zijn momenteel lastig onafhankelijk te verifiëren door een gebrek aan transparantie. De handhavingspraktijk en onderzoeken zoals die van de NOS geven een beeld van de verschillende vormen en omvang van illegale inhoud op Telegram, wat zich moeilijk verhoudt tot de gemaakte claims. De DSA brengt naar verwachting verandering in deze situatie zoals toegelicht in het antwoord op vraag 7.
Vraag 7

Wilt u Telegram vragen bewijs te leveren van hun proactieve moderatie op schadelijke content in Nederland of Nederlandse groepen en wilt u dit onafhankelijk laten toetsen?

Zoals aangegeven spant het kabinet zich in om partijen op hun verantwoordelijkheden te wijzen. Telegram zal op grond van de DSA, die vanaf 17 februari 2024 van toepassing is op alle tussenhandeldiensten, in ieder geval jaarlijks moeten gaan rapporteren over (onder meer) inhoudsmoderatie die zij op eigen initiatief toepast, de ontvangen bevelen van lidstatelijke autoriteiten, en de omgang met meldingen van illegale inhoud van gebruikers en zogeheten betrouwbare flaggers7. Hierdoor wordt meer inzicht afgedwongen in hetgeen Telegram doet op het gebied van online content moderatie. Het is aan de toezichthouder in België – waar Telegram met de inwerkingtreding van de DSA een wettelijke vertegenwoordiger heeft aangewezen8 – om toezicht te houden op de naleving van deze eisen.
Vraag 8

Herinnert u zich dat u in antwoord op eerdere vragen van de leden Kuik en Slootweg3 over Telegram-exposegroepen heeft aangegeven dat Telegram niet reageert op vorderingen of bevelen in het kader van opsporingsonderzoeken?

Ja, mijn beantwoording daarop is mij bekend.
Vraag 9

Wat zijn gevolgen van het niet voldoen aan een vordering of bevel door de politie of de officier van justitie in het kader van een opsporingsonderzoek? Welke afwegingen worden daarbij gemaakt?

Wanneer Telegram niet meewerkt aan rechtshulpverzoeken en niet voldoet aan strafvorderlijke vorderingen en/of bevelen, dan is het gevolg daarvan dat onderzoek naar (een vermoeden van) strafbare feiten wordt belemmerd. In algemene zin geldt dat afhankelijk van de context en de grondslag van een vordering of bevel het niet meewerken daaraan strafrechtelijke, civielrechtelijke of bestuursrechtelijke gevolgen kan hebben.
Vraag 10

In hoeverre zijn er mogelijkheden om medewerking van Telegram aan vorderingen of bevelen van de politie of officier van justitie af te dwingen?

In sommige gevallen zou bij niet-naleving van een vordering of bevel vanuit de politie of officier van justitie kunnen worden overgegaan op dwangmiddelen, zoals inbeslagname of strafvervolging. De eventuele inzet hiervan wordt onder andere beïnvloed door de grondslag van de vordering of het bevel, de ernst van de overtreding en ook de vestigingslocatie van een bedrijf. Van Telegram is bekend dat deze momenteel geen Nederlandse of andere Europese vestiging heeft. Wel is bekend dat Telegram met de inwerkingtreding van de DSA inmiddels een wettelijke vertegenwoordiger in België heeft aangewezen.
Vraag 11

Klopt het dat de officier van justitie op basis van artikel 125p van het Wetboek van Strafvordering na toestemming van de rechter-commissaris, een aanbieder van een communicatiedienst kan bevelen om content ontoegankelijk te maken, en dat dit in de praktijk het blokkeren van een Telegramkanaal kan zijn, openbaar of besloten?

Ja, dat klopt.
Vraag 12

Zo ja, kunt u aangeven waarom het blokkeren van een Telegramkanaal blijkens uw antwoord op vraag 6 van de leden Slootweg en Kuiken slechts in uitzonderlijke gevallen mogelijk is en dan alleen via de telefoon van de verdachte?

De casus waarin via de telefoon van verdachte gegevens in drie Telegram-groepen ontoegankelijk werden gemaakt, werd in de beantwoording uitzonderlijk genoemd, omdat de politie niet vaak in de positie is dat zij een Telegram-gebruiker heeft kunnen identificeren en directe toegang heeft tot diens telefoon. Dit maakte het op grond van artikel 125p Sv jo 181 Sv mogelijk om de Telegram-groepen af te sluiten zonder medewerking van Telegram.
Vraag 13

Waarom is de politie volgens uw antwoord in vraag 6 vaak niet in de positie om een Telegramkanaal te blokkeren?

Zie antwoord vraag 12.
Vraag 14

Wat vindt u ervan dat het blokkeren van een Telegramkanaal blijkbaar afhankelijk is van de medewerking van Telegram zelf?

In de casus waar u naar refereert in vraag 12 konden gegevens dus ontoegankelijk worden gemaakt zonder medewerking van Telegram, omdat er toegang was tot de telefoon van verdachte. Dat neemt niet weg dat een meewerkende houding van online aanbieders gewenst is, zodat bevelen die op grond van 125p Sv direct aan hen zijn gericht ook daadwerkelijk worden opgevolgd en er niet een strafbaar feit ontstaat of blijft voortbestaan door niet-naleving.
Vraag 15

Welke mogelijkheden zijn er om de politie meer handvatten te geven om Telegramkanalen sneller te blokkeren? Vraagt de politie ook om extra mogelijkheden of bevoegdheden en zo ja, welke?

De wet voorziet in mogelijkheden voor politie en OM om online aanbieders ertoe te bewegen om strafbare inhoud ontoegankelijk te maken en personen achter accounts op te sporen. Zoals toegelicht in het antwoord op vraag 10 wordt de effectiviteit van deze middelen belemmerd wanneer een bedrijf niet op Nederlands grondgebied is gevestigd. In het geval van buitenlandse online aanbieders dient dan gebruik te worden gemaakt van een rechtshulpverzoek. Dit is vaak een tijdrovende exercitie en de uitkomst ervan is afhankelijk van de medewerking van het land waaraan het verzoek is gericht.
Verder verwijs ik naar mijn antwoord op vraag 2 over de gesprekken die gevoerd worden met onder andere politie en OM om te komen tot een plan van aanpak voor handhaving op de online verkoop van verboden middelen.
Vraag 16

Vindt u het gerechtvaardigd om in uitzonderlijke gevallen en bij grove en herhaaldelijke schendingen op het gebied van illegale content de mogelijkheid te hebben om een app als Telegram als geheel voor een bepaalde periode uit de lucht te halen in Nederland? Kunt u uitgebreid toelichten wat de technische en juridische implicaties hiervan zouden zijn?

Het volledig verbieden of ontoegankelijk maken van een app is zeer ingrijpend. In het geval van Telegram zou hieruit een inperking van de vrijheid van meningsuiting volgen. De noodzaak hiervan moet dan in verhouding staan tot de ernst van de overtredingen waarbij de vraag speelt of lichtere middelen niet al voldoende soelaas bieden. De DSA biedt een kader waarin toezicht en sanctionering zijn geregeld en in een opbouw van handhavingsmogelijkheden is voorzien. De verordening laat in een uiterst geval en onder voorwaarden ruimte voor de toezichthouder om de rechter te verzoeken de toegang tot een dienst tijdelijk te beperken10. Doordat Telegram in België haar wettelijke vertegenwoordiger voor de DSA heeft aangewezen is de Belgische onafhankelijk toezichthouder voor de DSA hiertoe exclusief bevoegd.
Vraag 17

Wat vindt u van het feit dat Telegram in Duitsland een boete heeft gekregen van ruim vijf miljoen euro, omdat Telegram geen aanspreekpunt in Duitsland heeft waar mensen schadelijke en criminele content kunnen melden?

Het Bundesamt für Justiz (BfJ) heeft in 2022 haar bevoegdheden als autoriteit onder de NetzDG, de Duitse netwerkhandhavingswet, gebruikt om twee boetes van in totaal € 5,125 mln aan Telegram op te leggen. De NetzDG maakt plaats voor de DSA. De DSA is namelijk maximumharmonisatie voor wat betreft de verplichtingen voor tussenhandeldiensten door de EU, waardoor dergelijke nationale wetgeving niet langer is toegestaan. De actie van het BfJ laat zien dat partijen als Telegram zich niet kunnen onttrekken aan verplichtingen die hen zijn opgelegd. Dit maakt mij hoopvol over de toepassing van de DSA die in meerdere opzichten gelijkenissen kent met de NetzDG.
Vraag 18

Op welke manier reageren andere Europese landen op Telegram wanneer schadelijke content niet verwijderd wordt en geen opvolging wordt gegeven aan vorderingen van politie en justitie?

Het kabinet is niet op de hoogte van de praktijk in de verschillende lidstaten.
Vraag 19

Verwacht u, gezien de trackrecord van Telegram, dat de invoering van de Digital Services Act (DSA) zal leiden tot verbetering van het gedrag van Telegram?

Het laat zich moeilijk voorspellen hoe het handelen van een partij als Telegram zich gaat ontwikkelen met de inwerkingtreding van de DSA. Tegelijkertijd is Telegram een voorbeeld dat de noodzaak voor regulering aantoont. De DSA en de eerdergenoemde wetgevingsinstrumenten in mijn antwoord op vraag 5 versterken de mogelijkheden om op te kunnen treden. Uit de praktijk zal moeten blijken welke resultaten dit oplevert. In dit kader is relevant dat de positie van Telegram onder de DSA nog niet geheel duidelijk is. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de DSA, terwijl besloten (groeps)gesprekken er buiten vallen, maar de praktijk moet dit uitwijzen. Ondertussen staat wel vast dat de DSA voor meer transparantie en dus verbetering van het gedrag door Telegram zou moeten leiden. Zie het ook het antwoord op vraag 7.
Vraag 20

Verwacht u dat de huidige sancties onder de DSA hard genoeg zijn om online platformen zoals Telegram te dwingen verantwoordelijkheid te nemen over de activiteiten op hun platform?

Zie antwoord vraag 19.
Vraag 21

Bent u bereid om de Kamer een brief te sturen waarin u uitgebreid toelicht aan welke bepalingen die volgen uit de DSA Telegram zich op dit moment volgens u niet houdt of waar er een risico zit?

Zoals aangegeven moet de positie van Telegram onder de DSA zich nog uitkristalliseren. Bovendien is de DSA gestoeld op het land-van-oorsprongsbeginsel voor het bepalen van bevoegdheid. Het is aan de onafhankelijke toezichthouder die is aangewezen in België, de lidstaat waar Telegram een wettelijk vertegenwoordiger heeft aangewezen, om een oordeel te vormen over de naleving van bepalingen uit de DSA door tussenhandeldiensten die onder haar bevoegdheid vallen. Het is niet aan mij om verder te oordelen of de DSA op (onderdelen van) Telegram van toepassing is, of welke onderdelen van de DSA mogelijk worden overtreden. Dat is aan de onafhankelijk toezichthouder en uiteindelijk aan de rechter en het Hof van Justitie.
Vraag 22

Wanneer verwacht u de uitvoeringswet van de DSA naar de Kamer te sturen?

De Minister van Economische Zaken en Klimaat werkt al geruime tijd aan het ontwerpwetsvoorstel voor de Uitvoeringswet Digitaledienstenverordening. Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat wordt momenteel verwerkt. De Minister van Economische Zaken en Klimaat streeft ernaar het ontwerpwetsvoorstel daarna zo spoedig mogelijk bij de Kamer in te dienen en zal Uw Kamer daar apart over informeren.

16 januari 2024 - 7 maart 2024

51 dagen

Quantumproof encryptie
	Joost Sneller (D66)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. Forbes, Januari 25, 2023. What The Quantum Computing Cybersecurity Preparedness Act Means For National Security (forbes.com)

Vraag 1

Bent u bekend met het risico dat quantumcomputing encryptie zal doorbreken en daarmee toegang wordt verkregen tot een schat aan gevoelige informatie?

Ja, het is mij bekend dat krachtige quantumcomputers bepaalde versleuteling (of cryptografie) sterk kunnen verzwakken of doorbreken. Dit veroorzaakt risico’s voor de Rijksoverheid en ook voor burgers, ondernemingen en andere overheden die tijdig beheerst moeten worden.
Cryptografie zorgt voor veilige en vertrouwelijke digitale communicatie. Cryptografie houdt zich o.a. bezig met technieken om informatie op te slaan en over te dragen zodanig dat deze alleen leesbaar zijn door partijen die de juiste sleutel bezitten (vertrouwelijkheid). Daarnaast wordt het ingezet om gegevens te beschermen tegen wijzigingen (integriteit), zekerheid te verkrijgen van verzenden en ontvangen van informatie (onweerlegbaarheid) en bevestiging van identiteiten van zender en ontvanger te bewerkstelligen (authenticatie). Daarvoor zijn in ons dagelijks leven zeer veel toepassingen en cryptografie wordt om die reden overal gebruikt. Door cryptografie zijn bijvoorbeeld onze identiteitsgegevens (paspoorten) beschermd, kunnen we veilig verkeerslichten en bruggen aansturen, mailen en appen we met elkaar, betalen we met onze telefoon en we gebruiken het om vertrouwelijke informatie te versleutelen, zoals bedrijfsgeheimen of staatsgeheimen. Cryptografie vormt dan ook een onmisbaar instrument om de vertrouwelijkheid, integriteit en beschikbaarheid van processen en data te beschermen.
Met de komst van een krachtige quantumcomputer is de meeste cryptografie echter niet meer (voldoende) veilig: bestaande encryptiemethodes zullen onze digitale gegevens niet meer voldoende kunnen beschermen.
De overgang van kwetsbare cryptografie naar quantumveilige cryptografie is een technologisch ingrijpende wijziging die nog niet eerder op deze schaal is voorgekomen. Daarom moeten er nu voorbereidende acties worden ondernomen, zie ook de beantwoording bij vraag 5.
Vraag 2

Welke kansen en risico´s ziet u op het gebied van quantum?

Er zijn met betrekking tot quantum in relatie tot quantumproof encryptie zowel kansen als risico's.
In mijn brief van 7 november 20231 heb ik u geïnformeerd over een aantal belangrijke knelpunten in de transitie naar quantumveilige cryptografie en een aantal kansen die dit biedt.
Daarnaast zijn er risico’s zoals onvoldoende bewustzijn en kennis. Voor dat laatste ontwikkel ik samen met de private sector een cryptografie opleiding om alle typen IT- beheer bij te scholen. Deze komt naar verwachting in de loop van 2024 beschikbaar.
Vraag 3

Bent u bekend met het gegeven dat de Amerikaanse president Biden reeds een wet heeft getekend die overheidsorganisaties verplicht om te migreren naar IT-systemen die quantum-proof zijn?1

Het kabinet volgt de internationale ontwikkelingen en heeft kennis genomen van de genoemde Amerikaanse wetgeving3. Deze wetgeving geeft de verplichting aan federale overheidsinstanties om te migreren naar quantumveilige cryptografie: het adopteren van de standaarden die door het Amerikaanse National Institute of Standards and Technology dit jaar gepubliceerd worden om weerbaar te zijn tegen de dreiging van quantumtechnologie. Deze migratie en beschreven aanpak hiervoor worden ook binnen de Rijksoverheid gezien als de belangrijkste instrumenten om deze dreiging het hoofd te bieden.
De aanpak van de Rijksoverheid past bij de generieke, risicogerichte aanpak voor digitale weerbaarheid. Deze aanpak geeft ruimte om ook andere maatregelen te nemen om de hiervoor genoemde risico’s te beheersen, indien bijvoorbeeld bepaalde systemen niet kunnen migreren naar quantumveilige cryptografie.
Vraag 4

Kunt u toelichten in hoeverre er vergelijkbare wetgeving nodig is in Nederland en in hoeverre dit wordt voorbereid?

De Amerikaanse wetgeving oplossing verplicht federale overheidsinstanties om te migreren naar quantumveilige cryptografie: namelijk het adopteren van de nieuwe standaarden van National Institute of Standards and Technology (zie vraag 3). De huidige Europese, nationale en overheidsbrede wet- en regelgeving op het gebied van informatiebeveiliging c.q. cybersecurity heeft een andere werking maar biedt voldoende aanknopingspunten om in actie te moeten komen.
Zo geeft NIS24 (Network and Information Security Directive) aan dat «state of the art» beveiligingsmaatregelen waaronder «state of the art» encryptie moeten worden toegepast. Deze richtlijn schrijft verder voor dat organisaties die onder de richtlijn vallen moeten hebben: «beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie».5 De gekozen maatregelen om de systemen te beveiligen volgt uit de risicoanalyse van de te beveiligen informatie. De Minister van Justitie en Veiligheid heeft de Kamer per brief op 31 januari geïnformeerd over de voortgang van de implementatie van de richtlijn.
Daarnaast vereisen de Baseline Informatiebeveiliging Overheid (BIO) en de voor de overheid verplichte ISO-standaarden6 dat nieuwe dreigingen en risico’s worden opgenomen in het risicomanagementproces. Deze standaarden bevatten normen ten aanzien van beleid en beheer van cryptografie. Ook andere eisen zorgen ervoor dat organisaties moeten starten met het beheersbaar maken van de dreiging van de quantumcomputer voor cryptografie – die daar kwetsbaar voor is. Een voorbeeld is de eis rondom het beheersen van kwetsbaarheden.
Vraag 5

Welke ondersteuning wordt er nu vanuit de Rijksoverheid geboden aan organisaties om zich voor te bereiden op de komst van quantumcomputers en de effecten op encryptie?

De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van quantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen. Nu beginnen met voorbereiden is dan ook noodzakelijk om risico’s, inspanning en kosten te kunnen spreiden. Daarom is een Rijksbreed samenwerkingsprogramma opgezet: quantumveilige Cryptografie (QvC-Rijk). Hierover heb ik u in mijn brief van afgelopen november geïnformeerd7
Vraag 6

Welke stappen kunnen organisaties nu al nemen om gegevens te beschermen tegen de komst van quantumcomputers?

Veel (overheids)organisaties en IT-leveranciers moeten zich nu al voorbereiden op risico’s die de komst van de quantumcomputer met zich meebrengen. Bijvoorbeeld organisaties die data verwerken, die over langere tijd nog vertrouwelijk moeten blijven zoals medische data of bedrijfsgeheime data. Of organisaties die systemen met een lange levensduur aanbieden, zoals bijvoorbeeld industriële automatisering8.
De volgende acties kunnen nu al door bedrijven en (overheids)instanties ondernomen worden:
De volgende maatregelen kunnen worden getroffen om wijzigingen voor te bereiden, die op een later moment noodzakelijk zullen zijn:
Vraag 7

In hoeverre wordt er internationaal of in Europees verband samengewerkt aan de voorbereiding van versterkte encryptie(-vereisten) voor de komst van quantumcomputers?

Een heel bekende samenwerking op dit vlak is de Amerikaanse National Institute of Standards and Technology competitie voor Post quantum cryptografie9. Nederland heeft ook een inzending gedaan, welke is geselecteerd (CRYSTALS-KYBER)10 om in de nieuwe wereldwijde standaarden op te nemen.
Daarnaast wordt door de wetenschap ook op dit onderwerp internationaal samengewerkt (zie vraag 8).
Met de Franse en Duitse nationale informatiebeveiligingsinstituten bestaan onder andere vanuit de Rijksoverheid al langer samenwerkingen generiek op cybersecurity en ook cryptografie. Momenteel wordt besproken op welke onderwerpen de samenwerking en kennisdeling op het gebied van de quantumdreiging geïntensiveerd kunnen worden.
Vraag 8

Welk onderzoek wordt er nu verricht naar quantumcomputing, en meer specifiek naar de gevolgen voor encryptie?

Departementen hebben gezamenlijk geld beschikbaar gesteld voor het oplossen van een aantal vraagstukken over cybersecurity. Dit heeft geleid tot een programma: Cybersecurity – naar een veilig en betrouwbaar digitaal domein11.
Binnen dit programma lopen 2 onderzoeken op het vlak van cryptografie:
Doel van dit onderzoek is om quantumveilige PKI-systemen te ontwikkelen en sector-gebaseerde groeipaden te leveren die organisaties zullen helpen hun systemen naar een quantumveilige toekomst te migreren. Dit gebeurt in samenwerking met koplopers in de telecommunicatie, financiële dienstverlening, zorg en publieke sector.
Doel van dit onderzoek is het ontwerpen van nieuwe algoritmen en siliciumchips met inherente bescherming tegen fysieke aanvallen, en het ontwikkelen van nieuwe simulatie- en evaluatietechnieken voor fysieke beveiliging. PROACT zal daarom bijdragen aan een verhoogde beveiliging van onze persoonlijke en bedrijfsgevoelige gegevens.
Op veel meer plekken wordt op dit vlak onderzoek gedaan, zowel door onderzoek en wetenschap, maar ook door private partijen. Tijdens congressen wordt hierover kennis gedeeld. Een recent voorbeeld hiervan in Nederland is het congres van het PKI-consortium van afgelopen november. Het PKI-consortium heeft dit congres georganiseerd samen met de Rijksoverheid (Logius) en onderzoeksorganisaties (Centrum voor Wiskunde en Informatica- CWI- en TNO)12.
Vraag 9

Welke maatregelen neemt de Staatssecretaris op korte termijn ter voorbereiding op de komst van quantumcomputers?

Onder regie van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties wordt de migratie naar quantumveilige cryptografie binnen de Rijksoverheid voorbereid. Voor wat betreft het programma quantumveilige Cryptografie Rijk (QvC-Rijk): zie antwoord bij vraag 5.
De AIVD (Algemene Inlichtingen- en Veiligheidsdienst), het NCSC (Nationaal Cyber Security Centrum), CIO-Rijk (directie Chief Information Office- Rijk) en EZK (Ministerie van Economische Zaken en Klimaat) ontwikkelen hiervoor kennisproducten vanuit de taken die zij invullen. Dit gebeurt in onderlinge samenwerking en afstemming.
In brede zin maakt het voorbereiden op quantumveilige cryptografie deel uit van de Nederlandse Cybersecuritystrategie 2022–202813. Deze stelt onder andere dat, om de digitale veiligheid van Nederland nu en in de toekomst afdoende te kunnen beschermen, de ontwikkeling en toepassing van kennis en kunde op het gebied van cybersecurity continu worden versterkt. Intensieve en duurzame samenwerking tussen overheid, bedrijfsleven en kennisinstellingen is hiervoor essentieel. Het publiek-private samenwerkingsplatform dcypher, onder verantwoordelijkheid van EZK, speelt hier voor de overheid een centrale rol in, en legt de basis voor agendering en programmering van meerjarige onderzoeks- en innovatietrajecten met overheidspartijen, bedrijven en kennisinstellingen.

4 januari 2024 - 16 januari 2024

12 dagen

De opvolging van de aanbevelingen bij het rapport “De archivering van chatberichten bij het Ministerie van Algemene Zaken”
	Sandra Palmen (NSC)
	Mark Rutte (minister-president , minister algemene zaken) (VVD)

Bronnen

1. Inspectie Overheidsinformatie en Erfgoed, »Brief bevindingen opvolgin…
2. Kamerstuk 32 802, nr. 70

Vraag 1

Bent u op de hoogte van de brief van 22 november 2023 van de Inspectie Overheidsinformatie en Erfgoed over de «bevindingen opvolging aanbevelingen inspectie»? Dat gaat over de «De archivering van chatberichten bij het Ministerie van Algemene Zaken» en het onder verlengd toezicht plaatsen van het ministerie1

Ja.
Vraag 2

Welke instanties binnen de overheid vallen onder verlengd toezicht van de Inspectie?

Navraag bij de Inspectie Overheidsinformatie en Erfgoed heeft opgeleverd dat het Ministerie van Algemene Zaken en de dienst Toeslagen van de Belastingdienst vallen onder verlengd toezicht.
Vraag 3

Hoe waardeert u het dat uw ministerie onder verlengd toezicht staat?

Het verlengde toezicht draagt in zijn algemeenheid bij aan het op een goede wijze uitvoeren van de aanbevelingen van de Inspectie. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om daar een oordeel over te hebben.
Vraag 4

De Inspectie geeft aan meer voortgang te hebben verwacht, onder meer op de invoering van het nieuwe Document Management Systeem (DMS) en ontwikkeling van een kwaliteitssysteem. Kunt u zich vinden in deze conclusie?

Het is helaas niet mogelijk gebleken om het nieuwe DMS-systeem conform planning in te voeren. Het Ministerie van Algemene Zaken zal het nieuwe DMS-systeem invoeren zodra dit verantwoord is met het oog op de uitvoering van haar taken. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om een oordeel over hun conclusie te hebben.
Vraag 5

Kunt u per aanbeveling uit het oorspronkelijke rapport uit september 2022, «De archivering van chatberichten bij het Ministerie van Algemene Zaken» aangeven hoe die is opgevolgd en wat de huidige stand van zaken is?

Zie hiervoor de bij deze brief gevoegde bijlage.
Vraag 6

Kunt u, na meer dan twee jaar debat en ondertoezichtstelling van het ministerie, nu aangeven hoe de berichten van de Minister-President systematisch, toetsbaar en doorzoekbaar worden gearchiveerd?

De Inspectie voor Overheidsinformatie en Erfgoed heeft onderzoek gedaan naar de archivering bij het Ministerie van Algemene Zaken. Dit onderzoek is aangeboden aan het Ministerie van Algemene Zaken op 28 september 2022, en, met reactie, op 3 oktober 2022 aan de Kamer verzonden.2 Zoals ik heb gemeld in deze reactie op het Inspectierapport verwijder ik sinds eind mei 2022 geen chatberichten meer en worden deze bewaard ten behoeve van veiligstelling en archivering. De chatberichten van de Minister-President worden per oktober 2023 ook opgeslagen in het bestaande document management systeem. Voor de goede orde zij vermeld dat voordien berichten werden gearchiveerd conform de toen geldende richtlijn inzake het bewaren van chatberichten.3
Het Ministerie van Algemene Zaken volgt voorts het rijksbrede beleid ten aanzien van archivering van chatberichten van bewindspersonen. Zie hiervoor onder andere de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 6 april 20234, het antwoord op vragen van de vaste Kamercommissie van 23 mei 20235 en de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.6 Ik wijs er voorts op dat op dit moment een voorstel tot wijziging van de Archiefwet bij de Tweede Kamer aanhangig is, waarin de vraag naar het archiveren van chatberichten ook aan de orde is gekomen.7
Vraag 7

Indien de parlementaire enquêtecommissie Corona de berichten van de Minister-President zou vorderen, die betrekking hebben op de aanpak van de coronacrisis, krijgt de commissie dan binnen twee weken geordend alle berichten, inclusief de berichten met sleutelfiguren in deze (zoals dhr. Van Dissel, Minister De Jonge, de vicepremiers, de relevante raadsadviseurs), vanaf het begin van de crisis?

Uiteraard zal aan een vordering van een parlementaire enquêtecommissie, waar nodig na overleg en voor zover mogelijk, worden voldaan.
Vraag 8

Kunt u uw antwoord toelichten?

Zie antwoord vraag 7.
Vraag 9

Kunt u het toegezegde gehanteerde afbakeningsdocument (met de instructies die concreet opgevolgd zijn) in de periode maart 2020 tot 30 september 2021 aan de Kamer doen toekomen?

Aangenomen wordt dat hier niet is bedoeld op het afbakeningsdocument met betrekking tot de hotspot archivering rond corona dat immers de Kamer reeds is verstrekt (TK 2022–2023, 25 295 nr. 1986), maar dat is gedoeld op de werkinstructie van het Ministerie van Algemene Zaken van 10 juli 2020 (zie «De archivering van chatberichten bij het Ministerie van algemene zaken», Inspectie overheidsinformatie en erfgoed, p 39). In de bijlage vindt u de instructie die hiertoe op 10 juli 2020 door de secretaris-generaal is verspreid.
Vraag 10

Vindt de archivering van de berichten van de Minister-President nu conform de Archiefwet plaats?

Zie het antwoord op vraag 6.
Vraag 11

Kunt u dit antwoord uitgebreid toelichten en daarin ook ingaan op de tijdelijke instructie voor alle bewindspersonen voor het archiveren van chatberichten?

Zie het antwoord op vraag 6.
Vraag 12

Het nieuwe DMS met de naam DIAZ heeft als doel ¨dat na de invoering van DIAZ de medewerkers van de afdelingen meer zelf moeten opslaan». Deelt u de visie dat medewerkers niet belast zouden moeten worden met extra administratieve taken?

Van medewerkers van Algemene Zaken wordt verwacht dat zij conform de Archiefwet de relevante informatie in beheer brengen door deze in het DMS te plaatsen. Het nieuwe DMS is gebruiksvriendelijker, waardoor de kwaliteit van het onder beheer brengen van informatie op een natuurlijke manier hoger wordt. De geciteerde zin heeft betrekking op de benodigde ondersteuning bij het uitvoeren van deze handelingen en impliceert geen verdere belasting van medewerkers met extra administratieve taken.
Vraag 13

Wat betreft de aanbevelingen voor de archivering van chatberichten is het Ministerie van Algemene Zaken nog afwachtend aldus de Inspectie. Hoe verklaart u deze afwachtende houding, afgezien van het wachten op een Rijksbrede invulling?

Zie het antwoord op vraag 6.
Vraag 14

In het verslag zoals vastgesteld op 24 mei 20232 geeft u bij vraag 39 aan dat «de uitdagingen tweeledig zijn». In hoeverre vind u het een uitdaging om de privacy van burgers en medewerkers te beschermen? Hoe gaat u deze uitdagingen aan?

De uitdaging in de uitvoering van het informatiebeheer zit, op basis van navraag bij het Nationaal Archief, vooral in het gebruik van chatapps. Zie hiervoor ook de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.9 In chatapps loopt zakelijke, privé en partijpolitieke communicatie regelmatig door elkaar heen. Dit zorgt voor vraagstukken rond een goede uitvoering van informatiebeheer rekening houdend met de eisen uit o.a. de Archiefwet, de Wet open overheid (Woo) en de Algemene verordening gegevensbescherming (AVG). Privé en partijpolitieke chatconversaties vallen niet onder de Archiefwet en horen dus niet thuis in het archief van de organisatie.
Voor een goede uitvoerbaarheid van het informatiebeheer is het noodzakelijk dat het uitgangspunt om privé, partijpolitieke en zakelijke conversaties aan de voorkant zoveel mogelijk te scheiden op termijn wordt gerealiseerd. Hiermee wordt voorkomen dat privé en partijpolitieke conversaties met onder andere burgers en medewerkers in het archief van de organisatie worden opgenomen.
Vraag 15

U geeft in hetzelfde verslag aan dat het Nationaal Archief contact heeft met andere landen over de toepassing van de sleutelfunctiemethodiek. Waarom is Nederland (in navolging van België) nog steeds niet over gegaan tot invoering van de sleutelfunctiemethodiek?

De sleutelfunctiemethodiek is, op basis van navraag bij het Nationaal Archief, in de Verenigde Staten ontwikkeld en daar een tiental jaar geleden voor e-mail ingevoerd. Sinds kort wordt deze methodiek er ook toegepast op chatberichten. Europese landen die deze methodiek willen overnemen moeten echter rekening houden met de verhoudingsgewijs strengere Europese en nationale privacywetgeving en dus passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Dat omvat in Nederland onder andere het uittekenen van procedures, het ontwikkelen van aangepaste technische voorzieningen en het betrekken van de medezeggenschap. Dat is een complexe opgave, die veel tijd en capaciteit vraagt. Nederland is Europees niettemin één van de voorlopers, zowel voor e-mail als chat: andere Europese landen volgen de Nederlandse aanpak met interesse of wisselen ervaringen met het Nationaal Archief uit. Dat geldt ook voor België, dat op dit moment de invoering van de sleutelfunctiemethodiek voor e-mail onderzoekt en geleidelijk zal uitrollen. Meer informatie is te vinden op de website van het Rijksarchief in België: https://arch.arch.be/index.php?l=nl&m=ambtenaar&r=termen-en-thema-s&sr=e-mailarchivering.
In Nederland is de sleutelfunctie methodiek voor gebruik bij e-mail in 2018 vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR). Daarbij is een modelselectielijst voor e-mail ontwikkeld voor gebruik bij de verschillende organisaties. Voor e-mail zijn vervolgens de eerste selectielijsten in 2023 vastgesteld. Voor publicatie van deze lijsten wordt gewacht tot ook de technische voorziening gereed is. Zonder de passende technische en organisatorische maatregelen, zoals eerder vermeld kan deze methodiek niet daadwerkelijk worden toegepast.
Voor de archivering van chatberichten ontwikkelt het Nationaal Archief momenteel een modelselectielijst. De modelselectielijst wordt binnenkort met de Tweede Kamer gedeeld. Ook hier geldt dat op basis van de modelselectielijst verantwoordelijke overheidsorganen een eigen selectielijst zullen opstellen. Naast de selectielijst moeten ook hier de passende technische en organisatorische maatregelen genomen worden. Hier wordt vanuit het Programma Open Overheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan gewerkt. Het Nationaal Archief is hierbij nauw betrokken.
Vraag 16

Er is sprake van een innovatielab bij het Nationaal Archief, waar gekeken wordt naar het verbeteren van technieken en naar verschil tussen applicaties in eigen beheer en extern (niet in eigen) beheer waar een marktverkenning naar wordt gedaan. Welke oplossingen worden voor welk probleem precies gezocht in een marktverkenning?

Er lopen, op basis van navraag bij het Nationaal Archief, twee trajecten door elkaar. Het Nationaal Archief heeft zich in een innovatielab geconcentreerd op de duurzame toegankelijkheid van tekstberichten. Hier zijn een aantal prototypes bedacht, ontwikkeld en voorgelegd aan een begeleidingscommissie. In een volgende fase worden deze prototypes verder uitgewerkt. Meer informatie hierover is hier vinden: https://kia.pleio.nl/groups/view/7f52406f-53bf-4c10-a1d3-0d2f5b16c1c7/innovatielab-informatiehuishouding/blog/view/cdcaf361-fe27-4ad5-8d60-1e7dc1753a7b/beoordelingscommissie-prototypes-team-tekstberichten.
Het innovatielab heeft geen onderzoek en marktverkenning gedaan naar applicaties in eigen beheer en extern.
Het onderzoek en de markverkenning zijn uitgevoerd door een projectgroep van het Rijksprogramma voor Duurzame digitale Informatiehuishouding (RDDI) (https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering). Het Nationaal Archief maakt deel uit van deze projectgroep. In de marktverkenning zijn methodieken verkend voor het veiligstellen van chatberichten. Deze markverkenning is afgerond en het resultaat en de aspecten die zijn meegenomen vindt u hier: https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering/documenten/verslagen/2023/12/18/verslag-verkenning-van-methodieken-voor-veiligstellen-chatberichten
Vraag 17

Op welke termijn worden resultaten van deze marktverkenning verwacht?

Zie het antwoord op vraag 16.
Vraag 18

Zou u de Kamer uiterlijk twee dagen voor de vaststelling van de begrotingsstaat van het Ministerie van Algemene Zaken (naar verwachting 18 januari 2024) de beantwoording van deze vragen willen doen toekomen?

Dit is mijn streven geweest.

8 december 2023 - 21 december 2023

13 dagen

De Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie
	Jesse Six Dijkstra (NSC), Femke Zeedijk-Raeven (D66)
	Micky Adriaansens (minister economische zaken) (VVD)

Bronnen

1. https://www.nd.nl/varia/varia/1203328/nederland-en-andere-landen-moge…
2. https://www.telegraaf.nl/financieel/187189509/eindelijk-groen-licht-b…

Vraag 1

Kunt u in algemene zin een toelichting geven op de beoogde Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie?1 2

Het kabinet heeft op 21 september 2021 (Prinsjesdag) uw Kamer geïnformeerd over de voorgenomen Nederlandse deelname aan het Important Project of Common European Interest Next Generation Cloud Infrastructure and Services (IPCEI CIS) en de beslissing hiervoor 70 miljoen euro ten behoeve van Nederlandse projecten beschikbaar te stellen. Het kabinet vindt Europese innovatie op dit terrein van groot belang voor het bedrijfsleven en met name de maakindustrie die, ook in Nederland, voor processen en productie een steeds grotere behoefte heeft aan nieuwe, concurrerende en veilige Europese cloudtoepassingen.
Een IPCEI is een geïntegreerd Europees project dat bestaat uit meerdere nationale projecten van bedrijven en/of onderzoeksinstellingen uit deelnemende lidstaten, dat beoogt een belangrijke Europese waardeketen te realiseren of in stand te houden. Hierdoor wordt de Europese autonomie verstevigd. De IPCEI CIS is het eerste belangrijke project van gemeenschappelijk Europees belang op het gebied van cloud- en edge-computing. Het betreft de ontwikkeling van het eerste interoperabele en vrij toegankelijke Europese ecosysteem voor gegevensverwerking.
Het project moet zorgen voor de Europese ontwikkeling van gegevensverwerkingscapaciteit, software en instrumenten voor het delen van gegevens waarmee onderling verbonden, energie-efficiënte en betrouwbare cloud- en edge-technologie en samenhangende diensten voor het verwerken van gedistribueerde gegevens kunnen worden ontwikkeld. De innovatie in het kader van IPCEI CIS zal een nieuw spectrum van mogelijkheden voor Europese bedrijven en burgers bieden en zo de digitale en groene transitie in Europa bevorderen.
Hiermee past onze inzet binnen de IPCEI CIS bij bestaand beleid, zoals de kabinetsvisie op datadelen tussen bedrijven3, de Europese datastrategie4 de Strategie Digitale Economie5 en de Europese verklaring voor een nieuwe generatie edge en cloud6. Ook wordt met de IPCEI CIS een aantal marktfalens geadresseerd. Deze economische problematiek is onder andere door de Autoriteit Consument en Markt (ACM) onderzocht en beschreven in een uitgebreide marktstudie7. De Nederlandse IPCEI CIS-projecten worden inhoudelijk in de Kamerbrief die gelijktijdig met deze beantwoording wordt verzonden verder beschreven.
Op basis van een rangschikking zijn drie Nederlandse projecten in aanmerking voor subsidie gekomen. De Nederlandse projecten maken deel uit van het IPCEI CIS ecosysteem8. Hier is ook door de Europese Commissie over gecommuniceerd bij de aankondiging van de goedkeuringsbesluiten voor steun aan bedrijven op basis van het IPCEI-steunkader. Dit is een proces geweest waar door de deelnemende bedrijven, de Nederlandse overheid en de Europese Commissie zorgvuldig gedurende een periode van twee jaar aan is gewerkt. Deze subsidie is inmiddels door EZK verstrekt.
Vraag 2

Kunt u een overzicht geven van de waardeketen voor cloudtechnologie van datacenters, inclusief toeleveranciers, via clouddienstverleners, tot aan gebruikers hiervan?

Het gaat bij cloudtechnologie om IT-diensten die via het internet worden aangeboden waarbij de gebruiker geen hardware en software aanschaft, maar betaalt voor het daadwerkelijke gebruik van één of meerdere diensten die op de infrastructuur van een cloudaanbieder draaien. Deze infrastructuur is in de regel in een datacenter gehuisvest. Door deze opzet kan de gebruiker zijn of haar gebruik makkelijk op- en afschalen.
Clouddiensten worden grofweg in drie categorieën verdeeld: (1) Infrastructuur as a Service (IaaS), (2) Platform as a service (PaaS) en (3) Software as a Service (SaaS), waarbij de scheidslijnen tussen die drie niet altijd even scherp te trekken zijn. Onderstaande afbeelding geeft schematisch weer hoe deze algemene waardeketen van clouddiensten eruit ziet en wat de verschillende categorieën inhouden. Het is niet mogelijk een uitputtende beschrijving te geven van de waardeketen van cloud in Nederland.
Figuur 1: Een schematische weergave van de verschillende lagen in cloudtechnologie. Bron: ACM
Vraag 3

Wat zijn de grootste bedrijven in deze keten in Nederland, Europa en wereldwijd?

Clouddiensten worden aangeboden door een aantal van de grootste bedrijven ter wereld, zoals Amazon, Microsoft en Google. Andere actieve spelers op de Europese en Nederlandse markt voor clouddiensten zijn bijvoorbeeld IBM, Oracle, VMware, OVHcloud, Scaleway en het Nederlandse Leaseweb. De grootste cloudaanbieders zijn actief op zowel de IaaS-, PaaS- en SaaS-laag, en zijn dus verticaal geïntegreerd. De ACM9 stelt vast dat de clouddiensten van de twee grootste partijen, Microsoft Azure en Amazon Web Services (AWS), in zowel Nederland als Europa, op de IaaS- en PaaS-laag over een groot marktaandeel beschikken (beide 35 à 40 procent). Google is de sterke derde speler op de Nederlandse en Europese markt. Er is sprake van een hoge mate van concentratie op de markt voor clouddiensten. Daarbij leveren Nederlandse bedrijven vaak diensten gebaseerd op infrastructuur die door derden worden geleverd.
Vraag 4

Op welke control points in de keten heeft Nederland een goede concurrentiepositie en op welke zouden we die kunnen ontwikkelen?

Over het algemeen hebben Nederlandse cloudbedrijven een klein marktaandeel in alle lagen van de waardeketen, hoewel Nederlandse bedrijven op het gebied van IaaS een relatief sterkere positie hebben. Daarmee zijn de strategische controlepunten in de waardeketen van cloudbedrijven, voor zover die er zijn, niet direct de basis voor de Nederlandse concurrentiepositie. De IPCEI CIS is gericht op het stimuleren van een nieuwe generatie innovatie edge- en cloudoplossingen, waarbij beoogd wordt dat de concurrentiepositie van deelnemende Europese bedrijven verbetert. Zo kunnen deze bedrijven op het gebied van bijvoorbeeld federatieve cloudoplossingen, dus het kunnen verbinden van clouddiensten van verschillende aanbieders met elkaar, en nieuwe edge-technologieën een sterkere marktpositie krijgen. Hierbij wordt niet direct een focus gelegd op het creëren van een sterke positie van specifiek Nederlandse bedrijven, maar wordt gewerkt aan het creëren van een sterke Europese waardeketen over de verschillende lagen heen. Europese integratie is ook een voorwaarde om staatssteun onder het IPCEI steunkader te mogen verlenen.
Vraag 5

Bent u voornemens om (een deel van) de door de Nederlandse regering gereserveerde € 70 miljoen in te zetten om een soevereine Nederlandse clouddienst te realiseren?

Digitale infrastructuur zoals cloud bestaat uit wereldwijde toepassingen en verbindingen waarin een uitsluitend Nederlandse (toonaangevende of soevereine) dienst op dit moment niet voor de hand ligt. Het gaat bij de IPCEI CIS om het behalen van Europese doelstellingen op het gebied van cloudinnovatie waarbij Nederlandse deelname op basis van kennis, innovatie en financiering geen vanzelfsprekendheid vooraf is. Het kabinet vindt Nederlandse deelname echter van groot belang vanuit innovatieoogpunt, maar ook voor het toekomstig gebruik van te ontwikkelen Europese clouddiensten door Nederlandse (maakindustrie)bedrijven. Daarom heeft mijn ministerie zich samen met betrokkenen uit de Nederlandse cloudsector, actief ingezet voor deelname en financiering gereserveerd.
De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. De middelen worden ingezet om Nederlandse bedrijven en onderzoeksinstellingen een bijdrage te laten leveren aan een nieuwe generatie innovatieve cloudoplossingen, zoals ook beschreven staat in de IPCEI subsidieregeling10. Hiervan kunnen zowel Nederlandse bedrijven als overheden straks gebruik maken.
Vraag 6

Welke governance is van toepassing om te garanderen dat het publieke en private geld terecht komt bij de juiste bedrijven? Welke rol zullen de regionale ontwikkelmaatschappijen hierbij spelen?

De Nederlandse bedrijven en onderzoeksinstellingen die in de IPCEI CIS subsidie krijgen zijn geselecteerd op basis van de criteria uit de IPCEI subsidieregeling11. Steun aan individuele bedrijven blijft beperkt tot wat noodzakelijk en evenredig is en niet zorgt voor marktverstoring. De Europese Commissie heeft zich er van vergewist dat de staatssteun die bedrijven mogen ontvangen in het kader van het IPCEI steunkader in overeenstemming is met de subsidiabele kosten van de projecten in relatie tot de zogenoemde «financieringskloof». Dit zijn de niet rendabele kosten van een project. De monitoring van de met publieke middelen gefinancierde projecten wordt in Nederland uitgevoerd door de RVO, hier spelen de regionale ontwikkelmaatschappijen geen rol bij. Ook op Europees niveau zijn er voor de IPCEI CIS verschillende governance mechanismes ingericht om te waarborgen dat publieke middelen op een effectieve manier worden ingezet en het geheel aan Europese projecten goed op elkaar wordt afgestemd. Ook wordt op Europees niveau ingezet op een transparant, inclusief en sneller ontwerp van belangrijke projecten van gemeenschappelijk Europees belang.
Vraag 7

In welke mate heeft dit initiatief raakvlakken met andere initiatieven van het Ministerie van EZK, zoals de Agenda Digitale Open Strategische Autonomie en de Nationale Technologiestrategie?

De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. Daarmee sluit het ook aan bij de agenda Digitale Open Strategische Autonomie (DOSA) en de Nationale Technologiestrategie. Europa is momenteel erg afhankelijk van cloudaanbieders uit derde landen, wat impact kan hebben op onze nationale veiligheid, ons verdienvermogen en andere maatschappelijke belangen. In het bijzonder is controle behouden over strategische en gevoelige gegevens een punt van toenemende aandacht. De doelstelling van het IPCEI-project van het verder ontwikkelen van Europese cloud- en edge-technologie kan bijdragen aan het verminderen van onze afhankelijkheid.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

648 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

19 september 2024 - 14 november 2024

56 dagen

De aanval op Nederlandse apparaten door Chinese staatshackers

Hanneke van der Werf (D66), Barbara Kathmann (PvdA)

Zsolt Szabó (VVD), Caspar Veldkamp (minister ) (NSC), David van Weel (minister )

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

19 september 2024 - 10 oktober 2024

21 dagen

Het platform DBDAAP

Pepijn van Houwelingen (FVD)

Gijs Tuinman (BBB)

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

5 september 2024 - 7 oktober 2024

32 dagen

Het bericht ‘Pleidooi voor AI-richtlijn op scholen: 'Risico's groot, bewustzijn laag'’

Ilana Rooderkerk (D66)

Mariëlle Paul (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

Vraag 13

23 juli 2024 - 26 augustus 2024

34 dagen

De Kamerbrief 29338-276 over het Nationaal Versterkingsplan van Micro-chiptalent als reactie op het advies van speciaal gezant microchipindustrie Dhr. H. de Jong

Rosanne Hertzberger (VVD), Femke Zeedijk-Raeven (D66)

Dirk Beljaarts (minister ) , Mariëlle Paul (VVD)

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

Vraag 13

Vraag 14