Vraag 1

Klopt het bericht dat het bedrijf Carrier IQ miljoenen smartphones heeft uitgerust met geheime spyware, zoals vermeld staat in het artikel «Geheime keylogger op 141 miljoen smartphones»?1

Vanuit Nederland valt niet wereldwijd te onderzoeken op hoeveel smartphones software van Carrier IQ is geïnstalleerd. Carrier IQ geeft zelf aan dat het software voor mobiele apparaten zoals smartphones levert waarmee de prestaties van het apparaat worden geteld en samengevat (www.carrieriq.com). Het bedrijf stelt dat daarbij geen toetsaanslagen worden vastgelegd noch «tracking tools» worden verschaft. Deze gegevens worden volgens Carrier IQ versleuteld verstuurd naar aanbieders of fabrikanten die klant zijn van het bedrijf, die daarmee hun dienstverlening aan de gebruiker van het apparaat willen verbeteren.

Vraag 2

Bent u ervan op de hoogte of dit bedrijf ook in Nederland gegevens verzamelt door smartphones te voorzien van software die dienst doet als keylogger, sms-berichten onderschept en sms-berichten en https-verkeer registreert? Zo ja, worden er door dit bedrijf wetten en regels overtreden? Zo nee, deelt u de mening dat een verbod voor het installeren van software die, zonder medeweten van de gebruiker, een registratie maakt van toetsaanslagen, sms-berichten en https-verkeer, wenselijk is?

Gezien de grote aantallen in gebruik zijnde smartphones, waarvan een deel buiten Nederland is gekocht en de grote vraag bij het publiek naar diverse veranderende typen en modellen smartphones, is het niet mogelijk om een 100% sluitend onderzoek naar alle in Nederland voorkomende smartphones te doen.
Vanuit het Ministerie van EL&I en vanuit de Onafhankeljke Post en Telecommunicatie Autoriteit is afzonderlijk navraag gedaan bij aanbieders in Nederland van smartphones naar het gebruik van vergelijkbare programmatuur en vergelijkbare werkwijzen. Daarnaast heeft de branchevereniging ICT~Office navraag gedaan bij zowel aanbieders als fabrikanten. Deze vraagstellingen zien dus op meer dan alleen de programmatuur van Carrier IQ. De resultaten daarvan geven aan dat voor zover deze aanbieders en fabrikanten bekend is dergelijke programmatuur niet aanwezig is op smartphones op moment van levering aan of van aankoop door de gebruiker in Nederland. Om die reden bestaat er voor mij geen aanleiding om na te gaan hoe een eventueel verbod op het installeren van de in de vraag omschreven software zich verhoudt tot de al bestaande bepalingen uit de Wet computercriminaliteit en de Wet bescherming persoonsgegevens.

Vraag 3

Is het waar dat Carrier IQ de verzamelde data niet alleen doorgeeft aan haar klanten maar deze informatie ook verkoopt aan derden? Zo ja, deelt u de mening dat dit zeer onwenselijk is omdat het een inbreuk doet op de privacy en de veiligheid van de smartphone-eigenaar?

Carrier IQ geeft zelf aan dat het geen informatie verkoopt aan derden (www.carrieriq.com).
Ik verwijs naar mijn antwoord op vraag 2. Mocht toch blijken dat dergelijke programmatuur voorkomt op in Nederland geleverde smartphones, dan ligt het op de weg van het College bescherming persoonsgegevens, de Onafhankelijke Post en Telecommunicatie Autoriteit of het Openbaar Ministerie om te beoordelen of er vanuit hun verantwoordelijkheden aanleiding is onderzoek te doen naar het verzamelen van gegevens door Carrier IQ en de eventuele doorgifte van gegevens aan derden. Ik verwijs tenslotte naar onze antwoorden op eerdere schriftelijke vragen van het lid Gesthuizen van uw Kamer (Kamerstukken II, 2010–2011, Aanhangsel handelingen, nr. 2427, antwoord 3).

Vraag 4

Hoe kijkt u aan tegen het feit dat het onmogelijk blijkt te zijn om de geheime afluisterdienst uit te zetten via een normale, door de consument te begrijpen manier? Deelt u de mening dat deze software op iedere smartphone kosteloos verwijderd dient te worden? Op welke manier kan de consument eventueel geleden schade op het bedrijf verhalen?

Gezien mijn antwoord op vraag 2 zijn deze vragen voor zover mij thans bekend voor Nederland niet aan de orde. Mocht toch blijken dat de programmatuur voorkomt op in Nederland geleverde smartphones, dan is van belang dat volgens berichtgeving op internet de handelingen die nodig zijn om de software uit te zetten niet in alle gevallen gelijk zijn.
Programmatuur dient, waar dat relevant is, door de gebruiker kosteloos verwijderbaar te zijn. Consumenten kunnen met hun klachten over een product terecht bij de verkoper van het product of bij de dienstverlener, die het product in combinatie met een dienst heeft aangeboden. Er bestaat recht op schadevergoeding indien de wederpartij toerekenbaar tekort is geschoten in de nakoming van een verbintenis en de consument door deze toerekenbare tekortkoming schade heeft geleden. De consument zal deze schade moeten kunnen aantonen. De beoordeling van deze aspecten en of schadevergoeding dient te worden toegekend is in eerste instantie aan partijen en uiteindelijk aan een geschillencommissie of aan de rechter.

Vraag 5

Bent u ervan op de hoogte of de smartphones die binnen overheidsinstanties gebruikt worden voorzien zijn van deze spyware? Kunt u garanderen dat er geen overheidsinformatie afgetapt is die de veiligheid van de Nederlandse bevolking in gevaar kan brengen? Kunt u uw antwoord toelichten?

De verschillende overheden hebben ook binnen het contract van OT2010 de mogelijkheid om zelf de soorten toestellen te kiezen die het beste bij deze organisaties passen. Hierdoor zijn vele soorten toestellen van veel merken bij de overheid in gebruik. Gezien mijn antwoord op vraag 2 zijn er momenteel geen aanwijzingen dat de veiligheid van de Nederlandse bevolking in gevaar is gebracht als gevolg van deze programmatuur. Ik acht het wel van belang om dit onderwerp via de geëigende kanalen (zoals het I-NUP-programma en het Kenniscentrum Nederlandse Gemeenten voor de gemeenten) onder de aandacht laten brengen.

Vraag 6

Is er bij u andere software bekend die via smartphones en tablets privacygevoelige gegevens bijhoudt, opslaat of anderszins verzamelt? Bestaat dergelijke software ook voor Iphone-apparatuur?

Ik verwijs naar mijn antwoord op vraag 2. Er bestaat wel programmatuur die door fabrikanten gebruikt wordt ten behoeve van storingsdiagnose, reparatie of herstel. Dit soort programmatuur bestaat overigens voor ieder type ICT apparatuur bedoeld voor het invoeren van gegevens door de gebruiker. De fabrikant dient de klant te informeren als dergelijke programmatuur is geïnstalleerd of ingezet gaat worden, waarbij de klant altijd de gelegenheid moet worden geboden dit te weigeren.

Vraag 1

Klopt het bericht dat Google, Apple en andere bedrijven ongevraagd gebruik maken van Android telefoons van consumenten om wifi-locatie data te verzamelen voor GPS-diensten, zoals vermeld staat in het artikel «How Google -and everyone else- gets Wi-Fi location data»?1

Fabrikanten van besturingssystemen voor mobiele telefoons waaronder Google (Android), Apple (iOS) en Microsoft (Windows Mobile) zijn in staat om via de draadloze netwerktoegang Wifi-routers te detecteren en gegevens over deze Wifi-routers (zoals MAC-adres en signaalsterkte van de Wifi router) te verzamelen en op te slaan. De genoemde fabrikanten gebruiken de gegevens over (de nabijheid van) wifi-routers als bron voor geolocatiediensten, vaak in combinatie met andere bronnen zoals GPS (satellietplaatsbepaling) en zendmasten (plaatsbepaling door contact met zendmasten van telecom operators).

Vraag 2

Bent u ervan op de hoogte of deze bedrijven ook in Nederland ongevraagd data verzamelen? Zo ja, worden er door deze bedrijven wetten en regels overtreden? Zo nee, deelt u de mening dat een verbod voor ongevraagd en ongeautoriseerde data- verzameling over (in dit geval de locatie van) personen, en ook ongevraagd en ongeautoriseerd doorgifte van data aan derden, wenselijk is?

Nee. Een dergelijk specifiek verbod is niet nodig. De Wet bescherming persoonsgegevens biedt de toezichthouder voldoende ruimte om in een concreet geval een verbod op te leggen, mochten de omstandigheden daartoe aanleiding geven. Ik verwijs u in dit verband naar mijn brief aan uw Kamer van 20 december 2011 (Kamerstukken II 2011/12, 32 761, nr. 15).

Vraag 3

In hoeverre dienen bedrijven expliciet toestemming te vragen aan de eigenaar van de telefoons en tablets om gebruik te maken van de data van deze apparaten? Kunt u uw antwoord toelichten?

In het algemeen geldt dat de verplaatsingsgegevens van smartphones gevoelige gegevens zijn. De samenwerkende Europese toezichthouders op de bescherming van persoonsgegevens (verenigd in de Artikel 29-werkgroep) hebben in opinie WP185 van 16 mei 2011 (Opinion on geolocation services on smart mobile devices) vastgesteld dat voorafgaande toestemming de enige grondslag is voor het verzamelen en verwerken van verplaatsingsgegevens van mensen. In diezelfde opinie hebben de toezichthouders ook aangegeven dat bedrijven een gerechtvaardigd belang kunnen hebben bij het verzamelen en verwerken van (statische) gegevens met betrekking tot Wifi-routers, mits zij voldoende waarborgen aanbieden, zoals adequate informatie en een opt-out.

Vraag 1

Bent u bekend met het artikel: «5 misverstanden over Google's router opt-out»?1

Ja.

Vraag 2

Deelt u de analyse van het College bescherming persoonsgegevens (Cbp) dat ten aanzien van het verzamelen van routerdata artikel 8 onder F, van de Wet bescherming persoonsgegevens (Wbp) van toepassing is en dat dus krachtens de Nederlandse wet een «opt-out» volstaat? Zo nee, welke andere interpretatie is er volgens u mogelijk en kan hieruit de verplichting voor een opt-in blijken? Bent u bereid hier nader onderzoek naar te doen, te meer het op grote schaal verzamelen en aggregeren van gegevens die in potentie de privacy kunnen schaden steeds vaker voor komt?

Ja. Artikel 8 onder f van de Wbp biedt een grondslag voor het verzamelen en verwerken van routerdata. De onderzochte verwerking betreft de combinatie van het MAC-adres (het unieke nummer van de wifi-router) in combinatie met de berekende locatie van de wifi-router. Deze verwerking is van andere aard dan bijvoorbeeld de verwerking van gegevens over surfgedrag met behulp van cookies of de locatiegegevens van smartphones. Deze verwerking brengt derhalve in tegenstelling tot gegevens die informatie verschaffen over het gedrag van de betrokkene geen grote inbreuk op de persoonlijke levenssfeer met zich mee.
Bij de belangenafweging tussen enerzijds de persoonlijke levenssfeer van betrokkenen en anderzijds het belang van de verantwoordelijken die gegevens willen verwerken speelt de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken een rol, evenals de waarborgen die de verantwoordelijke heeft getroffen voor een zorgvuldig gebruik van de gegevens. Een belangrijke waarborg is transparantie, duidelijke informatie aan betrokkenen voor welk gerechtvaardigd doel hun persoonsgegevens worden verzameld en verwerkt. Een andere veelvoorkomende waarborg is de mogelijkheid van een opt-out.

Vraag 3

Kunt u één of meer scenario’s schetsen waarbij het verzamelen en publiceren van Service Set Identifier (SSID)»s (in combinatie met samenhangende gegevens, zoals de locatie) resulteert in een aantasting van de privacy? Kunt u hierbij rekening houden met de mogelijkheid om deze gegevens met andere databestanden te combineren?

Het CBP heeft in zijn rapport van definitieve bevindingen als voorbeeld genoemd dat het MAC-adres van de wifi-router, eventueel samen met het SSID, in combinatie met de locatiegegevens gebruikt zou kunnen worden om een persoon te stalken. Het CBP heeft vastgesteld dat het verzamelen en verwerken van SSID’s niet noodzakelijk is voor het kunnen aanbieden van de geolocatiedienst, en heeft Google een last opgelegd om alle in Nederland verzamelde SSID’s te vernietigen.

Vraag 4

Deelt u de mening dat een «opt-in» (in tegenstelling tot een «opt-out») een veel kleinere inbreuk op de privacy inhoudt en dat een «opt-in», door bijvoorbeeld het SSID op «_yesmap» te laten eindigen, vanuit privacyperspectief een betere optie is dan de door Google voorgestelde «_nomap»? Zo nee, waarom niet? Denkt u dat huidige regelgeving volstaat?

Vanuit het perspectief van betrokkenen is een opt-in (toestemming) vaak te verkiezen boven een opt-out (verzet). Echter, zoals uiteengezet in mijn antwoord op vraag 2 biedt de Wbp naast het toestemmingsvereiste ook de mogelijkheid om te volstaan met een opt-out constructie. Het gaat dan om diensten, waarbij het bedrijfsbelang van de verantwoordelijke in het algemeen opweegt tegen het recht op bescherming van persoonsgegevens en de persoonlijke levenssfeer. Aangezien ik met het CBP van mening ben dat met het verzamelen van routergegevens geen aanzienlijke inbreuk op de privacy wordt gemaakt deel ik de in uw vraag verwoorde mening niet. In de reeds toegezegde brief aan uw Kamer naar aanleiding van de Motie Van Toorenburg e.a. (Kamerstukken II 2011/12 32 761, nr. 12) zal ik hier nader op ingaan.

Vraag 5

Deelt u de stelling uit het artikel dat bedrijven als Microsoft, Apple, Blackberry en Skyhook in overtreding zijn? Bent u bereid het Cbp te vragen dit te onderzoeken? Zo nee, bent u dan bereid een strafrechtelijk onderzoek in te stellen? Zo nee, waarom niet? Welke bedrijven zijn er nog meer in overtreding wanneer het gaat om het verzamelen van gegevens van routers? Wat bent u van plan hieraan te gaan doen?

Het oordeel of de in het artikel genoemde bedrijven in overtreding zijn is aan het CBP. Het CBP is een onafhankelijke toezichthouder die zelf kiest bij welke bedrijven en instellingen het onderzoek doet en die bovendien exclusief bevoegd is ten aanzien van de handhaving de Wbp. Er is geen aanknopingspunt voor strafrechtelijk optreden. Ik beschik niet over gegevens welke bedrijven gegevens van routers verzamelen.

Vraag 1

Bent u bekend met het probleem dat jong-volwassenen door criminelen gedwongen worden telefoonabonnementen af te sluiten, soms meerdere op een dag, waarna zij het dure toestel in moeten leveren en zelf vastzitten aan hoge abonnementskosten en soms gesprekskosten die zij vaak met geen mogelijkheid kunnen betalen?1

Ja.

Vraag 2

Bent u bekend met het feit dat vooral mensen met een (licht) verstandelijke beperking het slachtoffer zijn van deze afpersing?

Ik heb geen specifieke informatie op grond waarvan kwantitatieve uitspraken over dit fenomeen gedaan kunnen worden. Telefoonmaatschappijen werken samen met de politie om de omvang nader in kaart te brengen en te bezien wat mogelijke proportionele en effectieve maatregelen zijn die dit soort afkeurenswaardige praktijken zouden kunnen verminderen of voorkomen. Voor het idee om op scholen aandacht te geven aan het probleem en voorlichting te verbeteren geldt eveneens dat de maatregelen proportioneel en effectief moeten zijn. Ik wijs er in dit verband bijvoorbeeld op dat jongeren onder 18 jaar in beginsel geen abonnement kunnen afsluiten zonder toestemming van ouders en dat daarom het aandacht schenken op scholen aan dit probleem minder direct effectief is. Voor vragen over fraude kunnen jongeren ook terecht bij de fraudehelpdesk www.fraudehelpdesk.nl). Deze helpdesk is de landelijke vraagbaak over alles op het gebied van fraude.

Vraag 3

Welke mogelijkheden ziet u om kwetsbare mensen, vaak jong-volwassenen met een licht verstandelijke beperking, tegen deze criminele praktijken te beschermen?

Zie antwoord vraag 2.

Vraag 4

Bent u van mening dat het een goede zaak zou zijn wanneer aan dit probleem aandacht zou worden besteed op scholen? Hoe gaat u er voor zorgen dat de voorlichting verbetert?

Zie antwoord vraag 2.

Vraag 5

Deelt u de mening dat de telefoonmaatschappijen meer zouden kunnen en moeten doen om deze vorm van afpersing te voorkomen? In hoeverre zou van telefoonmaatschappijen verlangd kunnen worden dat zij enig onderzoek doen naar de vraag of de betreffende jongere zich het verlangde abonnement kan veroorloven en of er mogelijk sprake is van afpersing?

Indien de medewerkers van de telefoonmaatschappijen signalen krijgen dat een persoon wordt gedwongen om een abonnement af te sluiten, kunnen ze aan de betrokken persoon aangeven dat zij het abonnement niet zullen afsluiten. Wij hebben van de telefoonmaatschappijen begrepen dat deze problematiek ook al hun aandacht heeft. Zo worden winkelmedewerkers door de bedrijven getraind dergelijke situaties te herkennen.
Wat betreft het onderzoeken van de vraag of de betreffende jongere zich wel een abonnement kan veroorloven verwijs ik naar het antwoord op vragen 6 en 7.

Vraag 6

Zouden de telefoonaanbieders zich niet opnieuw moeten aansluiten bij het Bureau Kredietregistratie, om in ieder geval te voorkomen dat dure abonnementen worden verstrekt aan mensen die zich dit eigenlijk niet kunnen veroorloven omdat aan hen reeds teveel krediet is verstrekt?

Telecombedrijven hebben hun eerdere deelname aan BKR weloverwogen beëindigd. Zij hadden naar hun oordeel onvoldoende zeggenschap over wat er met hun gegevens binnen BKR gebeurde. Dat leidde vaak tot boze consumenten die bijvoorbeeld geen hypotheek konden krijgen, omdat er ooit een achterstand op het betalen van een telefoonrekening was ontstaan.
Ik heb van de bedrijven vernomen dat wordt verkend of het haalbaar en effectief zou zijn om Preventel, het samenwerkingsverband van de telecomsector met als doel om te voorkomen dat klanten betalingsverplichtingen aangaan die zij niet kunnen dragen, op een adequate wijze kan worden aangevuld met informatie die zaken als afpersing bij telefoonabonnementen (gedacht kan worden aan meerdere aanvragen in korte tijd) en andere vormen van telecomfraude kan verminderen.

Vraag 7

Welke andere mogelijkheden ziet u om te voorkomen dat op een dag meerdere dure abonnementen worden afgesloten, onder dwang, op naam van iemand die met geen mogelijkheid aan die betalingsverplichting kan voldoen?

Zie antwoord vraag 6.

Vraag 8

Waarom neemt de politie dergelijke zaken meestal niet in behandeling en wordt niet eens proces-verbaal opgemaakt, met het argument dat het slachtoffer zelf gekozen heeft voor het telefoonabonnement? Bent u bereid er op toe te zien dat de politie actief werk gaat maken van het opsporen van de mensen (naar verluidt vaak jeugdige criminelen) die zich schuldig maken aan deze vorm van afpersing? Zo niet, waarom niet?

De politie neemt wel degelijk aangiftes op. Het is echter zo dat bij deze aangiftes vaak dusdanig summiere informatie wordt geleverd betreffende de (vermeende) bedreigers dat hier onvoldoende opsporingsindicatie in zit voor nader onderzoek. Zoals vermeld in het antwoord op vragen 3 en 4 is de politie is in overleg met de telefoonmaatschappijen om de kwestie nader in kaart te brengen.

Vraag 1

Klopt het bericht dat het ministerie van Buitenlandse Zaken, zonder pilot, 500 Google Apps-accounts aanschaft om mailcommunicatie in geval van calamiteiten te garanderen, zoals vermeld staat in het artikel «Buitenlandse Zaken kiest Gmail als terugvaloptie»?1

Ja.

Vraag 2

Welke ministeries maken er ook gebruik van Google Apps-accounts? Wat zijn de ervaringen van deze ministeries?

Momenteel maakt geen ander ministerie gebruik van Google Apps-accounts.

Vraag 3

Welke overwegingen heeft u doen besluiten om te kiezen voor dit specifieke systeem? Kunt u uw antwoord toelichten?

Indien calamiteiten zich voordoen dient in elk geval de normale, niet-gerubriceerde, e-mailcommunicatie van Buitenlandse Zaken met de Nederlandse vertegenwoordigingen in het buitenland door te kunnen gaan. Als back-up systeem is daarvoor indertijd Google Apps gekozen, omdat deze door Google geleverde dienst op Open Standaarden is gebaseerd, relatief goedkoop is, wereldwijd een hoge toegankelijkheid, beschikbaarheid en capaciteit garandeert en een minimale beheerlast vraagt van de ICT-organisatie.

Vraag 4

Welke alternatieve systemen heeft u nog meer onderzocht? Op welke grond zijn deze systemen minder goed bevonden dan het Google Apps-accounts systeem? Kunt u uw antwoord toelichten?

In 2009 waren er geen prijstechnisch verantwoorde Europese e-mail clouddiensten met wereldwijde dekking en zakelijke beschikbaarheidsgaranties.

Vraag 5

Bent u bekend met de risico’s voor de privacy en veiligheid bij het gebruik van clouddiensten zoals eerder zijn gemeld door de AIVD?2 Zo ja, welke stappen gaat u ondernemen om de privacy en veiligheid te waarborgen?

Ja. Conform vigerende regels voor het verwerken van privacygevoelige en andere vertrouwelijke informatie, mogen gebruikers geen privacygevoelige of andere vertrouwelijke informatie delen via Google Apps-accounts.

Vraag 6

Kunt u garanderen dat ondanks het rapport van de AIVD, waarin zij beschrijft dat het gebruik van clouddiensten (zoals die van Google) eenvoudig toegankelijk zijn voor buitenlandse geheime diensten en opsporingsinstanties, het gebruik van Google Apps-accounts geen risico vormt voor de privacy en veiligheid van mensen?

Ja, zie het antwoord op vraag 5.
Voor de mate van garantie voor beveiliging van clouddiensten verwijs ik tevens naar de beantwoording van de Kamervragen 2011Z151833 gesteld door lid Gesthuizen (SP), 2011Z151244 gesteld door lid Schouw (D66) en 2011Z152415 gesteld door lid Elissen (PVV) door de minister van Veiligheid en Justitie.

Vraag 7

Klopt het bericht dat er ook Nederlandse ambassades gebruik maken van Google Apps-accounts? Zo ja, welke ambassades betreft dit? Op welke manier is zowel de privacy als de veiligheid gewaarborgd?

Google Apps accounts kunnen worden ingezet als back-up voor communicatie met de Nederlandse vertegenwoordigingen in het buitenland. Voor borging van privacy en vertrouwelijke informatie verwijs ik naar het antwoord op de vragen 5 en 6.

Vraag 8

Zijn uw ministeries of zijn andere ministeries zich eveneens (op aanvullende wijze) concreet aan het voorbereiden op een noodtoestand die het gevolg is van een overstroming? Zo ja, op welke wijze?

Alle ministeries werken aan een goede voorbereiding op verstoring van ICT en elektriciteit (ongeacht de oorzaak) door het opstellen van continuïteitsplannen. In deze plannen wordenweerbaarheid maatregelen opgenomen om de continuïteit van de kritieke processen van de ministeries te borgen.
Hierover zal in het voorjaar van 2012 aan de Tweede Kamer worden gerapporteerd in de Voortgangsbrief Nationale Veiligheid.

Vraag 1

Wat is uw reactie op de rol die Europese bedrijven spelen bij het censureren van informatie, het opsporen van mensen, en het inbreken in privé communicatie in landen als Syrië, Iran, Bahrein en Egypte?1

Zoals ik ook heb aangegeven in de brief2 over mijn inzet op het gebied van internetvrijheid, acht ik het van het groot belang dat bedrijven hun verantwoordelijkheid nemen voor de bescherming van mensenrechten in het buitenland. Voor de bevordering van internetvrijheid geldt dat in het bijzonder voor bedrijven die technologie, hardware en software produceren die zowel goed- als kwaadschiks kan worden gebruikt door overheden.

Vraag 2

Kunt u bevestigen dat het uitgesloten is dat Nederlandse bedrijven in de ICT, security software en Telecom-sector een rol spelen in het faciliteren van mensenrechtenschendingen in derde landen?

Nee. De meeste goederen die naast lawful interception ook voor dergelijke mensenrechtenschendingen gebruikt kunnen worden, kunnen zonder vergunning uitgevoerd worden. Hoewel het exacte eindgebruik dus onbekend is, is het onwaarschijnlijk dat Nederlandse internetbedrijven een rol spelen bij het faciliteren van mensenrechtenschendingen. Naar aanleiding van vragen van het lid El Fassed3 heeft een aantal vooraanstaande Nederlandse internetbedrijven bevestigd zorgvuldig te kijken naar het eindgebruik van hun technologie in derde landen, voordat wordt overgegaan tot leveren.

Vraag 3

Deelt u de mening dat het onwenselijk is dat Europese bedrijven in het algemeen en Nederlandse bedrijven in het bijzonder een faciliterende of zelfs directe rol spelen in het schenden van mensenrechten?

In gevallen waar bewijs bestaat dat Europese bedrijven betrokken zijn bij mensenrechtenschendingen, acht ik dat natuurlijk onwenselijk.

Vraag 4

Kunt u toelichten hoe het kabinet op dit moment controleert dat er geen technologieën vanuit Nederland worden geëxporteerd naar overheden die deze technologie gebruiken voor het schenden van mensenrechten? In hoeverre werkt u hierin samen met Europese collega's?

Vraag 5

Over welke instrumenten beschikt u om het handelen van Nederlandse bedrijven te monitoren op eventuele schendingen van sancties of het faciliteren van mensenrechtenschendingen?

Vraag 6

Kunt u uiteenzetten hoe Nederlandse wetgeving ten aanzien van de export van goederen voor tweeërlei gebruik («dual-use items») zich verhoudt tot het Europese exportmechanisme voor deze goederen? Deelt u de mening dat er meer Europese samenwerking moet zijn om mensenrechtenschendingen door middel van Europese technologie te voorkomen?

Vraag 7

Deelt u de mening dat het Nederlands bedrijfsleven een verantwoordelijkheid heeft om in haar bedrijfsvoering proactief rekening te houden met mensenrechten? Ondersteunt u de stelling dat meer transparantie door bedrijven ten aanzien van export en transacties met repressieve overheden noodzakelijk is?

Ja.

Vraag 8

Zijn er situaties waarin het mogelijk dan wel wenselijk is om bedrijven (juridisch) aansprakelijk te stellen voor betrokkenheid bij mensenrechtenschendingen?

De juridische mogelijkheden om bedrijven strafrechtelijk aansprakelijk te stellen worden goed samengevat door professor Castermans en dr. Van der Weide in hun rapport van december 20094: «De Nederlandse wet kent geen uitputtende regeling van de aansprakelijkheid van bedrijven voor betrokkenheid bij schendingen van fundamentele, internationaal erkende rechten. Weliswaar is er een groot aantal regels uitgewerkt in het strafrecht – gebaseerd op verdragen – maar dit geldt vooral voor misdrijven gepleegd binnen de Nederlandse landsgrenzen. Hiervoor is alleen een uitzondering gemaakt voor ernstige misdrijven gericht tegen de menselijkheid, zoals genocide en slavernij, begaan door een natuurlijke persoon of bedrijf. Het bedrijf dat een dergelijke strafrechtelijke overtreding of misdrijf heeft begaan, kan ook voor de burgerlijke rechter door belanghebbenden worden aangesproken, om de schending te staken of om de schade van de slachtoffers te vergoeden.»
In algemene zin is de handhaving van strafrechtelijke aansprakelijkheid voor extraterritoriale handelingen van bedrijven nauwelijks waar te maken; het is een zwaar middel dat bovendien ingrijpt in de soevereiniteit van andere staten. Daarom is strafrechtelijke aansprakelijkheid slechts in de genoemde uitzonderlijke gevallen vastgelegd.

Vraag 1

Herinnert u zich het gesprek dat u dit voorjaar had met de ICT-bedrijven Fox-IT, Group2000 en Digivox naar aanleiding van uw toezegging in antwoord op Kamervragen van het lid El Fassed over de deelname van Europese bedrijven aan een conferentie in Dubai over aftappen en filteren van telecommunicatie?1 2

Ja.

Vraag 2

Heeft de toezegging van deze bedrijven, dat zij «overwegen internationale gedragscodes voor de export van internettechnologie te omarmen», al tot concrete stappen van hun kant geleid, zoals aansluiting bij het Global Network Initiative of de ontwikkeling van een toetsbaar beleid voor maatschappelijk verantwoord ondernemen op basis van de OESO-richtlijnen voor multinationale ondernemingen? Zo niet, waarom niet?

Voordat ik inga op de stappen die de individuele bedrijven hebben gezet, wil ik bevestigen dat het ontwikkelen van een beleid voor maatschappelijk verantwoord ondernemen naar zijn aard een verantwoordelijkheid van de bedrijven zelf is. De rol van de Nederlandse overheid is vooral het stimuleren van bedrijven om de OESO richtlijnen in praktijk te brengen en het bemiddelen bij geschillen tussen bedrijven en stakeholders.
Desgevraagd hebben de door u genoemde bedrijven mij de volgende reacties gestuurd.
Fox IT
«Fox IT is niet langer actief op het gebied van Lawful Interception. Alle activiteiten op dit gebied zijn overgenomen door het Amerikaanse bedrijf NetScout.»
Group 2000
«De principes van de OESO richtlijnen, het Global network initiative evenals de wetgeving in Nederland en de EU zijn breed binnen Group 2000 gecommuniceerd in plenair overleg vergaderingen. Group 2000 hanteert het principe dat voorkomen beter is dan genezen en wenst om die reden actief contact te hebben en te onderhouden in het kader van mogelijk nieuwe richtlijnen c.q. wetgeving. De technologie die we verkopen, beschouwen we primair als technologie die ingezet kan en mag worden in het kader van criminaliteitsbestrijding en de internationale strijd tegen (cyber)terrorisme. Group 2000 heeft geen portfolio aangaande filter technologieën/apparatuur en/of software welke bedoeld zijn in het kader van de vragen vanuit de tweede kamer. Group 2000 is niet geïnteresseerd in kortstondig succes en hecht als grote leverancier in Nederland veel waarde aan haar reputatie, relatie met haar afnemers, de Nederlandse overheid en overheid gelieerde instellingen. Group 2000 hanteert een eigen code of business conduct voor screening van aanvragen voor levering vanuit de Network Forensics portfolio. Hierbij wordt strikt toegezien op het naleven van restricties die gelden op basis van informatie vanuit de Nederlandse overheid,de EU en de USA blacklist.
Er zijn meer dan voldoende voorbeelden van leveranciers uit Europa die technologie hebben verkocht aan «dictatoriale»regimes. Vanuit Group 2000 zijn we voorstander van een «level playing field». Op het moment dat partijen uit de EU het beleid hebben geschonden zouden deze partijen voor lange termijn ook door de EU overheden uitgesloten moeten worden van deelname aan tenders.»
Digivox
«Allereerst willen we duidelijk stellen dat Digivox géén technologie levert of ontwikkelt waarmee websites, e-mailverkeer, of telefoonverkeer kunnen worden geblokkeerd.
De «tapsystemen» die tot nu toe door DigiVox zijn geleverd vallen onder de zogenaamde «lawful interception» (LI) categorie, dat wil zeggen dat alleen de communicatie van een specifiek persoon kan worden getapt en dus bijvoorbeeld niet alle telefoongesprekken naar of binnen een bepaald land.
Voordat DigiVox overgaat tot levering van een LI systeem raadplegen we verschillende bronnen op het internet over de mensenrechtensituatie in het betreffende land en dan in het bijzonder of er sprake is van politieke gevangenen.
Ook wordt in twijfel gevallen contact gezocht met EL&I. Afhankelijk daarvan wordt besloten wel of niet tot levering over te gaan.
Tevens vragen we om een end-user certificaat waarbij de eindgebruiker (overheid) schriftelijk verklaart dat de LI systemen alleen ingezet worden voor het bestrijden van criminaliteit en terrorisme.
Deze clausule is ook opgenomen in het supportcontract voor het LI systeem,dat jaarlijks verlengd dient te worden.
De genoemde richtlijnen zoals die vermeld staan in «Global Network Initiative» en de «OESO-richtlijnen voor multinationale ondernemingen» zijn bekend bij DigiVox en worden meegenomen in de afweging om al dan niet zaken te doen met een overheidsinstantie.»
NetScout
«Statement on LI export
In October 2011 NetScout Systems, Inc. acquired FoxReplay BV, a former subsidiary of Fox-IT BV. FoxReplay BV is active in CyberIntelligence, Information Assurance, Lawful Intercept and general security practices.
As a public company, NetScout Systems, Inc. complies with applicable restrictions under U.S., Dutch, and other foreign laws including those laws and regulations relating to importing and exporting technology, products, services, and regulated information. NetScout has a strong policy and program in place to ensure compliance with applicable export controls.
Besides complying with relevant export laws, NetScout endorses an extensive Code of Business Conduct to summarize the standards that apply to all employees with regards to the way business is done. The company has issued this Code to promote honest and ethical conduct throughout its organization, to deter wrongdoing, and to promote fair dealing with all those with whom it does business. All employees certify to their compliance with the Code.
As a result of its acquisition of FoxReplay BV and its increased presence in the EU, NetScout is reviewing its practices and procedures with regards to exports. The company plans to complete the review and make any necessary changes by the end of the year.
In the meantime, NetScout shall continue to maintain existing processes that are in place today to comply with laws and regulations.»

Vraag 3

Wilt u uw antwoorden op vraag 2 uitsplitsen per bedrijf en ook de door NetScout Systems overgenomen aftapdivisie van Fox-IT meenemen in het overzicht?

Zie antwoord vraag 2.

Vraag 4

Ziet u reden om nieuwe actie te ondernemen in de richting van de genoemde bedrijven, nu de regering de naleving van internationale gedragscodes voor de export van internettechnologie als een «noodzakelijke stap» ziet? (zie noot 1).

Ik zet mij er in Europees verband samen met de minister van Buitenlandse Zaken voor in om artikel 4 van de dual-useverordening uit te breiden. Hierdoor zou het mogelijk worden een ad-hoc vergunningplicht op te leggen voor individuele gevallen indien er aanwijzingen zijn dat de goederen geheel of gedeeltelijk zullen worden gebruikt voor mensenrechtenschendingen. De Europese Commissie en verschillende lidstaten hebben enthousiast gereageerd op deze suggestie van Nederland, die naar verwachting begin 2012 door de Commissie zal worden opgenomen in een voorstel tot aanpassing van de dual-use verordening.
Daarnaast zet Nederland zich er ook via fora voor in om bedrijven te stimuleren hun verantwoordelijkheid te nemen voor respect voor mensenrechten online. Dit was dan ook een van de centrale onderwerpen van de conferentie over internetvrijheid die de minister van Buitenlandse Zaken op 9 december jl. organiseerde. Naast vertegenwoordigers van landen, NGO’s, internationale organisaties en bloggers waren ook de bedrijven AT&T, British Telecom, Ericsson, Facebook, Google, Nokia Siemens, Vodafone, XS4ALL, Yahoo! en Ziggo aanwezig. Kern van de discussie was hoe bestaande gedragscodes – zoals de Global Network Initiative, Silicon Valley Standard en het Ruggie Framework – aanknopingspunten bieden voor bedrijven om ervoor te zorgen dat hun technologie niet kan worden gebruikt voor mensenrechtenschendingen. Een aantal van de aanwezige bedrijven benadrukte dat bedrijven gebruikers op de eerste plaats moeten zetten. Daarnaast drongen diverse deelnemers aan op bindende regelgeving, zoals hierboven geschetst ten aanzien van «dual use» technologieën binnen de EU.

Vraag 1

Klopt het dat, ondanks uw toezegging dat er in de Wet informatie-uitwisseling ondergrondse netten (WION) een uitzondering bestaat voor de kleine, lokale netwerken zonder veiligheidsrisico’s (zoals recreatiebedrijven), er door het Agentschap Telecom nog steeds gehandhaafd wordt bij recreatiebedrijven? Klopt het dat de dwangsommen kunnen oplopen tot wel € 100 000 voor een MKB-bedrijf?1

In de registratie van beheerders van netten bij de Dienst voor openbare registers en het kadaster stond één recreatiebedrijf geregistreerd. Deze beheerder heeft deze registratie zelfstandig uitgevoerd en was ook al in het vrijwillige systeem van KLIC opgenomen. Na schriftelijk en telefonisch contact met dit recreatiebedrijf, waarin de wettelijke bepalingen zijn doorgenomen, is de registratie van deze beheerder beëindigd. Er is dus geen sprake van handhaving gericht op recreatiebedrijven. Het bedrag waaraan gerefereerd wordt, is de wettelijk bepaalde maximale hoogte van de bestuurlijke boete.

Vraag 2

Klopt het dat onder de huidige wet- en regelgeving recreatiebedrijven aan de WION moeten voldoen ondanks het ontbreken van veiligheidsrisico’s en maatschappelijk belang? Hoe verhoudt zich dit tot uw eerdere antwoorden dat er onder de huidige wet- en regelgeving uitzonderingen mogelijk zijn voor lokale netwerken zonder veiligheidsrisico’s (zoals recreatiebedrijven)?

In de meest voorkomende situaties, waarbij sprake is van een niet-gevaarlijk netwerk in eigen, niet-openbare grond van de recreatieondernemer en het net is bedoeld voor eigen gebruik, is de desbetreffende recreatieondernemer vrijgesteld van registratie bij het kadaster en het verstrekken van inlichtingen. Voor die gevallen, waarin het netwerk in handen is van een andere partij, rust de verplichting tot het geven van inlichtingen op deze netbeheerder. Dat is ook aangegeven in de antwoorden op de vragen van 22 maart 2011 (TK, 2010–2011: 1899).
Er is een situatie waarin de recreatieondernemer op grond van de WION wel is verplicht te registreren en inlichtingen te verschaffen, en dat is het geval wanneer via een leiding van de recreatieondernemer elektriciteit of gas e.d. wordt geleverd aan huizen op het recreatieterrein, waarvan de grond en het huis in eigendom zijn van derden. In dat geval is er sprake van levering aan derden waarbij wel inlichtingen moeten worden verschaft door de netbeheerder in geval van een graafmelding.

Vraag 3

Vindt u nog steeds dat, gezien de hoge kosten van het digitaliseren (ongeveer 25 000 euro voor een middelgroot recreatiebedrijf) en bijkomende regeldruk, deze netten eigenlijk helemaal geen onderdeel zouden moeten uitmaken van het Klic-online systeem? Zo nee, waarom niet?

Het is niet zo dat kleine, lokale netwerken per definitie zonder veiligheidsrisico’s zijn. Zo zijn er leidingen van gastanks die ondergronds naar huisjes lopen. Het is wel zo dat er een lager risico bestaat dan in een reguliere woonomgeving. Dit omdat het om kleine, lokale netwerken gaat, het terrein niet openbaar is waardoor de beheerder zicht heeft op eventuele graafactiviteiten, en er veelal sprake is van niet- permanente bewoning. Ik ben daarom bereid te kijken naar de proportionaliteit van de huidige WION ten opzichte van de recreatieondernemers.
Tot nu toe zijn er in de praktijk geen problemen geweest voor recreatieondernemers, zoals uit het antwoord op vraag 1 blijkt. In de WION is voorgeschreven dat vijf jaar na de inwerkingtreding van de wet (inwerkingtreding was juli 2008) de minister een verslag over de doeltreffendheid en de effecten van de wet naar de Staten-Generaal stuurt. Het komend jaar zal de WION al worden geëvalueerd. Daar zullen de effecten van de huidige wetgeving voor de recreatieondernemers bij worden betrokken. Tot die tijd zal er, gezien de beperkte risico’s, geen handhaving plaatsvinden waar het gaat om levering aan derden via de leidingen van de recreatieondernemer.

Vraag 4

Welke stappen bent u op voornemens te nemen om ervoor te zorgen dat de kleine, lokale netwerken zonder veiligheidsrisico’s (zoals recreatiebedrijven) niet langer zullen worden geconfronteerd met deze onnodige hoge lasten?

Zie antwoord vraag 3.

Vraag 1

Bent u bekend met het bericht «Several German states admit to use of controversial spy software»1

Ja.

Vraag 2

Kunt bevestigen dat de Nederlandse overheid beschikt over software waarmee computers van personen op afstand heimelijk doorzocht en/of bestuurd kunnen worden? Zo ja, welke onderdelen van de overheid beschikken hierover?

De Unit Landelijke Interceptie van het Korps Landelijke Politiediensten (KLPD) beschikt over software die geïnstalleerd kan worden op de computer van een verdachte en waarmee ten behoeve van opsporingsdiensten toegang kan worden verkregen tot die computer en of gegevens daarvan kunnen worden overgenomen. De inzet van dit middel beperkt zich, gelet op de bepalingen van het Wetboek van Strafvordering, tot het opnemen van vertrouwelijke communicatie (op basis van artikel 126l van het Wetboek van Strafvordering). Inzet ten behoeve van een heimelijke doorzoeking is binnen de wettelijke kaders niet toegestaan.
Het verstrekken van informatie over welke specifieke software opsporingsdiensten beschikken vormt een onaanvaardbaar risico voor de inzetbaarheid van die middelen. Mede om die reden hebben de verwervingstrajecten van deze middelen onder geheimhoudingsverklaring plaatsgevonden. Ik kan hierover dan ook geen mededelingen doen.

Vraag 3

Kunt bevestigen of de Nederlandse overheid opdracht heeft gegeven voor de ontwikkeling van dit soort software of dat zij dit soort software zelf ontwikkelt? Zo ja, welke onderdelen van de overheid hebben deze opdracht gegeven of ontwikkelen zij dit zelf? Indien hier een opdracht voor is gegeven, aan welk bedrijf is deze opdracht gegeven?

Zie antwoord vraag 2.

Vraag 4

Kunt u bevestigen dat de Nederlandse overheid dit soort software heeft gekocht? Zo ja, welke software is gekocht? Door welk onderdeel van de Nederlandse overheid is dit gekocht? Van welk bedrijf of welke overheid is deze software gekocht?

Zie antwoord vraag 2.

Vraag 5

Als de Nederlandse overheid beschikt over dit soort software, beschikt zij daarnaast over de broncode van deze software, zodat zij de werking precies kan controleren?

Voor zover door opsporingsdiensten gebruik wordt gemaakt van software van externe leveranciers, dient deze te voldoen aan de eisen die Nederlandse wet- en regelgeving daaraan stelt. De opsporingsdiensten beschikken doorgaans niet over de broncode. Indien en voorzover wijzigingen moeten worden aangebracht in de broncode van de software, worden deze aanpassingen door de leverancier/ontwikkelaar doorgevoerd. In het kader van de voorgeschreven certificering wordt de software integraal doorgelicht. Functionaliteiten die niet mogen worden ingezet, worden daarbij onklaar gemaakt.

Vraag 6

Als de Nederlandse overheid beschikt over dit soort software, is deze software ingezet? Hoe vaak is deze software ingezet? In het kader van welke soort onderzoeken is het ingezet? Door welke overheidsonderdelen is dit ingezet?

Voor de inzet van technische hulpmiddelen voor het opnemen van vertrouwelijke communicatie in een woning, waaronder ook de bedoelde software, is vereist dat het gaat om een misdrijf waarvoor voorlopige hechtenis is toegelaten en dat een ernstige inbreuk op de rechtsorde oplevert. De inzet van deze middelen vindt plaats op basis van artikel 126l van het Wetboek van Strafvordering. Een bevel tot het opnemen van vertrouwelijke communicatie wordt afgegeven door de officier van justitie, met machtiging van de rechter-commissaris. In het geval sprake is van het opnemen van vertrouwelijke communicatie met behulp van een technisch hulpmiddel in een woning, beslist het College van Procureurs-Generaal over het afgeven van het bevel.
Door opsporingsdiensten is tot op heden in een zeer beperkt aantal gevallen gebruik gemaakt van dit middel. Het Openbaar Ministerie heeft mij bericht dat daarbij steeds gehandeld is binnen de grenzen van artikel 126l van het Wetboek van Strafvordering en de interne procedures en voorschriften zijn nageleefd.

Vraag 7

Als de Nederlandse overheid dit soort software heeft ingezet, Kunt u aangeven op grond van welke strafvorderlijke bevoegdheid deze inzet heeft plaatsgevonden? Is hiervoor steeds een machtiging van de rechter-commissaris verstrekt?

Zie antwoord vraag 6.

Vraag 8

Als de Nederlandse overheid over dit soort software beschikt, welke waarborgen heeft de Nederlandse overheid genomen om te voorkomen dat deze software misbruikt en of gehackt wordt?

Technische hulpmiddelen voor het opnemen van vertrouwelijke communicatie in een woning, waaronder ook de bedoelde software, mogen alleen worden ingezet door daartoe gecertificeerd personeel. Mede om deze reden is de feitelijke inzet van dergelijke middelen gecentraliseerd bij de Unit Landelijke Interceptie van het KLPD. Bovendien dienen de middelen steeds te voldoen aan de voorschriften uit het Besluit technische hulpmiddelen bijzondere opsporingsbevoegdheden (Stb. 1999, 547). Dit besluit schrijft onder andere voor dat technische hulpmiddelen worden gecertificeerd voor het doel waarvoor zij worden ingezet.
De ten behoeve van de opsporing beschikbare technische hulpmiddelen voor het opnemen van vertrouwelijke communicatie worden voorafgaand aan de inzet gekeurd door de Keuringsdienst van het KLPD. Deze keuring is voornamelijk gericht op de authenticiteit en integriteit van het middel. Na goedkeuring wordt het middel gecertificeerd voor de inzet in het kader van het opnemen van vertrouwelijke communicatie. Indien een technisch hulpmiddel meer functionaliteiten biedt dan het opnemen van vertrouwelijke communicatie, dan worden deze functionaliteiten tijdens het keuringstraject op verzoek van de keuringsdienst geblokkeerd in of verwijderd uit de software.
Inzet kan ten slotte slechts plaatsvinden na voorafgaande goedkeuring door het Openbaar Ministerie.
Er zijn mij geen situaties bekend waarin door de Keuringsdienst gecertificeerde technische hulpmiddelen zijn misbruikt of gehackt.

Vraag 1

Heeft u kennisgenomen van het artikel «Glaskabeltrekkers veroorzaken water- en gaslekken»?1

Ja.

Vraag 2

Kunt u bevestigen dat te Deventer gedurende de aanleg van 700 km glasvezel en de aansluiting van 40 000 adressen in totaal 5 graafschades zijn veroorzaakt?

Nee, ik weet niet uit welke bron deze informatie afkomstig is. Uit publieke bronnen2 begrijp ik dat de aanleg van glasvezelaansluitingen in de gemeente Deventer grotendeels is verricht in 2009. AT heeft in het genoemde rapport gegevens van netbeheerders over het jaar 2010 verwerkt. In ieder geval staat Deventer volgens het rapport van AT niet in de top 20 van gemeenten met de meeste graafschades over 2010.

Vraag 3

Kunt u bevestigen dat te Amsterdam in 2010 bij de aanleg van glasvezel in woonwijken in totaal 13 graafschades zijn veroorzaakt?

Nee, ik weet niet uit welke bron deze informatie afkomstig is. Uit de bronnen van AT blijkt dat Amsterdam op de eerste plaats staat in de top 20 van gemeentes met de meeste graafschades. Het gaat hierbij in totaal om 1593 graafschades, die meerdere oorzaken hebben. Een nadere precisering van de getallen – naar de oorzaak van de graafschade – is op basis van de bij AT bekende gegevens niet mogelijk.

Vraag 4

Is het waar dat de in het rapport opgenomen tabel de totalen weergeeft van alle graafschades in 2010 in de betreffende gemeenten en daarin ook zijn vervat oorzaken als bijvoorbeeld wegenaanleg, bouw- en verbouwingen, werkzaamheden aan gas, water, coax en rioolnetwerken?

Ja, de tabel in het rapport bevat alle graafschades die zich in 2010 in de genoemde gemeentes hebben voorgedaan en door netbeheerders zijn opgegeven (zie ook antwoord bij vraag 5). Dit betreft dus niet alleen de schades die zijn opgetreden bij de aanleg van glasvezel.

Vraag 5

Is het waar dat het Agentschap Telecom niet beschikt over enigerlei betrouwbare cijfermatige informatie inzake de specifieke oorzaak van graafschades?

Netbeheerders zijn op grond van artikel 15 van de WION verplicht elk half jaar hun schades bij het Kadaster op te geven. De netbeheerder geeft hierbij de functie van het netwerk op (bijvoorbeeld gas, water) en wat de directe schadekosten zijn.
De netbeheerder dient ook per schade het meldnummer op te geven; dat is het unieke nummer dat door het Kadaster aan een graaf- of calamiteitenmelding wordt toegekend. De rapportages die periodiek door de netbeheerders aan het Kadaster worden gedaan, gaan niet nader in op de specifieke oorzaak van graafschades.

Vraag 6

Deelt u de mening dat van overheidsinstellingen mag worden geëist dat zij zorgvuldig, betrouwbaar en competent handelen en in hoeverre acht u dat in dezen van toepassing?

Ja, AT heeft als overheidsorganisatie de taak om zorgvuldig, betrouwbaar en competent te handelen. Als toezichthouder vangt AT vanuit de eigen rol tijdig signalen uit de sector op. Het rapport schetst een beeld van de gemeenten waar zich de meeste graafschades in 2010 hebben voorgedaan.
Dit overzicht is tot stand gekomen op basis van informatie die verkregen is van netbeheerders. Dit zijn de periodieke schaderapportages die door de beheerders van netten wordt verstrekt in het kader van de Wet informatie-uitwisseling ondergrondse netten (WION). De rapportages zijn, zie ook het antwoord op vraag 5, naar hun aard beperkt en geven slechts een basisregistratie van de graafschade weer. Het geeft geen beeld als het gaat om de verdeling van de graafschades naar aard en oorzaak.
AT heeft wel diverse signalen opgevangen dat er zich bij de aanleg van glasvezelnetten graafschades voordoen, vooral omdat deze aanleg vaak geschiedt in gebieden met bestaande infrastructuur, zoals in het rapport is aangegeven. Zo hebben o.a. de gemeente Leeuwarden en een gasdistributiebeheerder AT formeel middels handhavingsverzoeken verzocht handhavend op te treden. Vandaar dat AT hier nu aandacht voor vraagt, om alle betrokkenen bewust te maken van de verantwoordelijkheid die zij hebben in het graafproces.

Vraag 7

Deelt u de mening dat de wijze van rapporteren door het Agentschap Telecom tot zeer onjuiste beelden leidt en voor onnodige onrust en schade voor in innovatie investerende marktpartijen zorgt?

Nee, deze mening deel ik niet. Op basis van de rapportages van netbeheerders is het rapport van AT tot stand gekomen. Het is wel zo dat de risico’s, die met de aanleg van glasvezelkabels gepaard gaan, niet direct zijn af te leiden uit het rapport en dat daar in het rapport zelf meer aandacht aan had kunnen worden besteed.
Met het genoemde rapport wil AT alle betrokken partijen bewust maken van de verantwoordelijkheden die zij hebben in het totale graafproces, en doet daarvoor aanbevelingen. Dit om het graafproces en de aanleg van netten conform de geldende wet- en regelgeving te laten verlopen, risico’s zo veel als mogelijk te beperken en daarmee de aanleg van nieuwe infrastructuur te faciliteren.

Vraag 8

Bent u bereid om maatregelen te nemen opdat het Agentschap Telecom het gecreëerde beeld corrigeert en herhaling wordt voorkomen? Zo nee, waarom niet?

Ik wil benadrukken dat AT als toezichthouder een verantwoordelijkheid heeft de verschillende signalen, die vanuit de sector zijn gekomen te duiden en hierop acties te ondernemen. Naar aanleiding van uw vragen is er contact geweest met AT. Zoals bij vraag 7 is aangegeven, is geconstateerd dat uit het rapport de risico’s die gepaard gaan met de aanleg van glasvezel niet direct af te leiden zijn en dat daaraan meer aandacht had kunnen worden besteed.

Vraag 1

Bent u bekend met het bericht op ft.com1 van 3 oktober 2011 waarin Eurocommissaris Kroes bekend maakt € 9,1 miljard beschikbaar te stellen uit de nieuw op te richten Connecting Europe Facility voor de uitrol van breedbandinternet in de lidstaten?

Ja.

Vraag 2

Bent u verder bekend met het feit dat Eurocommissaris Kroes de Europese breedband- en glasvezelbudgetten voortaan ook beschikbaar wil stellen aan lokale overheden, elektriciteit- en waterbedrijven?

Nee.
De concrete wetgevingsvoorstellen voor de «Connecting Europe Facility» zijn zeer recent verschenen. De Tweede Kamer zal, zoals gebruikelijk, via een BNC-fiche worden geïnformeerd over dit voorstel.

Vraag 3

Deelt u de mening dat dit een goede zaak is omdat dit de concurrentiemogelijkheden bevordert? Zo nee, waarom niet?

Nederland hecht grote waarde aan de beschikbaarheid van breedband en ondersteunt de ambitie van de Commissie zoals verwoord in de Digitale Agenda. Het is daarbij primair aan de markt om de uitrol van breedbandnetwerken tot stand te brengen. De taak van de overheid is om mogelijke barrières voor investeringen door marktpartijen weg te nemen. Dit kan veelal door activiteiten in de randvoorwaardelijke sfeer, zoals het plannen en coördineren van graafwerkzaamheden en het bevorderen van toepassingen en diensten. Publieke financiering is pas aan de orde daar waar de uitrol niet door de markt zelf tot stand komt en zal moeten voldoen aan de voorwaarden met betrekking tot staatssteun.
Het voorstel voor de «Connecting Europe Facility» is onderdeel van het Commissievoorstel van het Meerjarig Financieel Kader 2014–2020 (MFK). De kabinetsreactie op het Commissievoorstel voor het MFK is uw Kamer 2 september jl. toegestuurd (TK 21 501-20, nr. 553). In lijn daarmee staat het kabinet open voor de ideeën van de Commissie voor de «Connecting Europe Facility», maar zal het concrete voorstel getoetst worden op een aantal punten. Zo moet dit instrument ingepast kunnen worden binnen een als geheel krappere begroting, ligt het primaat voor de financiering van ICT-infrastructuur bij marktpartijen waarbij inzet van middelen uit deze faciliteit niet mag leiden tot marktverstoring, en zal er meer duidelijkheid moeten komen over het gebruik van innovatieve financiële instrumenten.
Zoals het voorstel er nu uitziet, kunnen ook Nederlandse bedrijven en overheden in principe in aanmerking komen.

Vraag 4

Wat betekent het beschikbaar stellen van € 9,1 miljard in uw ogen voor Nederland?‬ In hoeverre komen ook Nederlandse bedrijven en overheden hiervoorin aanmerking?

Zie antwoord vraag 3.

Vraag 5

Bent u bekend met het feit dat rond de 200 000 bedrijven en huishoudens in Nederland geen gebruik kunnen maken van breedband internet? Wat zijn de meest recente cijfers van het ministerie van Economische Zaken, Landbouw en Innovatie voor het ontbreken van breedband in de buitengebieden van Nederland?

De schatting is dat van de Nederlandse huishoudens momenteel circa 98% toegang kan krijgen tot internet met een snelheid van minimaal 30 Mbps. De momenteel ongeveer 2% van de huishoudens (100 000–150 000) die dat nog niet heeft, bevindt zich veelal in dunbevolkte gebieden waar uitrol van een vaste breedbandinfrastructuur vooralsnog onrendabel is. Daar is echter nog ruimte voor groei via met name snellere satelliet- en mobiele technologie. Thans wordt gewerkt aan een jaarlijkse breedbandmonitor, die de ontwikkelingen van de groei in de beschikbaarheid van snelle breedbandaansluitingen in kaart brengt in het licht van de doelstellingen voor 2020. De eerste monitor zal in 2012 gepubliceerd worden.

Vraag 6

Bent u van mening dat Nederland deze kans moet grijpen en op een zo groot mogelijk deel van het budget aanspraak moet maken om (de buitengebieden in) Nederland van snel internet te voorzien? Zo nee, waarom niet?

Vraag 7

Bent u van plan om gezamenlijk met provincies, gemeenten en andere stakeholders op te trekken om zoveel mogelijk budget naar Nederland te halen? Zo ja, kunt u aangeven hoe u van plan bent dit te doen?

Vraag 8

Hoeveel van de € 9,1 miljard zou in uw ogen beschikbaar moeten zijn voor Nederland?

Vraag 1

Heeft u kennisgenomen van het artikel «Roep onderzoek cookiegebruik Facebook»?1 Wat is uw mening over het verzamelen van privacy-gevoelige informatie door Facebook via onverwijderbare cookies?

Ik heb kennis genomen van het artikel. Wanneer door middel van cookies persoonsgegevens worden verwerkt, is de Wet bescherming persoonsgegevens2 (hierna: Wbp) van toepassing. De Wbp bepaalt dat persoonsgegevens slechts mogen worden verwerkt als daarvoor ondubbelzinnige toestemming is verkregen, of als een van de andere in dat artikel genoemde gronden voor verwerking van toepassing zijn. Deze toestemming moet de betrokkene altijd kunnen intrekken3. Dat lijkt niet mogelijk bij onverwijderbare cookies. Of in de beschreven situatie sprake was van verwerking van persoonsgegevens, en of in dat geval voldaan is aan de Wbp, is niet aan mij om te beoordelen. Het is aan het College bescherming persoonsgegevens (Cbp) om te beoordelen of in specifieke gevallen in strijd met de Wbp wordt gehandeld.

Vraag 2

Overtreedt Facebook met deze onverwijderbare cookies de Wet Bescherming Persoonsgegevens omdat er niet om «ondubbelzinnige toestemming» is gevraagd?

Zie antwoord vraag 1.

Vraag 3

Hoe verhoudt het beleid van Facebook zich ten opzichte van het aangenomen amendement Van Bemmel /Van Dam2? Wat betekent het eventuele aannemen van de Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen3 door de Eerste Kamer voor het toepassen van dergelijke cookies?

Zodra het Wetsvoorstel tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecomrichtlijnen door de Eerste Kamer is aangenomen en in werking treedt, zal de OPTA toezien op de naleving van het door amendement Van Bemmel/Van Dam gewijzigde artikel 11.7a van de Telecommunicatiewet (hierna: Tw). Volgens dit artikel is voor het lezen of plaatsen van cookies toestemming6 van de gebruiker vereist.
Wanneer door middel van cookies persoonsgegevens worden verwerkt, is naast artikel 11.7a Tw ook de Wbp van toepassing, op grond waarvan dan «ondubbelzinnige» toestemming vereist is7. Op grond van artikel 11.7a Tw wordt vermoed dat er sprake is van verwerking van persoonsgegevens als cookies gebruikt worden om voor commerciële, charitatieve of ideële doeleinden informatie te verzamelen over bijvoorbeeld het surfgedrag van de gebruiker. Deze «tracking cookies» moeten dan niet alleen voldoen aan de eisen van artikel 11.7a Tw. Ze vallen dan ook onder het regime van de Wbp, tenzij degene die de cookies plaatst en leest kan aantonen dat hij hiermee géén persoonsgegevens verwerkt. Het CBP ziet toe op de naleving van de Wbp. Tegelijkertijd blijft OPTA bevoegd om toe te zien op de naleving van artikel 11.7a Tw. Of de in het artikel genoemde acties van Facebook hier mee in strijd zijn, is aan de toezichthouders om te beoordelen.

Vraag 4

Hoe verhoudt uw pleidooi tijdens de behandeling van de wijziging van de telecomwet tegen het genoemde cookie-amendement en voor zelfregulering zich tot de in het artikel genoemde acties van Facebook?

Het wetsvoorstel tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecomrichtlijnen in oorspronkelijke vorm (Kamerstukken 2010–2011, 32 549, nr. 2) voorzag met het voorgestelde artikel 11.7a al in een wettelijke verplichting om voor het plaatsen en lezen van cookies informatie te verstrekken en toestemming te verkrijgen. Zowel in de Nota naar aanleiding van het Verslag8, als tijdens de behandeling van het wetsvoorstel in de Tweede Kamer9 heb ik uitgelegd dat de richtlijn vereist dat de voorwaarden voor het gebruik van cookies in de wet wordt geregeld, en dat zelfregulering daar niet voor in de plaats kan komen. Ik heb met andere woorden niet gepleit voor zelfregulering als vervanging voor wetgeving. Wel heb ik gezegd dat ik het een goede ontwikkeling vind als er door de markt samenwerkingsinitiatieven worden ondernomen, met dien verstande dat deze ontwikkelingen niets afdoen aan het feit dat partijen zich aan artikel 11.7a Tw zullen moeten houden.
Ik heb inderdaad gepleit tegen het cookie-amendement in zijn oorspronkelijke vorm, omdat de oorspronkelijke formulering voor alle cookies «ondubbelzinnige» toestemming vereiste. Dat is een strenger regime dan de richtlijn voorschrijft. De indieners van het amendement hebben daarop de formulering aangepast.

Vraag 1

Bent u bekend met het bericht «Nederland zakt op ranglijst sterkste IT-landen» op nu.nl van 27 september 2011?

Ja.

Vraag 2

Deelt u de mening dat het een zeer onwenselijke situatie is dat Nederland maar liefst 5 plekken gedaald is op de IT Industry Competitiveness Index en daarmee bijna uit de top 10 van sterke IT-landen is verdwenen?

Dit zou zeer onwenselijk zijn indien deze concurrentie-index voor de ICT-productiesector een reflectie zou zijn van het bredere beeld van scores van Nederland op ICT-terrein. Dit is echter niet geheel het geval. Deze index is een van vele indices die jaarlijks worden gepubliceerd, elk met zijn eigen aandachtspunten en wijze van berekenen. Op vele andere indices scoort Nederland op het terrein van ICT juist goed.
In de laatste Digitale Agenda scoreboard van de Europese Commissie, gepubliceerd op 31 mei 2011, scoort Nederland als een van de beste EU-lidstaten op het terrein van ICT. In Nederland heeft 91% van de huishoudens toegang tot breedband en daardoor tot snel internet. Van de Nederlandse huishoudens is 88% wekelijks online en Nederland loopt ook wereldwijd voorop in het online kopen van producten en het afnemen van diensten.

Vraag 3

Klopt het dat Nederland met een verlies aan score van 4,9 punten ten opzichte van vorig jaar de grootste daler in de lijst is? Wat is de oorzaak hiervan en hoe gaat u dit in de toekomst voorkomen?

De vorige meting heeft plaatsgevonden in 2009. Nederland en Estland zijn de sterkste dalers qua aantal punten. De score van Nederland daalt met 4,9 punten, de score van Estland 10,6 punten. Dalingen van de posities van Nederland blijken zich voor te doen bij de onderdelen menselijk kapitaal, R&D-klimaat en ondersteuning voor ontwikkeling van ICT-bedrijvigheid. Zie verder het antwoord op vraag 4.

Vraag 4

Klopt het dat Nederland met name slecht scoort op het gebied van ondersteuning voor ICT-ontwikkeling in het bedrijfsleven, human capital en het R&D-klimaat? Wat zijn daar volgens u de oorzaken van en wat gaat u hieraan doen?

Nederland scoort op die drie onderdelen het laagst in vergelijking met andere landen. Het onderzoek biedt echter geen heldere vergelijkingen van de posities van landen op de achterliggende indicatoren. Op de website over het onderzoek is een wereldkaart beschikbaar waar voor elk land afzonderlijk de score per indicator kan worden nagegaan, zonder dat direct de positie van dat land binnen het totaal van 66 landen duidelijk is. Opvallend is verder dat onder menselijk kapitaal bij de indicatoren «Enrolment in science» en «Employment in IT» naar absolute aantallen personen lijkt te zijn gekeken, in plaats van personen in verhouding tot bijvoorbeeld de bevolking van een land. De lage positie die Nederland krijgt toebedeeld op het terrein van menselijk kapitaal, komt niet goed overeen met informatie uit andere bronnen. Het nieuwe bedrijfslevenbeleid is gericht op een sterk bedrijfsleven. R&D en innovatie, menselijk kapitaal en ICT zijn daarbij belangrijke factoren. Op het terrein van R&D en innovatie is nog veel verbetering te wensen, maar ook menselijk kapitaal en ICT krijgen grote aandacht in het beleid.

Vraag 5

Deelt u de mening dat ICT in Nederland meer aandacht verdient dan nu het geval is omdat ICT gerelateerde activiteiten in Nederland zorgen voor 60 procent van de economische groei, zoals uzelf eerder heeft aangegeven?

Ja. Het belang van ICT voor economie en samenleving onderstreep ik en dit is een belangrijk doorsnijdend thema voor innovatie in alle topsectoren.

Vraag 6

Nu ICT niet als topsector is benoemd in de bedrijfslevennotitie van het kabinet, hoe denkt u er dan toch voor te zorgen dat deze sector voldoende aandacht krijgt en we volgend jaar weer stijgen in de IT Industry Competitiveness Index?

De ICT-sector is een belangrijke sector voor het kabinet. Om ICT optimaal te benutten wordt in het nieuwe bedrijfslevenbeleid ICT daarom ook meegenomen in alle topsectoren. Daarnaast komen een groot aantal ICT acties – gericht op alle ondernemers – terug in de Digitale implementatie agenda 2012–2015, die ik dit najaar aan uw Kamer zal sturen.

Vraag 1

Heeft u kennisgenomen van het artikel «E-aangifte ondernemers veilig ondanks DigiNotar-hack»?1

De Diginotarproblematiek heeft ertoe geleid dat een andere certificaatleverancier, te weten KPN/Getronics, de desbetreffende certificaten gaat leveren. De Belastingdienst had in het weekend waarin de Diginotarproblematiek zich voordeed meteen intensief overleg met software-ontwikkelaars, koepels van fiscale dienstverleners, VNO-NCW/MKB-Nederland en ICT-office. Het overleg met de sector is de afgelopen weken voortgezet; onderwerp van deze overleggen is de operatie waarbij Diginotarcertificaten worden vervangen door KPN/Getronicscertificaten. In een van die overleggen heeft de Belastingdienst gegarandeerd dat de prijs van de certificaten van KPN/Getronics niet zal afwijken van de tot voor kort door Diginotar gehanteerde prijs.
Fiscaal dienstverleners, want daarover gaat het vooral in het kader van deze vervangingsoperatie, schaffen derhalve voor de «oude» prijs een nieuw certificaat aan dat weer voor 4 jaar geldig is. Er is dus geen sprake van verhoging van kosten en administratieve lasten. De Diginotarproblematiek maakt duidelijk dat snel overstappen naar een andere leverancier eenvoudig mogelijk moet zijn. Met beveiligingsoplossingen die voldoen aan eHerkenning voor bedrijven wordt overstappen gemakkelijker.

Vraag 2

Klopt het dat «in overleg met de betrokken partijen – softwareleveranciers, fiscale intermediairs, VNO-NCW en de Belastingdienst – is vastgesteld dat de continuïteit van het netwerk geborgd is»?

Zie antwoord vraag 1.

Vraag 3

Heeft het overleg tussen de betrokken partijen een gedragen conclusies opgeleverd? Kunt u die met de Kamer delen?

Zie antwoord vraag 1.

Vraag 4

Bent u voornemens acties te ondernemen, zoals het verplicht vervangen van certificaten, die gevolgen hebben voor de lasten en de administratieve lasten van het bedrijfsleven? Zo ja, wilt u aangeven hoe hoog die lasten en administratieve lasten zijn en hoe u de lasten compenseert voor het bedrijfsleven?

Zie antwoord vraag 1.

Vraag 5

Klopt het dat «in het overleg is vastgesteld dat de systemen waarmee ondernemers direct of via hun intermediair aangifte doen ook in deze situatie kunnen blijven functioneren»?

Deze vragen moeten op een misverstand berusten: in het ondernemersdomein komt momenteel geen sms-authenticatie voor. Deze is alleen bekend bij DigiD, niveau midden, maar die voorziening geldt slechts voor burgers.
Mogelijk wordt gedoeld op de voorgenomen afschaffing van de zogeheten BAPI-PIN-variant in het ondernemersdomein. Daarvoor verwijs ik naar de gelijktijdige beantwoording van de vragen van de leden Omtzigt, Neppérus en Groot.

Vraag 6

Deelt u de mening dat het dus gepast is alle BAPI-kanalen en FOS-kanalen2 in de huidige vorm te handhaven?

Zie antwoord vraag 5.

Vraag 1

Kent u het artikel «De geheimen van een supertapper»?1

Ja.

Vraag 2

Hoe beoordeelt u een uitspraak als «ik ben heel erg duwend richting OM en politie om het anders aan te pakken», gevolgd door «het zal ons zakelijk uiteindelijk geen windeieren leggen»?

Uit de context van deze passage in het interview valt af te leiden dat de uitspraak van de geïnterviewde betrekking heeft op de ideeën die hij heeft over de mogelijkheden die politie en justitie ten dienste zouden moeten staan bij de aanpak van cybercriminelen. In het bijzonder pleit hij voor meer armslag in de (wettelijke) opsporingsbevoegdheden ten aanzien van het betreden van computers op afstand en het opereren over de landsgrenzen. Deze wens is overigens ook door het OM geuit.
De uitspraken van de geïnterviewde moeten ook tegen de bovengenoemde achtergrond worden gelezen. In individuele opsporingsonderzoeken waarin gebruik werd gemaakt van de diensten van het bedrijf van de geïnterviewde is uiteraard geen sprake geweest van enige sturing op de loop van het onderzoek. Dat het bedrijf vormen van expertise commercieel exploiteert heeft in deze onderzoeken niet op gespannen voet gestaan met de belangen van de opsporing en vervolging.

Vraag 3

In hoeverre is de geschetste afhankelijkheidsrelatie met Fox-IT niet alleen uniek maar hierdoor ook kwetsbaar is?

Bij de bestrijding van high tech crime is soms behoefte aan een zeer specifiek (niche) specialisme waarvan het niet rendabel is dat deze binnen de opsporingsteams wordt onderhouden. In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing. Het aantal partijen dat beschikt over de vereiste expertise is beperkt. Een afhankelijkheidsrelatie is natuurlijk onwenselijk. De ingehuurde specialisten worden binnen opsporingsonderzoeken steeds actief begeleid door opsporingsambtenaren met kennis van zaken. Daarnaast worden de tactische beslissingen binnen een opsporingsonderzoek uitsluitend door de politie en het OM genomen.

Vraag 1

Herinnert u zich de antwoorden op de Kamervragen over de inbreuk op privacy door LinkedIn? 1)

Ja.

Vraag 2

Hanteert het College bescherming persoonsgegevens (CBP) specifieke richtlijnen voor de omgang met en het beschermen van persoonsgegevens door sociale netwerksites? Zo ja, welke zijn deze regels? Zo nee, waarom niet? Bent u in dat laatste geval voor of tegenstander van nadere regelgeving?

Desgevraagd heeft het Cbp mij laten weten dat het de volgende richtlijnen hanteert met betrekking tot de omgang en het beschermen van persoonsgegevens door sociale netwerksites:
Voornoemde uitgangspunten zijn tevens terug te vinden in een gemeenschappelijk standpunt over het begrip toestemming van 13 juli 2011 van de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (zie met name pagina 35).1

Vraag 3

Deelt u de mening dat, los van deze specifieke casus, het principieel onjuist is indien sociale netwerksites persoonlijke gegevens van hun gebruikers zonder (expliciete) toestemming vooraf voor reclame danwel andere commerciële doeleinden gebruiken?

Eén van de eisen die de Wbp stelt aan de verwerking van persoonsgegevens is de aanwezigheid van een grondslag voor de gegevensverwerking. De Wbp bevat een aantal rechtsgeldige grondslagen, waaronder ondubbelzinnige toestemming van de betrokkene voor de verwerking. Sociale netwerksites moeten zich bij de verwerking van persoonsgegevens te allen tijde houden aan de eisen van de Wbp.

Vraag 4

Deelt u tevens de mening dat, indien het sociale netwerksites binnen de huidige richtlijnen van het CBP is toegestaan accountinstellingen van hun gebruikers ongevraagd te wijzigen teneinde persoonsgegevens te gebruiken voor commerciële doeleinden, dit ongewenst is? Zo ja, bent u bereid het CBP op te dragen deze te wijzingen? Zo nee, waarom niet?

Het Cbp vult haar toezicht- en handhavingsbevoegdheden nader in via handhavingsbeleid. Met betrekking tot de omgang met en bescherming van persoonsgegevens door sociale netwerksites hanteert het Cbp richtlijnen zoals in mijn antwoord op vraag 2 weergegeven. Daaruit leid ik af dat het Cbp al diverse kwalitatieve eisen stelt aan de omgang van en de bescherming van persoonsgegevens door sociale netwerksites, in het bijzonder waar het de invulling van het begrip ondubbelzinnige toestemming betreft.
Overigens heeft het Cbp een wettelijk gegarandeerde onafhankelijke positie. Gelet hierop beschik ik niet over bevoegdheden om het Cbp voor te schrijven hoe zich te gedragen in individuele toezichtszaken.

Vraag 5

Wilt u elk van deze vragen uitdrukkelijk afzonderlijk beantwoorden?

Zie hiervoor.

Vraag 1

Kent u het bericht «Browsermakers geven nieuwe versie uit na DigiNotar blunder»?1

Ja.

Vraag 2

Heeft deze blunder gevolgen voor het gebruik van DigiD omdat DigiNotar het bedrijf is dat de beveiligingscertificaten levert waardoor burgers veilig gebruik kunnen maken van DigiD?

Het heeft gevolgen gehad voor het gebruik van DigiD. In de loop van dinsdag 6 september is DigiD overgeschakeld naar een andere certificaatleverancier. Voor die tijd kunnen burgers geconfronteerd zijn met waarschuwingen of meldingen dat de site niet langer vertrouwd kan worden.

Vraag 3

Is er aanleiding om DigiNotar en andere «certificate authorities» aan nadere inspectie te onderwerpen om de privacy van Nederlandse burgers te waarborgen?

Het Kabinet heeft in de nacht van vrijdag op zaterdag het operationele beheer van systemen voor certificaten van DigiNotar overgenomen, teneinde de schade van de gebleken inbreuk op de integriteit van het internetverkeer te beperken en de beheersmaatregelen ter beperking van de gevolgen te kunnen treffen. Daardoor wordt een beheersbare migratie naar andere certificaten mogelijk zonder dat dit voor zover bekend additionele risico’s schept.
Op dit moment wordt prioriteit gegeven aan het beheersen van het huidige incident en de gevolgen daarvan. Tegelijkertijd constateert het Kabinet dat de structurele betekenis van de gebeurtenissen in ogenschouw moeten worden genomen. Als onderdeel daarvan voert het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een onderzoek uit naar het gehele stelsel en proces rondom PKI-Overheid, inclusief het toezicht daarop. De Tweede Kamer wordt hierover geïnformeerd zodra hierover meer duidelijkheid is.

Vraag 4

Gaat de blunder bij DigiNotar naar uw verwachting gevolgen hebben voor de electronische dienstverlening van de overheid? Gaan burgers en/of overheidsonderdelen hier hinder van ondervinden? Zo nee, waarom niet?

De inbraak bij DigiNotar en de door de hacker daarbij aangemaakte en gebruikte certificaten vormen een ernstige aantasting van het vertrouwen in en de integriteit van het digitale communicatieverkeer. De aantasting van het vertrouwen in de certificaten van DigiNotar kan potentieel grote implicaties hebben voor zowel het verkeer tussen mens en machine als voor het verkeer tussen machines onderling.
Voor het digitale communicatieverkeer ontstaat door het aanmaken en gebruik van boven genoemde certificaten het risico dat het voor de internetgebruiker niet meer zichtbaar is of hij te maken heeft met een betrouwbare website of computer, blijkend uit het certificaat («slotje») op het scherm. De mogelijke introductie van deze certificaten maakt, dat gebruikers er niet meer in alle gevallen zonder meer van uit kunnen gaan, dat het een veilige internetcommunicatie betreft. In dergelijke gevallen kan de burger worden doorgeleid naar een niet bedoelde site, waarbij de gegevens die de burger verstrekt, in verkeerde handen terechtkomen. Hierdoor wordt het vertrouwen in het digitale communicatieverkeer ernstig aangetast.
Het Kabinet heeft het operationele beheer van de systemen voor certificering bij DigiNotar gecontroleerd overgenomen, zodat de certificaten gefaseerd kunnen worden ingetrokken en het gebruik van de door hacker aangemaakt en gebruikte certificaten kan worden gemonitord en kan worden bestreden waar dit wordt waargenomen.
Er zijn tot dusver echter geen aanwijzingen dat dit in Nederland ook daadwerkelijk heeft plaatsgevonden.

Vraag 5

Heeft het feit dat bedrijven als Mozilla, Microsoft2 en Google het vertrouwen in DigiNotar hebben opgezegd gevolgen voor de samenwerking tussen de Nederlandse overheid en DigiNotar?

Het Kabinet heeft het vertrouwen in het bedrijf DigiNotar en alle door hen geleverde diensten en certificaten opgezegd en het operationele beheer van het systeem voor het verstrekken van certificering overgenomen. Alle door het bedrijf afgegeven certificaten voor publieke en semi-publieke organisaties worden vervangen door certificaten van andere certificatenleveranciers nadat is gebleken dat de certificaten en diensten van de andere certificatenleveranciers betrouwbaar zijn.

Vraag 6

Klopt de uitspraak van woordvoerder Jochem Binst dat de blunder van Diginotar geen gevolgen heeft voor het werk dat DigiNotar voor de overheid doet? Zo ja, kunt u dit toelichten?

Zie het antwoord op vraag 5.

Vraag 7

Klopt het dat DigiNotar gehackt is, zoals op F-secure wordt gemeld?3

Er heeft een hack (digitale inbraak) bij DigiNotar plaatsgevonden. Zie feitenrelaas in brief d.d. 5 september.

Vraag 8

Gaat u onderzoeken of Iran achter de (geslaagde) hackpoging van DigiNotar zit? Zo nee, waarom niet? Zo ja, is hier sprake van cybercrime of cyberwarfare?

Het Kabinet onderzoekt momenteel wie betrokken zijn bij het hacken van DigiNotar. Mede in het licht van de uitkomst daarvan zal het Kabinet beslissen over passende vervolgstappen.

Vraag 9

Gaat u onderzoeken of er mensenrechten in Iran zijn geschonden doordat Iran een Nederlands certificaat heeft weten te bemachtigen?

Zie het antwoord op vraag 8.

Vraag 1

Klopt het dat het Centraal Informatiepunt Slachtoffers (CIS) het onderzoek naar oneigenlijk c.q. onwettig gebruik van Deep Paket Inspection (DPI) gesloten heeft en klagers daarvan op de hoogte gesteld heeft? Zo ja, welke aanleiding was er het onderzoek te sluiten? Zo nee, waarom heeft het CIS klagers dan die indruk gegeven?

Ieder arrondissement beschikt over een slachtofferinformatiepunt met een eigen telefoonnummer. Hier kunnen slachtoffers terecht met vragen over hun aangifte, de stand van een strafrechtelijk onderzoek of bijvoorbeeld slachtofferhulp. Het maakt hierbij niet uit of de gevraagde informatie afkomstig is van de politie of van het openbaar ministerie. Slachtofferinformatiepunten zoals het CIS hebben geen zelfstandige bevoegdheid om een aangifte te weigeren of een lopend strafrechtelijk onderzoek te sluiten.
Naar aanleiding van de aandacht in de media op 12 en 13 mei 2011 hebben diverse personen aangifte gedaan tegen het gebruik van deep packet inspection door hun provider. Deze aangiften zijn door verschillende regiokorpsen in het land opgenomen. Vanaf 13 mei 2011 heeft de landelijk officier van justitie voor cybercrime en interceptie de coördinatie van deze aangiften op zich genomen omdat het openbaar ministerie inmiddels besloten had tot een eigen oriënterend onderzoek naar de strafbaarheid van het gebruik van DPI. Nadat het OM het oriënterend onderzoek eind juli 2011 had afgerond, zijn de aangiften op gecoördineerde wijze geseponeerd. Voor de overwegingen om te seponeren verwijs ik naar het antwoord op vragen 3 en 4.

Vraag 2

Klopt het dat de politie aan mensen die aangifte gedaan hebben van oneigenlijk c.q. onwettig gebruik van DPI, een dag na aangifte een brief gestuurd heeft waarin staat dat er «onvoldoende aanknopingspunten» zijn en «geen zicht is op een verdachte»? Zo ja, vindt u dat de politie in zo'n korte tijd adequate opsporing heeft kunnen verrichten naar het oneigenlijk c.q. onwettig gebruik van DPI?

Zie antwoord vraag 1.

Vraag 3

Hoe valt het staken van het onderzoek door CIS en politie te rijmen met het feit dat KPN heeft erkend gebruik te maken van de techniek en met het feit dat de OPTA constateert dat telecomproviders mogelijk de wet hebben overtreden en de providers zelf hebben aangegeven gebruik te blijven maken van DPI om het dataverkeer te analyseren?

Op 28 juli 2011 heeft het Landelijk Parket van het Openbaar Ministerie geconcludeerd dat een nader strafrechtelijk onderzoek niet in de rede ligt. Het OM heeft vastgesteld dat KPN zich niet schuldig heeft gemaakt aan overtreding van art. 139c Wetboek van Strafrecht (afluisteren/opnemen). Bij de inzet van het DPI-instrument heeft KPN gebruik gemaakt van een configuratie die de inhoudelijke communicatie van klanten versleutelde in een voor mensen niet herkenbare vorm. Hierdoor hebben medewerkers van (of werkend voor) KPN op geen enkele wijze kennis kunnen nemen van de inhoudelijke en vertrouwelijke communicatie van de klanten van KPN. Voor een uitgebreide uitleg over de bevindingen van het onderzoek van het OM verwijs ik naar mijn brief van 13 september 2011 aan uw Kamer heb gestuurd.
Het onderzoek van OPTA, waarnaar in de vraag wordt verwezen, is een voorlopig onderzoek naar het gebruik van DPI door telecomaanbieders. Op basis van deze «quick-scan» concludeert OPTA dat er in dit stadium van het onderzoek op basis van de Telecommunicatiewet geen aanleiding is voor handhavend optreden tegen de onderzochte aanbieders van mobiele netwerken. Het College Bescherming Persoonsgegevens (CBP) voert op dit moment een nader onderzoek uit naar de vraag of zich overtredingen van de Wet bescherming persoonsgegevens voordoen of hebben voorgedaan.

Vraag 4

Is inmiddels bekend wat het oriënterend onderzoek van het Landelijk Parket van het Openbaar Ministerie naar mogelijk strafbare toepassing van de DPI-techniek door telecomproviders heeft opgeleverd? Zo nee, waarom niet en op welke termijn zijn de resultaten te verwachten? Zo ja, zijn de resultaten daarvan van dien aard dat het Openbaar Ministerie (nader) strafrechtelijk onderzoek zal doen?

Zie antwoord vraag 3.

Vraag 5

Acht u de reactie van CIS en politie in overeenstemming met uw toezegging om uitvoering te geven aan de motie Braakhuis c.s.1, zoals gedaan tijdens het algemeen overleg VTE Raad van 24 mei jl.? Zo ja, waarom? Zo nee, op welke wijze en termijn wilt u nadere actie van politie en/of CIS bevorderen?

Ja, de motie-Braakhuis ziet op het vastleggen van netneutraliteit in de Telecommunicatiewet, zodat het voor providers niet langer mogelijk zou zijn in hun abonnementen te differentiëren op basis van het soort gebruik van dataverkeer. De motie verbiedt echter niet de telecomaanbieders om technieken als DPI te gebruiken binnen de wettelijke kaders om bijvoorbeeld het dataverkeer te managen.
Zoals bekend is op 22 juni 2011 door uw Kamer een nieuwe Telecomwet aangenomen, waarin providers verboden wordt bepaalde diensten of toepassingen te belemmeren of te vertragen, bijvoorbeeld door een zwaardere tarifering. Dit impliceert tevens dat providers geen technische analysemiddelen mogen inzetten met het doel een dergelijke differentiatie mogelijk te kunnen maken. Providers als KPN en Vodafone hebben, nadat deze wet door de Tweede Kamer was aangenomen, uitdrukkelijk aangegeven zich aan deze nieuwe regeling over netneutraliteit te houden op het moment dat deze van kracht is. De aangewezen instantie om er op toe te zien dat providers zich houden aan deze wettelijke waarborgen van de netneutraliteit (inclusief de in de wet genoemde uitzonderingsgevallen) is OPTA. Een rol voor het strafrecht ligt hier niet in de rede.

Vraag 1

Heeft u kennisgenomen van het artikel betreffende de supercookies?1

Ja.

Vraag 2

Deelt de u de mening dat deze supercookies veel verder gaan dan de normale cookies en zich gedragen als een soort virus of malware? Zo nee, waarom niet?

De supercookies worden in het artikel omschreven als cookies die in staat zijn om zichzelf na verwijdering door de computergebruiker, opnieuw te installeren op een computer. Hierop is artikel 4.1 van het Besluit universele dienstverlening eindgebruikersbelangen van toepassing. Hierin wordt kort gezegd geregeld dat een ieder die (onder andere) cookies wenst op te slaan op de computer van een gebruiker, voorafgaand aan die handeling de gebruiker op een duidelijke wijze dient te informeren over de doeleinden ervan en op voldoende kenbare wijze gelegenheid dient te bieden de desbetreffende handeling te weigeren. Het verwijderen van geplaatste cookies kan gezien worden als weigering van de plaatsing van deze cookies. Het is aan OPTA, als toezichthouder, om in concrete gevallen te oordelen of deze wijze van gebruik van cookies in strijd is met artikel 4.1 van het Besluit universele dienstverlening en eindgebruikersbelangen.

Vraag 3

Vindt u ook niet dat deze cookies zouden moeten vallen onder computervredebreuk en het gebruik hiervan als zodanig verboden zou moeten worden? Zo nee, waarom niet?

Computervredebreuk is omschreven in artikel 138ab van het Wetboek van Strafrecht. Vereist is dat opzettelijk en wederrechtelijk wordt binnengedrongen in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake door het doorbreken van een beveiliging, door een technische ingreep, met behulp van: valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid. In hoeverre er in het beschreven geval
van de zelfherstellende supercookies sprake is van computervredebreuk hangt nauw samen met de technische opzet en werking van de betreffende supercookies en de vraag of deze met zich meebrengen dat er sprake is van wederrechtelijk binnendringen als vereist voor computervredebreuk. Het definitieve oordeel hierover is aan een rechter in een strafzaak.

Vraag 4

Hoe beoordeelt u het gebruik van de in het artikel genoemde supercookies, in het licht van artikel 4.1 van het Besluit universele diensverlening en eindgebruikersbelangen?

Zie antwoord vraag 2.

Vraag 1

Herinnert u zich de Kamervragen over inbreuk door LinkedIn op privacy?1

Vraag 2

Bent u bekend met het feit dat Facebook via de speciale Facebook applicatie voor smartphones automatisch contactpersonen uit telefoonlijsten en vrienden op Facebook synchroniseert, waardoor telefoonnummers van Facebookvrienden automatisch op iemands Facebookpagina komen te staan?

Vraag 3

Deelt u de mening dat het automatisch toestemming geven voor het kopiëren van telefoonnummers door Facebook ongewenst is en dat er expliciet om toestemming zou moeten worden gevraagd? Zo ja, hoe gaat u er zorg voor dragen dat deze praktijk wordt aangepast? Zo nee, waarom niet?

Vraag 4

Heeft Facebook naar uw mening genoeg gedaan om gebruikers te informeren over het feit dat dit gebeurt? Zo nee, waar is Facebook volgens u dan tekort geschoten?