Vraag 1

Bent u bekend met de recente berichten over ict-storingen en cyberaanvallen in onder andere het Maastricht UMC en het UMC Groningen?1, 2, 3

Ja.

Vraag 2

Kunt u toelichten om wat voor soort ict-storing het in deze gevallen precies gaat? Gaat het om ondersteunende processen of zijn ook vitale processen geraakt?

Vraag 3

Welke gevolgen heeft de ict-storing bij het Maastricht UMC gehad voor operaties, behandelingen en afspraken van patiënten?

Vraag 4

Wordt informatie over de (evaluatie van een) storing bij een bepaald ziekenhuis standaard gedeeld met andere ziekenhuizen, zodat zij hiervan kunnen leren? Zo nee, waarom niet?

Het Computer Emergency Response Team voor de zorg (Z-CERT) deelt dreigings- en incidentinformatie onder hun leden, waar het gaat om IT-beveiliging. Alle Nederlandse ziekenhuizen die lid zijn van de Nederlandse Federatie van Universitair Medische Centra (NFU) of de Nederlandse Vereniging van Ziekenhuizen (NVZ) zijn aangesloten bij Z-CERT. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen ziekenhuizen informatie over incidenten met elkaar en andere zorginstellingen delen. Z-CERT deelt geen incidentinformatie onder hun leden wanneer het gaat om generieke ICT-storingen.

Vraag 5

Ben u mening dat deze storing en de eerdere cyberaanvallen incidenten zijn of is er sprake van structurele en toenemende risico’s voor ziekenhuizen op het gebied van ict-veiligheid?

Z-CERT, het Nationaal Cyber Security Center (NCSC) of hun (internationale) partners hebben niet eerder kennisgenomen dat Nederlandse ziekenhuizen doelwit waren van een DDoS-aanval. Uit het dreigingsbeeld dat Z-CERT jaarlijks publiceert blijkt echter wel dat het risico van cyberaanvallen op zorgorganisaties toeneemt4. Zorginstellingen zijn daarnaast in toenemende mate afhankelijk van ICT-middelen. Versterking van de digitale weerbaarheid van het zorgveld is daarom des te belangrijker. Mijn beleid is daar ook op gericht. Ik ga hier verder op in bij de beantwoording van vraag 13.

Vraag 6

Kunt u een update geven van de status van de maatregelen die ziekenhuizen moeten nemen om de deadline van de Inspectie Gezondheidszorg en Jeugd (IGJ) te halen om eind 2023 aan de wettelijke norm voor informatiebeveiliging (NEN 7510) te voldoen? Zijn alle ziekenhuizen goed op weg om deze deadline te halen?

Om aan de wettelijke norm voor informatiebeveiliging (NEN 7510) te voldoen moeten ziekenhuizen een managementsysteem voor informatiebeveiliging inrichten. Dit houdt in dat zij op basis van een risicoanalyse vaststellen welke beheersmaatregelen voor informatiebeveiliging zij gaan inrichten. Na het inrichten van deze beheersmaatregelen moeten zij geregeld controleren of de maatregelen werken zoals bedoeld en zo nodig nadere maatregelen nemen. Dit heet ook wel een kwaliteitscyclus of plan-do-check-act cyclus. De NEN 7510 vereist dat een ziekenhuis beschikt over een onafhankelijke beoordeling van de informatiebeveiliging.
De Inspectie Gezondheidszorg en Jeugd (IGJ) besteed al geruime tijd aandacht aan de status van informatiebeveiliging bij ziekenhuizen. Zie hiervoor ook de eerder gepubliceerde factsheets Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren5 en ICT-storingen in ziekenhuizen: lessen voor bestuurders en ICT-managers6. In juni 2022 heeft de IGJ van alle ziekenhuizen in kaart gebracht of zij aantoonbaar voldeden aan de norm.
Het voortgangsbeeld is nog in beweging. Inmiddels heeft een groot deel van de ziekenhuizen een onafhankelijke beoordeling uitgevoerd. Waar dat nodig is gebleken, zijn de ziekenhuizen bezig om de daaruit voortgekomen noodzakelijke verbetermaatregelingen door te voeren. De IGJ heeft lopende afspraken over de voortgang met alle ziekenhuizen die nog niet aantoonbaar aan de norm voldoen. Waar nodig zal de IGJ te zijner tijd handhavingsmaatregelen overwegen bij ziekenhuizen waar de informatiebeveiliging onvoldoende is.

Vraag 7

Het klopt toch dat alle grote zorgorganisaties zoals ziekenhuizen en ggz-instellingen al jaren verplicht aangesloten zijn bij Z-Cert?

Er bestaat geen wettelijke verplichting voor zorgorganisaties om zich aan te sluiten bij Z-CERT. Echter, alle Nederlandse ziekenhuizen die lid zijn van de Nederlandse Federatie van Universitair Medische Centra (NFU) of de Nederlandse Vereniging van Ziekenhuizen (VVZ) zijn deelnemer van Z-CERT. Het zelfde geldt voor de Nederlandse GGZ instellingen. Daarnaast worden steeds meer zorgaanbieders uit andere (sub-)sectoren lid. Het Ministerie van VWS beleid is erop gericht de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Het Ministerie van VWS kiest er daarbij voor om de aansluiting van aanbieders en sectoren te organiseren op basis van een risico-gebaseerde aansluitstrategie. Dit is in oktober 2021 aan uw Kamer gecommuniceerd in een Kamerbrief.7 Deze strategie houdt in dat (sub-)sectoren met de grootste risico’s op cyberaanvallen – en de daarbij behorende impact – geprioriteerd worden aangesloten bij Z-CERT. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende (sub-)sectoren aangesloten bij Z-CERT.

Vraag 8

Is intussen voor kleinere zorgaanbieders, zoals wijkverpleging, huisartsen, apothekers, ook aansluiting bij Z-Cert verplicht, aangezien daar ook veel gevoelige informatie is opgeslagen? Zo nee, waarom niet en wanneer gaat dit dan wel gebeuren?

Zie antwoord vraag 7.

Vraag 9

Begrijpen wij correct dat Z-CERT ook gehackt is, terwijl Z-Cert juist degene is die zorgorganisaties moet attenderen op potentiële bedreigingen?

Nee, dat is niet correct. Z-CERT is niet gehackt. De website van Z-CERT heeft kortdurend hinder ondervonden van een DDoS-aanval. Dit heeft geen invloed gehad op de dienstverlening van Z-CERT.

Vraag 10

Controleert Z-Cert ook bij zorgorganisaties of men de updates heeft geïnstalleerd? Zo nee, waarom niet en hoe wordt in dat geval toezicht gehouden?

Het zorgdragen voor de implementatie van de juiste ICT-producten, inclusief daarbij horende latere aanpassingen, is een eigen verantwoordelijkheid van zorgaanbieders. Z-CERT ziet niet toe op welke aanpassingen wel of niet worden geïnstalleerd, maar ondersteunt aangesloten zorginstellingen bij het zelf zorgdragen voor een afdoende veiligheidsniveau, en biedt hulp bij incidenten. Het toezicht op informatieveiligheid van zorgaanbieders is belegd bij de Inspectie Gezondheidszorg en Jeugd (IGJ). De toetsingseisen die IGJ hanteert staan beschreven in het E-health toetsingskader en zijn onder andere gebaseerd op de wettelijke verplichte NEN-normen voor informatieveiligheid in de zorg, waaronder de NEN-7510. Onderdeel van de NEN norm 7510 is dat zorginstellingen kwetsbaarheden in hun software, bv. door middel van patches, moeten mitigeren.

Vraag 11

In hoeverre heeft de NCTV nu ook zorgorganisaties toegevoegd indien bedreigingen worden vastgesteld?

De NCTV heeft een coördinerende rol bij de ontwikkeling van het beleid rond de bescherming van de Nederlandse vitale infrastructuur. Hierbij zijn de verschillende vakdepartementen, waaronder het Ministerie van Volksgezondheid, Welzijn en Sport, verantwoordelijk voor de sectoren die binnen hun beleidsdomein vallen. Ik zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.

Vraag 12

Gaat u minimumeisen stellen aan programma’s zodat slecht beveiligde programma’s uitgebannen worden? Zo nee, waarom niet?

De Europese Commissie heeft in september 2022 een voorstel gedaan voor een Cyber Resilience Act (CRA). In deze verordening worden fabrikanten, importeurs en distributeurs van hard- en software die in de EU in de handel wordt gebracht verplicht er zorg voor te dragen dat deze voldoen aan de daar gestelde cybersecurityvereisten. Deze beveiligingseisen zullen ook gelden voor software in de zorg. Het Kabinet is positief over het voorstel. Over de inhoud van de CRA wordt momenteel nog onderhandeld. Naast de CRA zijn er reeds Europese verordeningen over medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek (2017/745 en 2017/746) van kracht. Deze verordeningen stellen ook eisen aan de software die gebruikt wordt in medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek.

Vraag 13

Zijn er wat u betreft andere aanvullende structurele maatregelen nodig om de ict-veiligheid en cyberweerbaarheid van Nederlandse ziekenhuizen en andere zorgorganisaties te versterken? Zo ja, welke en welke stappen neemt u samen met de ziekenhuizen en zorgorganisaties om hieraan te werken?

Er wordt op verschillende manieren gewerkt aan de informatieveiligheid van het Nederlandse Zorgveld. Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Ik zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. Daarvoor is het Ministerie van VWS in 2019 het project informatieveilig gedrag gestart. Via dit project werk ik aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. In mijn brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik uw Kamer hier nader over geïnformeerd.8
Zoals beschreven in het antwoord op vraag 7 en 8 is VWS-beleid er daarnaast op gericht om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen het zorgveld, middels een risicogestuurde aansluitstrategie. Er wordt ook actief ingezet op een uitbreiding van de diensten van Z-CERT.
Daarnaast zorg ik er samen met het zorgveld voor dat we de eerder genoemde NEN-normen voor informatiebeveiliging blijven ontwikkelen, en breng ik deze normen actief onder de aandacht bij zorgaanbieders. Zo heb ik NEN in 2022 de opdracht gegeven om een herziening van de NEN-7510 te coördineren, en daarbij ook implementatietools te ontwikkelen.
Eveneens heeft het Ministerie van VWS in januari 2023 samen met ROAZ Zuidwest-Nederland en GHOR Zuid-Holland Zuid een grootschalige oefening georganiseerd. Hierbij is gezamenlijk geoefend met een scenario waarin sprake was van digitale verstoring van onder andere de ziekenhuiszorg. De lessen die hieruit zijn getrokken zullen de komende tijd worden gebruikt om de voorbereiding op dergelijke incidenten te verbeteren.
Tot slot wordt de komende tijd gewerkt aan de implementatie van nieuwe Europese richtlijnen met betrekking tot informatieveiligheid (NIB2) en algemene weerbaarheid (CER). Over de deze implementatie zal ik uw Kamer binnenkort nader informeren.

Vraag 1

Hoe beoordeelt u de vrees van externe ict-deskundigen dat benodigde vervanging van cruciale ict-systemen van de loonheffing en inkomstenbelasting – waarmee de Belastingdienst jaarlijks meer dan de helft van de rijksinkomsten binnenhaalt en waarin jaarlijks tientallen miljarden gegevens van burgers worden verzameld – niet op tijd zal komen?1

De vrees dat de continuïteit van de belastingheffing op het spel staat is ongegrond. De oudere systemen zijn in de basis stabiel, maar aanpassingen van deze systemen is complex en vergt meer tijd. Op 20 februari jl. stuurde ik uw Kamer een brief over de ICT bij de Belastingdienst.2 In die brief heb ik aangegeven dat de Belastingdienst een Meerjarenportfolio (MJP) heeft opgesteld waarin het moderniseren van systemen ook de komende jaren ruimte krijgt.
De modernisering van de systemen van loon- en inkomensheffing is gestart in 2018, deze projecten hebben in het MJP hoge prioriteit. De Belastingdienst heeft daarnaast de volgende maatregelen achter de hand:

Vraag 2

Hoe beoordeelt u de vrees van externe ict-deskundigen dat daardoor de continuïteit van de belastingheffing op het spel staat en grote delen van de overheidsfinanciën binnen drie jaar gevaar lopen?

Zie antwoord vraag 1.

Vraag 3

Klopt het dat het platform Cool:Gen vanaf eind 2026 niet meer technisch wordt ondersteund en dat daarom de systemen vóór 2027 moeten worden vervangen?

Nee dit klopt niet, zie ook het antwoord op vraag 1 en 2. Wat het wel betekent is dat Cool:Gen een oude programmeertaal is en dat er zijn steeds minder medewerkers zijn die met Cool:Gen kunnen werken. Hierdoor zal het op termijn steeds meer moeite kosten om onderhoud op de systemen te doen.
Zoals ook in de technische briefing over ICT bij de Belastingdienst van 21 februari jl. is toegelicht, is het de planning dat belastingjaar 2024 zonder Cool:Gen wordt ondersteund. Cool:Gen blijft daarna echter nog wel op de achtergrond draaien voor de voorgaande belastingjaren, omdat we tot acht jaar terug in de aangiftes moeten kunnen kijken vanwege mogelijke naheffingen.
Er zijn mitigerende maatregelen genomen om risico’s voor de continuïteit zo klein mogelijk te houden. Zo heeft de externe leverancier bevestigd dat er ondersteuning zal zijn, ook als dat na 2026 nodig is.

Vraag 4

Hoe kan het dat de planning van de vernieuwing van het inkomstenbelasting ict-systeem al met een jaar is uitgelopen en waarom bestaat het risico dat die nog verder uitloopt waardoor de volledige uitfasering onhaalbaar wordt?

Per jaar is een bepaald aantal IV-dagen gepland om de systemen te onderhouden en te bouwen. Door het niet geplande werk om het Box 3 herstel tijdig uit te voeren heeft niet al het geplande vernieuwingswerk plaats kunnen vinden. Hierdoor is vertraging ontstaan op de vernieuwing van het inkomstenbelastingsysteem.
De planning voor de afronding van de modernisering van applicaties die werken met Cool:Gen is voorzien eind 2026 (met 2024 als het laatst te behandelen belastingjaar) en is op dit moment nog steeds haalbaar. Zie ook onderstaande figuur welke is toegelicht in de technische briefing over ICT bij de Belastingdienst aan uw Kamer op 21 februari jl.

Vraag 5

Kunt u nader toelichten wat er is gebeurd waardoor de vernieuwing van het systeem voor de loonheffing na anderhalf jaar nog in de opstartfase zat en hoe het nu met het project staat?

In de zomer van 2022 heeft het Adviescollege ICT (AcICT) een toets uitgevoerd over het programma Vernieuwen Heffing Loonbelastingen en Premies (vHLP). Dit programma vervangt de applicatie Heffing Loonbelastingen en Premies, welke op het verouderd ICT-platform Cool:Gen draait. De conclusie van het AcICT was kritisch en conform het advies van het AcICT focust de Belastingdienst op het borgen van de continuïteit van de keten Loonheffingen door het zo snel mogelijk uitfaseren van de verouderde technologie. Mede naar aanleiding van het onderzoek zijn ook initiatieven opgestart om tot verbetering te komen. Het programma vHLP heeft inmiddels een herijkte businesscase waar de opmerkingen van het AcICT ook in zijn verwerkt. Dit houdt o.a. in dat er maatregelen genomen zijn om de sturing effectiever te maken en dat er gekozen wordt voor een meer integrale aanpak. De planning is dat de doelstellingen van het programma vHLP in 2027 worden gerealiseerd. De huidige functionaliteit wordt in deze periode stap voor stap vervangen. Zodra een deelfunctionaliteit beschikbaar is gaat deze naar productie. Deze aanpak reduceert het risico aanzienlijk en hiermee borgen we de continuïteit op de middellange termijn. Voor de concretere uitwerking hiervan, verwijs ik u naar mijn brief van 6 september 20223 waarin ik uitgebreid in ga op het advies van het AcICT.

Vraag 6

Wat is er nodig om de systemen wél vóór 2027 te vervangen, kan hier meer prioriteit aan worden gegeven en wat betekent dat voor andere processen binnen de Belastingdienst?

Zoals ook in de Kamerbrief van 20 februari jl. is aangegeven is het cruciaal dat de Belastingdienst het Meerjarenportfolio blijft volgen: de Belastingdienst zal zich moeten houden aan de planning die het zich heeft gesteld om een goed functionerende en moderne ICT te realiseren. Het vervangen van verouderde systemen heeft maakt een belangrijk deel uit van de huidige Meerjarenportfolio. Het is niet reëel om de vervanging van systemen verder te versnellen. Het werven en behouden van ICT-personeel is in de huidige markt niet eenvoudig. Bovendien moeten projecten beheersbaar blijven. Verdere versnelling in krappe planningen leidt niet tot een verbetering van de beheersbaarheid.
Daarnaast leidt vervanging van de systemen met de huidige planning niet tot een grote toename van «onoplosbare fouten of storingen». De systemen zijn in de basis stabiel, alleen aanpassingen van deze systemen is complex en vergt meer tijd. Dat maakt inderdaad dat wetsaanpassingen lastig door te voeren zijn.
Er zijn de afgelopen jaren diverse maatregelen genomen de planning van de vervanging te realiseren. Zo is ervoor gekozen om eerst Cool:Gen te vervangen en daarna pas vernieuwingen door te voeren zoals dienstonderdelen van de Belastingdienst die wensen.

Vraag 7

Hoe wilt u omgaan met de risico’s van niet-tijdige vervanging die kunnen leiden tot onoplosbare fouten of storingen in het systeem, waardoor niet meer geïnd kan worden en ook wetswijzigingen op de inkomensheffing niet meer mogelijk zijn?

Zie antwoord vraag 6.

Vraag 8

Verschilt uw conclusie ten aanzien van de haalbaarheid van de systeemvernieuwing vóór 2027 van die van de ict-experts?

De belangrijkste conclusie van het AcICT is dat men verwacht dat het programma vHLP niet in staat zal zijn tijdig zijn doelstellingen te verwerken. In mijn brief van 6 september 2022 ga ik uitgebreid in op deze conclusie en ga ik ook in op de verbeteringen die de Belastingdienst doorvoert naar aanleiding van het advies van het AcICT. Mede naar aanleiding van het onderzoek zijn initiatieven opgestart om tot verbeteringen te komen. Zo heeft het programma vHLP inmiddels een herijkte businesscase waarin de opmerkingen van het AcICT zijn verwerkt. Zoals beschreven koerst de Belastingdienst op vervanging van het systeem voor inkomstenbelasting (Cool;Gen) voor 2027. Een bepalende factor voor de haalbaarheid is hetgeen dat in de komende tijd van de Belastingdienst verwacht. Nieuwe wet- en regelgeving en andere taken leiden tot herprioritering in het Meerjarenportfolio en daarmee wijzigingen en verschuivingen in de planning. De Belastingdienst wil dat zoveel als mogelijk voorkomen, omdat dit tot een latere vervanging van essentiële systemen en tot inefficiëntie leidt.

Vraag 9

Is er volgens u sinds 2020 naar aanleiding van de interne waarschuwingen van de Belastingdienst voldoende prioriteit gegeven aan het tijdig vernieuwen van de systemen en had naar uw mening een hardere stop op politieke wensen moeten zitten vanwege de prioriteiten in onderhoud?

In mijn brief van 20 februari jl. schreef ik dat sinds 2020 de Belastingdienst verbeteringen heeft doorgevoerd. Het ICT-Verbeterprogramma is gestart en afgerond in 2022, waarbij het portfolioproces, de cultuur, de samenwerking tussen gebruikers en de ICT zijn verbeterd. De technische schuld is sinds 2018 gehalveerd en er is in kleine stappen gestart met het moderniseren van een aantal grote systemen. De Belastingdienst kon, ondanks politieke wensen, werken aan verbetering en de basis op orde brengen.
Desondanks hebben in het verleden achtereenvolgende wijzigingen in de prioritering (bijv. Box 3) ertoe geleid dat de modernisering van ICT-systemen van de Belastingdienst in de tijd zijn verschoven, wat bijdraagt aan het ontstaan van het verouderende ICT-landschap.
Gezien de huidige planning en risicobeperkende maatregelen is een hardere stop qua wetgeving niet noodzakelijk gebleken. Er is sinds 2020 ruimte gemaakt voor de implementatie van wetgeving. Vorig jaar zijn er bijvoorbeeld ruim 150 uitvoeringstoetsen uitgevoerd die voor het merendeel geïmplementeerd zijn of worden. In 2021 en 2022 is acht procent van de ICT-capaciteit besteed aan de implementatie van nieuwe wetgeving. Voor de toekomst is het echter van belang dat de modernisering van de systemen conform planning kunnen plaatsvinden.

Vraag 10

Kunt u de Kamer een geactualiseerde update sturen van de planning, waarin ook de bijstelling van de ambitie meer personeel aan te nemen om versnelling te bereiken is verwerkt, die vanwege krapte op de arbeidsmarkt niet wordt gehaald?

In de Kamerbrief ICT bij de Belastingdienst van 20 februari jl. heb ik een actueel beeld van de modernisering van de ketens inkomensheffing en loonheffing gegeven, inclusief de ontwikkelingen qua ICT-capaciteit. In 2023 zijn er 626.000 IV-dagen beschikbaar. Er wordt gekeken naar mogelijkheden om het aantal IV-dagen verder te verhogen. De eerstvolgende actualisatie van de status van de ketens die u kunt verwachten is de bijlage uitvoerbaarheid die als bijlage bij het Belastingplan wordt meegestuurd.
Zie ook het antwoord op vraag 3.

Vraag 11

Kunt u in deze geactualiseerde update ook opnemen wat de risico’s zijn van te late vervanging voor heffing van loon- en inkomstenbelasting voor de rijksuitgaven en juiste dataverzameling?

Zie antwoord vraag 10.

Vraag 12

Kunt u deze vragen beantwoorden vóór het commissiedebat Belastingdienst op 23 maart 2023?

Ja.

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen»?1

Ja.

Vraag 2

Kunt u toelichten in hoeverre deze aanvallen gevolgen hebben voor de zorg in Nederland? Deelt u onze zorg dat deze cyberaanvallen potentieel ontwrichtende maatschappelijke gevolgen kunnen hebben?

Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. Tegelijkertijd kunnen diensten die een rol spelen bij de zorg voor patiënten wel verstoord worden door een DDoS-aanval. Het risico hierop wordt mede bepaald door de preventieve maatregelen van de zorgorganisatie, de inrichting van het netwerk en de eigenschappen van de DDoS-aanval. Daarom is het ontzettend belangrijk dat ziekenhuizen digitaal weerbaar zijn en (preventieve) maatregelen nemen om de impact van dergelijke aanvallen te beperken.
Dat cyberaanvallen in ernstigere gevallen potentieel ontwrichtende maatschappelijke gevolgen kunnen hebben is echter zeker het geval, zoals ook al vaker is aangegeven in het jaarlijks gepubliceerde Cybersecuritybeeld Nederland.2 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het Kabinet zich hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse cybersecurity strategie.3

Vraag 3

Welke acties worden ondernomen om adequaat op deze cyberaanvallen te reageren en de gevolgen voor de zorg in Nederland zoveel mogelijk te beperken? Hoe worden de betreffende ziekenhuizen ondersteund?

Ziekenhuizen nemen maatregelen om de gevolgen van een cyberaanval te beperken, en waar nodig zo spoedig mogelijk te mitigeren. Zo hebben ziekenhuizen afspraken met hun ICT-leveranciers over veiligheidseisen aan ICT-producten, en over beheers- en mitigerende maatregelen. Diverse Nederlandse ziekenhuizen maken bijvoorbeeld gebruik van een DDoS-«wasstraat» die ze helpt om DDoS-aanvallen af te kunnen weren.
Alle ziekenhuizen in Nederland die lid van zijn van de Nederlandse Vereniging van Ziekenhuizen (NVZ) of de Nederlandse Federatie van Universitair Medische Centra (NFU) zijn daarnaast aangesloten bij Z-CERT. Z-CERT voorziet de ziekenhuizen van advies en dreigingsinformatie, en kan tevens netwerken monitoren op kwetsbaarheden of verdachte activiteiten. In het geval van een incident kan Z-CERT een ziekenhuis ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Daarbij heeft Z-CERT onder andere contact met Nationaal Cyber Security Centrum (NCSC).

Vraag 4

Klopt het dat het alleen om DDoS-aanvallen gaat, of is ook sprake van (dreiging van) andersoortige cyberaanvallen?

Dat klopt. Er is geen indicatie van een andersoortige cyberaanval.

Vraag 5

Wat zijn de meest effectieve maatregelen om DDoS-aanvallen te pareren?

Een combinatie van organisatorische- en technische maatregelen kan effectief een DDoS-aanval pareren. Het NCSC heeft deze maatregelen beschreven in een factsheet, die beschikbaar is op de website.4

Vraag 6

Kunt u garanderen dat (overheids)organisaties als Z-CERT die dreigingsinformatie over Russische cyberaanvallen ontvangen dit snel en volledig kunnen delen met betreffende bedrijven en sectoren?

In het huidige cybersecuritystelsel is op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) de primaire taak van het NCSC het verlenen van bijstand aan vitale aanbieders en Rijksoverheidsorganisaties (doelgroeporganisaties) bij digitale dreigingen en incidenten. Dit om het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen bij de doelgroeporganisaties te voorkomen of te beperken.
Het uitvallen van die netwerk- en informatiesystemen bij deze organisaties kan immers maatschappelijke gevolgen hebben. Denk bijvoorbeeld aan de gevolgen als de dienstverlening van een drinkwaterbedrijf uitvalt. Het NCSC deelt daarom zo snel en volledig mogelijk de dreigings- en incidentinformatie direct met de doelgroeporganisaties.
Voor het informeren en adviseren van andere organisaties dan de doelgroeporganisaties over digitale dreigingen en incidenten zijn er schakelorganisaties. Deze maken deel uit van het Landelijk Dekkend Stelsel. In dat stelsel verstrekt het NCSC vanuit zijn wettelijke operationele en coördinerende rol dreigings- en incidentinformatie aan schakelorganisaties om zo ook organisaties buiten de doelgroep van het NCSC te bereiken.
Het is de verantwoordelijkheid van de schakelorganisaties (zoals Z-CERT) om deze informatie zo snel mogelijk met de eigen achterban te delen. De schakelorganisaties zijn het meest bekend met de systemen van hun achterban, bijbehorende belangen, risico’s en informatiebehoeften.

Vraag 7

Kunt u dit ook garanderen voor informatie afkomstig uit andere landen dan Nederland, of informatie uit Nederland die betrekking heeft op organisaties in andere landen?

Het NCSC staat als nationaal Computer Security Incident Response Team (CSIRT) in contact met het Europese CSIRT netwerk. Binnen dit netwerk wordt informatie over dreigingen en kwetsbaarheden ook zo snel en volledig mogelijk gedeeld

Vraag 8

Zijn er op dit moment wettelijke beperkingen die het delen van dreigingsinformatie bemoeilijken en zo ja, welke zijn dat specifiek?

De Wbni regelt dat het NCSC dreigings- en incidentinformatie kan verstrekken aan – in eerste instantie – haar doelgroeporganisaties, namelijk vitale aanbieders en rijksoverheidsorganisaties. Het NCSC doet dat om de meest ernstige maatschappelijke ontwrichting te voorkomen of te beperken. Bovendien kan het NCSC deze informatie aan organisaties verstrekken via schakelorganisaties. Zie ook het antwoord op vraag 6.
Onlangs (december 2022) is de Wbni gewijzigd om belangrijke wettelijke beperkingen voor het delen van informatie weg te nemen.5 Door deze wijziging kan het NCSC dreigings- en incidentinformatie ook rechtstreeks verstrekken aan organisaties die niet onder de doelgroep van het NCSC vallen of waarvoor geen schakelorganisaties zijn. Denk bijvoorbeeld aan politieke partijen en veiligheidsregio’s. Deze wetswijziging regelt ook dat meer dreigings- en incidentinformatie kan worden gedeeld met zogeheten OKTT’s (schakelorganisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over digitale dreigingen en incidenten).
Daarnaast is de nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB2-richtlijn) in werking getreden. Op dit moment loopt een wetgevingstraject om de richtlijn in Nederlandse wetgeving te implementeren. De Minister van Justitie en Veiligheid zal u hierover nader informeren middels een brief aan uw Kamer in het voorjaar.

Vraag 9

Hoe werkt u in Europa samen om op deze cyberaanvallen, die ook andere landen raken, te reageren? Zijn er zaken die we kunnen leren van andere landen op dit punt?

Als Nationaal Computer Emergency Response Team (CERT) staat het NCSC in nauw contact met het speciaal voor de zorg opgerichte Computer Emergency Response Team (Z-CERT) en andere nationale samenwerkingspartners. Het NCSC is ook in contact met internationale (cyber) partners en werkt intensief samen met een uitgebreid (inter)nationaal netwerk van computercrisisteams, zoals het Europese CSIRT netwerk, het International Watch and Warning Network (IWWN) en de European Government Cert-Group (EGC). Het NCSC kan, in samenwerking met deze internationale partners, de situatie monitoren en contact onderhouden over de te nemen vervolgacties tijdens incidenten zoals technisch onderzoek ten aanzien van de DDoS-aanvallen.
Ook op diplomatiek niveau is zowel in EU- als NAVO verband gedeeld dat Nederlandse ziekenhuizen zijn getroffen door DDoS-aanvallen. Hiermee dragen we bij aan een gedeeld situationeel bewustzijn bij onze partners.

Vraag 10

Heeft u informatie dat er ook sprake is van een verhoogde cyberdreiging vanuit Russische hackgroepen in andere vitale en/of niet-vitale sectoren? Zo ja, welke sectoren zijn dat en hoe worden betreffende sectoren geholpen om zich hiertegen te wapenen?

De kans op gerichte cyberaanvallen op Nederlandse belangen wordt vooralsnog laag ingeschat. Dit dreigingsbeeld lijkt stabiel maar kan abrupt veranderen. Nederlandse organisaties kunnen door ketenafhankelijkheden, bijvoorbeeld via een toeleverancier of dochterbedrijf, geraakt worden als gevolg van cyberaanvallen in relatie tot de oorlog in Oekraïne. Diverse cybersecurity(basis)maatregelen, ten behoeve van het creëren vanhandelingsperspectief om aanvallen te herkennen en voorkomen, zijn aan organisaties ter beschikking gesteld. Zie hiervoor de factsheet van het NCSC zoals benoemd in vraag 5, en ook de AIVD en MIVD publicatie over cyberaanvallen door statelijke actoren.6

Vraag 11

Wordt gemonitord welke organisaties en sectoren in andere landen die wapens aan Oekraïne leveren aangevallen worden, zodat deze organisaties en sectoren in Nederland zich op soortgelijke aanvallen kunnen voorbereiden?

Ja. Het NCSC monitort soortgelijke aanvallen.

Vraag 1

Wanneer was het kabinet op de hoogte van de aanwezigheid van de miljoenen Nederlandse chips in Russische pantserhouwitsers, een kruisraketten en gevechtshelikopters?1

De Nederlandse overheid is voor het eerst in maart 2022 op de hoogte gebracht dat elektronische componenten van Nederlandse producenten werden teruggevonden in Russisch militair materieel. Initiële informatie wees op toepassingen in UAV’s en diverse soorten verbindingsapparatuur. Later werd duidelijk dat steeds meer westerse componenten werden teruggevonden in een enorm breed scala aan Russisch militair materieel.

Vraag 2

Waarom heeft u, nadat u door de nieuwsredacties werd ingelicht, er wel voor gekozen om deze redacties een schriftelijke reactie te sturen, maar heeft u niet de Kamer geïnformeerd?

Het ministerie heeft de betreffende nieuwsredacties een schriftelijke reactie gestuurd op een specifiek verzoek om verduidelijking. Hoewel de onthullingen in het bericht er niet minder zorgelijk om zijn, is het al geruime tijd openbaar bekend dat westerse elektronische componenten via tussenhandelaren hun weg vinden naar de Russische militaire industrie.
Het wijdverspreide gebruik van westerse – waaronder ook Nederlandse – elektronische componenten in Russisch militair materieel is vanaf eind maart 2022 door diverse media, zowel nationaal als internationaal, gerapporteerd. In augustus 2022 werd de omleiding van elektronische componenten via tussenhandelaren inzichtelijk gemaakt door onderzoek van onder andere een Britse NGO, het Royal United Services Institute. Aan de hand van een Nederlands voorstel zijn de goederen in kwestie opgenomen in de Ruslandsancties. In november 2022 heeft de Minister voor BHOS mede namens de Minister van BZ deze problematiek geadresseerd in een brief, in antwoord op vragen van de heer Klink (VVD)2.

Vraag 3

Welke acties heeft u ondernomen sinds begin december bekend werd dat Iraanse drones met Nederlandse chips op het slagveld in Oekraïne zijn gevonden?

Nederland is een van de initiatiefnemers van de sanctie-listing van personen en entiteiten uit Iran in verband met de levering van UAV’s aan Rusland voor gebruik in Oekraïne. Het aanpakken van sanctieontwijking heeft voor Nederland hoge prioriteit, zoals mede blijkt uit ons recente non-paper hierover. Daarnaast wordt gekeken wat er diplomatiek mogelijk is om druk te zetten op tussenhandelaren in derde landen. Nederland heeft in EU verband steun uitgesproken voor het aanmerken van UAV motoren als gesanctioneerde goederen en bespreekt de problematiek in bilaterale gesprekken.

Vraag 4

Kunt u uiteenzetten hoe bedrijven met een bewezen geschiedenis van het faciliteren van de Russische krijgsmacht – zoals vermeld in het onderzoek – miljoenen Nederlandse chips in handen hebben kunnen krijgen? Bent u bereid om bedrijven waarvan dit type activiteit in landen als Rusland of Iran bekend is op een zwarte lijst te plaatsen?

Het gebruik van westerse – dus ook Nederlandse – componenten in Russische wapensystemen is hoogst onwenselijk. De componenten waar het hier om gaat zijn echter veelal universeel toepasbaar en worden in bulk (ordegrootte 100 miljard per jaar) over de gehele wereld verscheept. Ook in ieder Nederlands huishouden zijn veel van deze componenten terug te vinden.
Ondanks consultaties met betrokken bedrijven is niet duidelijk te zeggen hoe de handelsstromen van teruggevonden componenten zijn gelopen. De logistieke ketens zijn vaak lang en complex: Nederlandse exporteurs hebben inzicht in de klanten van hun distributeurs, maar daarna houdt hun inzicht vaak op.
Russische bedrijven die op enige wijze bijdragen aan de Russische militaire industrie worden opgenomen in bijlage IV van sanctieverordening 833/2014, waarvoor additionele handelsrestricties gelden. Nederland levert een zeer actieve bijdrage aan het doen van voorstellen hiervoor.
In het 9e sanctiepakket van sanctieverordening 269/2014 zijn diverse Iraanse entiteiten, die betrokken waren bij wapenleveranties aan Rusland, gesanctioneerd.

Vraag 5

Bent u bereid om duidelijk te maken aan de landen die dergelijke tussenhandelaren huisvesten, dat het met Nederlandse producten bijdragen aan agressie ook diplomatieke gevolgen kan hebben?

Ja, daar is het kabinet toe bereid en dit gebeurt ook actief.

Vraag 6

Vallen dergelijke tussenhandelaren onder bestaande sanctiewetgeving? Zo nee, bent u bereid wetgeving aan te passen?

Sanctieverordening (EU) 269/2014 geeft een aantal juridische gronden om personen en entiteiten te sanctioneren, waaronder het «materieel of financieel bijdragen aan acties die de territoriale integriteit, soevereiniteit en onafhankelijkheid van Oekraïne ondermijnen of bedreigen».
Deze sanctioneringsgronden zijn niet landgebonden. Met de recente opname van diverse Iraanse personen en entiteiten die hebben bijgedragen aan het leveren van UAV’s aan Rusland, heeft de EU reeds personen en entiteiten in derde landen, die bijdragen aan de Russische invasie, gesanctioneerd.
Het is onacceptabel dat tussenhandelaren Nederlandse goederen zonder toestemming doorleveren aan Russische wapenfabrikanten. Nederland heeft middels een non-paper ingezet op een veel structurelere aanpak van sanctieomzeiling, waaronder ook door de inzet van het sanctie-instrument.

Vraag 7

Welke stappen gaat het kabinet nog meer ondernemen om Nederlandse bedrijven te ondersteunen bij het nastreven van het gezamenlijke doel om niet met Nederlandse producten bij te dragen aan de Russische agressie? Bent u bereid om, in overleg met bedrijven, de mogelijkheid te verkennen om in contracten op te laten nemen dat doorverkoop van producten op de sanctielijsten niet is toegestaan?

Het Ministerie van Buitenlandse Zaken is doorlopend in nauw contact met betrokken bedrijven en deelt waar mogelijk informatie om hen te ondersteunen in het vormen van hun beleid. De bedrijven stellen reeds uitgebreide contractuele voorwaarden aan hun distributeurs v.w.b. de doorverkoop van hun producten. Indien nodig kan het ministerie met deze bedrijven samen bezien of dergelijke voorwaarden nog verder aangescherpt kunnen worden.

Vraag 8

Hoe kan het dat er sinds het instellen van de sancties helemaal geen daling in de doorverkoop van chips zichtbaar is? Wordt de doorverkoop van chips gemonitord? Waren er eerdere signalen van de inlichtingendiensten? Zo ja, welke actie is daarop ondernomen?

Het is duidelijk dat Rusland, ondanks het instellen van de sancties, via tussenhandelaren toch aan elektronische componenten kan komen. Rusland heeft reeds decennia ervaring in de heimelijke aanschaf van westerse technologie.
Het is echter niet zo dat de sancties geen impact hebben gehad. Van een aantal tussenhandelaren is een afname te zien in verscheepte componenten na het instellen van sancties. De Russische behoefte is groot, en sancties verstoren belangrijke aanvoerlijnen.
De doorverkoop van elektronische componenten wordt door diverse actoren gemonitord. Zo heeft Nederland onder meer onderzoek van het Britse Royal United Services Institute gebruikt om draagvlak te winnen voor het sanctioneren van veel elektronische componenten. De inlichtingendiensten hebben zich reeds meermaals in het openbaar3, 4 uitgesproken over de dreiging van de Russische verwervingspogingen van Nederlandse technologie. Het Ministerie van Buitenlandse Zaken zet zich samen met de Diensten in om bedrijven voor te lichten over risico’s van doorverkoop, onder andere tijdens het exportcontroleseminar.

Vraag 9

In hoeverre voorziet huidige wetgeving – naast het dual-use beleid – in het voorkomen dat Nederlandse chips in Russische handen terechtkomen?

De teruggevonden – door Nederlandse bedrijven geproduceerde – halfgeleiders vielen tot voor kort niet onder exportcontrole. Mede naar aanleiding van een voorstel van Nederland zijn deze goederen inmiddels toegevoegd aan de Ruslandsancties (Verordening (EU) 833/2014 van de Raad) middels het achtste pakket dat op 5 oktober 2022 werd aangenomen. Het is daarmee verboden om deze goederen aan Rusland te leveren, inclusief via tussenhandelaren in derde landen. Dit betekent echter niet dat de handel in deze goederen naar derde landen verboden is. Gezien de volumes waar we hier over spreken (vele miljarden per jaar) is een 100% controle hierop niet mogelijk.

Vraag 10

Welke individuele maatregelen kan de Nederlandse overheid nemen om de doorverkoop van chips te verminderen, reguleren of handhaven, wanneer de Europese Unie niet tot gepaste maatregelen komt en blijft achterlopen op de VS met het handhaven op de doorverkoop van chips?

Het kabinet zet er op in dat de Europese Unie tot gepaste maatregelen komt om de illegale doorverkoop van westerse halfgeleiderproducten aan te pakken. Nederland neemt hierin een voortrekkersrol. Nederland zet daarnaast in op meer onderzoek naar sanctieomzeiling, werkt nauw samen met betrokken producenten om informatie te delen en kaart de problematiek via diplomatieke kanalen aan.

Vraag 11

Wat zijn de voor- en nadelen van deze maatregelen?

Intensivering op het delen van informatie over omleidingsrisico’s en betrokken tussenhandelaren helpt betrokken producenten om duidelijke richtlijnen uit te zetten richting hun distributeurs in het buitenland.
Het nadeel hiervan is dat het probleem niet zo zeer bij Nederlandse exporteurs ligt, en zelfs niet bij hun buitenlandse distributeurs, maar bij verkopers die een aantal stappen verder in de keten liggen. Op die plekken heeft het beleid van de oorspronkelijke exporteur nauwelijks meer invloed, mede omdat het schenden van dergelijke richtlijnen geen juridische consequenties heeft.
Daarom heeft vooralsnog de eerste voorkeur van het kabinet dat de EU juridische consequenties oplegt aan betrokken entiteiten in derde landen.

Vraag 12

Welke stappen neemt de Nederlandse overheid in het faciliteren van onderzoek naar de handelsroute die deze chips afleggen?

Het kabinet geeft een hoge prioriteit aan het stoppen van sanctieomzeiling, in het bijzonder als het aankomt op kritieke componenten. Om onderzoek naar handelsroutes te faciliteren werkt het kabinet onder andere samen met onderzoeksinstituten. Het kabinet heeft de ambitie om deze samenwerking in de nabije toekomst te intensiveren.
Verder zet het kabinet in op een Europees contactpunt sanctieomzeiling cf. motie Brekelmans voor een EU OFAC. Inmiddels is er een EU sanctiegezant aangesteld die outreach naar derde landen kan doen. Ook dit contactpunt kan een rol spelen bij het in kaart brengen van omzeilingroutes wanneer EU lidstaten-informatie met elkaar delen.

Vraag 1

Wat is uw reactie op het bericht «UMCG getroffen door Russische cyberaanval, meer ziekenhuizen onder vuur»?1

Ik vind het zeer zorgelijk dat Nederlandse ziekenhuizen het doelwit zijn van DDoS-aanvallen.

Vraag 2

Zijn er de afgelopen maanden meer van dit soort aanvallen geweest? Zo ja, kunt u vertellen welke ziekenhuizen of andere zorginstellingen hierdoor zijn getroffen?

Het digitaal aanvallen van Nederlandse ziekenhuizen door middel van DDoS-aanvallen is niet eerder waargenomen door het Computer Emergency Response Team voor de zorg (Z-CERT), het Nationaal Cyber Security Center (NCSC) of hun (internationale) partners.

Vraag 3

In hoeverre vormen deze aanvallen een risico voor de patiëntenzorg?

Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. Tegelijkertijd kunnen diensten die een rol spelen bij de zorg voor patiënten wel verstoord worden door een DDoS-aanval. Het risico hierop wordt mede bepaald door de preventieve maatregelen van de zorgorganisatie, de inrichting van het netwerk en de eigenschappen van de DDoS-aanval.

Vraag 4

In hoeverre zijn Nederlandse ziekenhuizen in het algemeen voorbereid op cyberaanvallen, zoals DDoS-aanvallen?

Ziekenhuizen nemen maatregelen om de gevolgen van cyberaanvallen te beperken, en waar nodig zo spoedig mogelijk te mitigeren. Zo hebben ziekenhuizen afspraken met hun ICT-leveranciers over veiligheidseisen aan ICT-producten, en over beheers- en mitigerende maatregelen. Diverse Nederlandse ziekenhuizen maken bijvoorbeeld gebruik van een DDoS-«wasstraat» die ze helpt om DDoS-aanvallen af te kunnen weren.
Nederlandse ziekenhuizen moeten daarnaast wettelijk verplicht voldoen aan normen voor informatiebeveiliging in de zorg: de NEN 7510, 7512 en 7513. De NEN-7510 schrijft onder andere voor dat ziekenhuizen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid.
Alle ziekenhuizen in Nederland die lid van zijn van de Nederlandse Vereniging van Ziekenhuizen (NVZ) of de Nederlandse Federatie van Universitair Medische Centra (NFU) zijn daarnaast aangesloten bij Z-CERT. Z-CERT voorziet de ziekenhuizen van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een ziekenhuis ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Daarbij heeft Z-CERT onder andere contact met NCSC.

Vraag 5

In hoeverre zijn ziekenhuizen voorbereid op het wegvallen van IT-systemen? Hoe groot is de kans dat ziekenhuizen helemaal stilvallen bij grotere cyberaanvallen?

Zorgaanbieders zijn verantwoordelijk voor het leveren van goede en veilige zorg. Een onderdeel daarvan is dat zij risico’s inventariseren en bijpassende maatregelen treffen om deze risico’s te beheersen. Een voorbeeld van een risicobeheersmaatregel is een noodscenario om bij uitval van ICT-systemen tijdelijk een alternatieve voorziening te gebruiken.

Vraag 6

Welke acties onderneemt u om ziekenhuizen en andere zorginstellingen te ondersteunen om zich beter tegen cyberaanvallen te beschermen?

Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Ik zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. Daarvoor is het Ministerie van VWS in 2019 het project informatieveilig gedrag gestart. Via dit project werk ik aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. In mijn brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik uw Kamer hier nader over geïnformeerd.2
Daarnaast zorg ik er samen met het zorgveld voor dat we de eerder genoemde NEN-normen voor informatiebeveiliging blijven ontwikkelen, en breng ik deze normen actief onder de aandacht bij zorgaanbieders. Zo heb ik NEN in 2022 de opdracht gegeven om een herziening van de NEN-7510 te coördineren, en daarbij ook implementatietools te ontwikkelen.
Ook stimuleert het Ministerie van VWS op basis van een risicogebaseerde aansluitstrategie dat steeds meer zorgaanbieders lid worden van Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT.
In januari 2023 heeft het Ministerie van VWS daarnaast samen met ROAZ Zuidwest-Nederland en GHOR Zuid-Holland Zuid een grootschalige oefening georganiseerd. Hierbij is gezamenlijk geoefend met een scenario waarin sprake was van digitale verstoring van onder andere de ziekenhuiszorg. De lessen die hieruit zijn getrokken zullen de komende tijd worden gebruikt om de voorbereiding op dergelijke incidenten te verbeteren.
Tot slot wordt de komende tijd gewerkt aan de implementatie van nieuwe Europese richtlijnen met betrekking tot informatieveiligheid (NIB2) en algemene weerbaarheid (CER). Over de deze implementatie zal ik uw Kamer binnenkort nader informeren.

Vraag 7

Is deze cyberaanval op het Universitair Medisch Centrum Groningen (UMCG) voor u een aanleiding om aanvullende acties te ondernemen om de cyberveiligheid van Nederlandse zorginstellingen te versterken?

De cyberaanval op het UMCG onderstreept het belang van de cyberweerbaarheid van de Nederlandse samenleving in zijn geheel, en de zorgsector in het bijzonder. Het vergroten van de cyberweerbaarheid van de Nederlandse samenleving is een van de speerpunten van dit kabinet. In de Nationale Cybersecurity Strategie die in september 2022 is gepresenteerd heeft het Ministerie van VWS ook een aantal aanvullende acties gepresenteerd om de cyberweerbaarheid op peil te houden.

Vraag 1

Is het correct dat u een spreker («speaker») was tijdens het jaarlijkse congres van het World Economic Forum (WEF) afgelopen januari in Davos?1

Ik heb tijdens het World Economic Forum 2023 deelgenomen aan drie paneldiscussies. De eerste paneldiscussie was het «Ukrainian breakfast»2, de tweede paneldiscussie was «Finding Europe’s new growth»3 en de derde paneldiscussie was «Repowering the World»4. Deze drie paneldiscussies zijn gelivestreamd en terug te zien op YouTube.

Vraag 2

Indien dit correct is, kan de Kamer de tekst ontvangen van deze toespraak die u bij het WEF heeft gegeven?

Zie het antwoord op vraag 1.

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan»?1

Ja.

Vraag 2

Is bekend of ook ziekenhuizen in andere landen te maken hebben (gehad) met DDoS-aanvallen? Is bekend of hierbij patiëntgegevens of continuïteit van zorg in gevaar is gebracht?

Dat klopt. Andere landen hebben bevestigd dat ziekenhuizen getroffen zijn door DDoS-aanvallen. Wij hebben geen volledig beeld van de gevolgen in andere landen van deze DDoS-aanvallen.

Vraag 3

Wat is de (potentiële) schade die Killnet, en mogelijk andere hackerscollectieven, aan hebben kunnen richten aan de zorginfrastructuur in Nederland? Hoe zien de effecten van dit soort veiligheidsrisico’s eruit voor patiënten en zorginstellingen? Zijn zorgorganisaties of ziekenhuizen of websites onbereikbaar geweest? Kunt u meer vertellen over de modus operandi van de aanvallen? Welke lessen worden hieruit getrokken?

De Russische groep Killnet gebruikt DDoS-aanvallen voornamelijk om de dagelijkse dienstverlening van de beoogde slachtoffers te frustreren. Deze aanvallen passen in het huidige digitale dreigingsbeeld. Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. De aanvallen hebben vooral geleid tot het beperkt beschikbaar zijn van de websites van ziekenhuizen. Ziekenhuizen zijn via andere kanalen wel bereikbaar gebleven.
De geleerde les is in hoofdlijnen dat cybersecurity een continu proces is dat geborgd dient te worden binnen de bedrijfsvoering van organisaties en ook periodiek dient te worden geëvalueerd: welke dreigingen zijn er, welke belangen zijn relevant, tot welke risico’s leidt dat en welke maatregelen moeten er genomen worden om te komen tot een passend niveau van weerbaarheid. Een DDoS-aanval is een scenario dat daarin kan worden meegenomen.

Vraag 4

Kunt u een stand van zaken geven over het lopende proces om de ziekenhuissector als vitale sector te identificeren zoals aangegeven in het commissiedebat Online veiligheid en cybersecurity en zoals aangegeven in het debat over de Wet elektronische gegevensuitwisseling in de zorg?

De Minister van Volksgezondheid, Welzijn en Sport zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.

Vraag 5

Bestaat er een «scrubbing center» voor de zorg en de nu al aangewezen vitale infrastructuren/sectoren, waarin dataverkeer wordt opgeschoond en geanalyseerd, en kwaadaardig dataverkeer zoals DDoS wordt verwijderd? Zo nee, wat vindt u van een dergelijke «veiligheidsklep» voor deze infrastructuren/sectoren?

Er zijn leveranciers waar deze maatregel («scrubbing straat») in diverse vormen als dienst kan worden afgenomen. Diverse Nederlandse ziekenhuizen maken hier ook gebruik van. Er bestaat echter geen wasstraat specifiek voor de zorg en de nu al aangewezen vitale infrastructuur/sectoren. Behalve een wasstraat («scrubbing straat») zijn er nog andere maatregelen die genomen kunnen worden op het niveau van applicatie/diensten, netwerk en servers. Organisaties besluiten individueel welke maatregelen voor hen nodig zijn om DDoS-aanvallen af te weren. Of een wasstraat een noodzakelijke maatregel is, dient iedere organisatie voor zichzelf af te wegen op basis van het risicoprofiel en de overige maatregelen die er al zijn genomen. Ook is het goed mogelijk dat internetproviders reeds scrubbing diensten hebben opgenomen in hun dienstverlening, waarover de organisatie zelf afspraken kan maken over hoe en wanneer dergelijke technologie wordt geactiveerd.

Vraag 6

Het Ministerie van Volksgezondheid, Welzijn en Sport wil de zorg bewust maken van cyberveiligheid door onder andere de diensten van expertisecentrum Z-Cert uit te breiden naar de gehele zorgsector, waarom zijn diensten van Z-Cert nu alleen van toepassing op ziekenhuizen en de geestelijke gezondheidszorg (GGZ) en niet bijvoorbeeld op de Geestelijke Gezondheidsdiensten (GGD’en)? Welke termijn heeft u voor ogen om de diensten voor de gehele zorgsector beschikbaar te maken? In hoeverre gaat de inwerkingtreding van de NIS2 deze situatie veranderen?2

Zoals eerder aan uw Kamer gecommuniceerd4 kiezen het Ministerie van VWS en Z-CERT ervoor om de verschillende sub-sectoren in het zorgveld aan te sluiten volgens een risicogebaseerde aansluitstrategie. Concreet betekent dit dat de sub-sectoren waarin de risico’s op cyberincidenten en de bijbehorende gevolgen het grootst zijn als eerste worden aangesloten bij Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Ook de GGD’en zijn via de koepelorganisatie aangesloten. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Voor de zomer zal de Minister van VWS de Kamer informeren over de implementatie van de nieuwe Europese Netwerk en Informatiebeveiligingsrichtlijn (NIB2) en zal hij ingaan op wat dit voor de zorgsector betekent.

Vraag 7

Bent u bereid actief te communiceren dat zorginstellingen zich aan kunnen sluiten bij Z-Cert en hoe wordt gestimuleerd dat straks de gehele zorgsector zich aansluit, aangezien in de beantwoording van eerdere schriftelijke vragen is aangegeven dat aangesloten zorginstellingen bij ICT-incidenten kunnen rekenen op de hulp van Z-Cert?3

Zie antwoord vraag 6.

Vraag 8

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van Killnet hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Onze eerste prioriteit lag bij het mitigeren van deze aanvallen en de getroffen systemen weer online te krijgen. Daarna kan er een onderzoek worden verricht naar de mogelijke dader(s) en kan bezien worden of sancties of strafrechtelijke vervolging tot de mogelijkheden behoren. Nederland zal hierbij zo mogelijk optrekken met de EU en afzonderlijke lidstaten, omdat een reactie sterker is als deze in coalitie-verband wordt vormgegeven.
Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Op dit moment wordt de Toolbox herzien, hier nemen we een actieve rol in. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 1

Bent u bekend met het bericht «Oude ict kost fiscus miljoenen»?1

Ja.

Vraag 2

Kunt u per jaar vanaf 2010 tot heden een overzicht geven van de kosten die de belastingdienst aan ICT heeft uitgegeven? Kunt u deze uitgesplitst in interne en externe inhuur met daarbij de overschrijdingen aangegeven?

In het overzicht hieronder ziet u de jaarlijkse budgetten van de ICT-organisatie van de Belastingdienst in de periode 2010–2022. De middelen voor de ICT-organisatie zijn bestemd voor zowel personele als materiële uitgaven. De personele uitgaven zijn als onderdeel van de totale ICT-uitgaven (kolom 1) apart inzichtelijk gemaakt, met daarbij ook een nadere splitsing naar eigen personeel en externe inhuur.
In de reguliere begrotingscyclus wordt gedurende het jaar inzicht gegeven in tussentijdse bijstellingen van beschikbare middelen op basis van de verwachte kasuitgaven. Ten opzichte van de tweede suppletoire begroting bij Najaarsnota hebben er in de periode 2010 t/m 2022 over het algemeen geen overschrijdingen van personeelsbudgetten plaatsgevonden. De gemiddelde onderschrijding lag rond de 3%. Uitzondering hierop zijn de jaren 2015 en 2016 waarin sprake was van een overschrijding van de personele budgetten van respectievelijk 5% en 8%. De overschrijding zat in deze jaren met name op externe inhuur en werd veroorzaakt door een grote opdrachtenstroom die niet volledig gerealiseerd kon worden met de bezetting eigen personeel. Op het niveau van de totale ICT-uitgaven waren de overschrijdingen in deze jaren overigens kleiner (4% in 2015 en <1% in 2016).

Vraag 3

Kunt u een overzicht geven van de verhouding tussen uitgaven aan onderhoud van bestaande systemen en de modernisering daarvan?

Afgelopen jaren zijn vanuit de voorjaarsbesluitvorming en Werk aan Uitvoering middelen beschikbaar gekomen voor de ICT-organisatie van de Belastingdienst. Inmiddels bedraagt het budget van de ICT-organisatie van de Belastingdienst in 2023 circa € 860 mln. Een groot gedeelte hiervan, circa 60%, is bestemd voor personele uitgaven. Met het personeel dat van deze budgetten wordt betaald, zowel eigen personeel als inhuur van externen, worden IV-dagen gerealiseerd. Voor 2023 wordt gewerkt met 626.000 IV-dagen.
Jaarlijks is circa 60% van de beschikbare IV-dagen nodig voor beheer en onderhoud. Onderdeel van beheer en onderhoud zijn de activiteiten voor het Datacenter van de Belastingdienst, de printstraat, regulier lifecycle-management en het bewaken van de digitale veiligheid in het Security Operations Center (SOC). Aan modernisering wordt circa 10% van de totaal beschikbare capaciteit besteed. Aan vernieuwing wordt circa 14% besteed. Onder vernieuwing vallen dienstverlening, integrale beveiliging, initiatieven met betrekking tot gegevens, toezicht en bedrijfsvoering. Onderstaande tabel geeft dit weer.
Portfolio categorieën in IV-dagen
2019
2020
2021
2022
Beheer en onderhoud
Data Center Services
163.400
152.400
155.700
152.700
Regulier Beheer en Onderhoud
162.200
185.200
186.200
206.200
Projecten
Wetgeving
33.900
31.600
47.000
45.500
Modernisering
61.800
64.600
80.400
74.800
Vernieuwing
57.300
72.100
93.300
81.500
Jaaraanpassingen

Vraag 4

Per wanneer kunnen de ICT-systemen uit bijvoorbeeld de jaren 70, of waarvoor geen expertise meer in huis is, worden omgezet in moderne ICT-systemen met moderne programmeerta(a)l(en)?

Het hebben van ICT-systemen uit de jaren «70 uit zich in technische schuld. De Belastingdienst is bezig met het reduceren van die technische schuld. Sinds 2018 is deze gehalveerd van 52% naar 26%. Deze modernisering is desondanks complex en wordt daarom in kleinere stappen uitgevoerd, zodat er grip is op deze projecten.
Voor alle ketens wordt aan de modernisering gewerkt. Het is de planning om het overgrote deel van het achterstallig onderhoud, dat wijzigingen belemmert, in 2026 opgelost te hebben. Of dat tijdpad gehaald wordt is afhankelijk van veel factoren, zoals de beschikbaarheid van ICT-personeel, tussentijdse onvoorziene ontwikkelingen (zoals box 3, energiemaatregelen, etc.) en het verloop van aanbestedingen.
Voor de volgende ketens geldt dat er na 2026 nog gemoderniseerd moet worden: inning en betalingsverkeer, omzetbelasting en gegevens. Bij inning en betalingsverkeer komt dit onder andere door werkzaamheden rondom het herstel toeslagen, FSV en corona uitstelbeleid die voorrang kregen boven modernisering. De binnenlandse omzetbelasting wordt gemoderniseerd met als planning dat in 2026 een nieuw systeem operationeel is. In deze keten dienen na 2026 ook andere regelingen nog gemoderniseerd te worden. Voor de keten gegevens is na 2026 nog een forse inspanning nodig, omdat er veel applicaties van lokale applicaties omgezet moeten worden naar centrale applicaties en de gegevenshuishouding verbeterd moet worden.

Vraag 5

Waarom is de aanbesteding voor het moderniseren van het nieuwe systeem voor de omzetbelasting nog niet uitgeschreven? Kunt u aangeven welke stappen u zet om deze en andere aanbestedingen te versnellen?

In 2021 heeft een marktconsultatie plaatsgevonden waaruit bleek dat er oplossingen in de markt beschikbaar zijn voor een nieuw systeem voor de omzetbelasting. Een extern advies in 2022 heeft dit bevestigd. De aanbesteding bevindt zich nu in de voorbereidende fase. Er zijn nog verschillende go en no-go momenten. Ik ben terughoudend om u in deze fase uitgebreid over de planning te informeren, zie ook antwoord 6.
Een versnelling in deze of andere aanbestedingen leidt tot risico’s en kan afbreuk doen aan de kwaliteit van het proces van aanbesteden of aan de aanbestede dienst of product. Ondanks dat ik de wens begrijp om een aanbesteding te versnellen om zo bijvoorbeeld sneller te beschikken over een modern systeem, wil ik zorgvuldigheid boven snelheid stellen.

Vraag 6

Welke andere aanbestedingen moeten nog worden uitgeschreven?

De Belastingdienst voert jaarlijks een groot aantal ICT-aanbestedingen uit met wisselende inhoud en omvang. In aanbestedingen die in voorbereiding zijn of in de nabije toekomst op de markt zullen worden gebracht, wordt door de Belastingdienst geen inzage vooraf gegeven. Dit kan marktverstorend werken of de juridische positie van de Belastingdienst schaden.

Vraag 7

Hoe duidt u de uitspraak in het artikel, gebasseerd op interne documenten, dat door personeelstekorten en achterstanden in de ICT het belastingmoraal van burgers en ondernemers kan worden aangetast?

De Belastingdienst heeft als taak om belastingen eerlijk en zorgvuldig te heffen en innen. Iedere burger, elk bedrijf en elke andere belastingplichtige organisatie moet erop kunnen vertrouwen dat hij of zij het juiste deel aangeeft en betaalt en dat hij of zij ook (terug)krijgt waar hij of zij recht op heeft. Daarnaast moeten burgers en bedrijven er ook op kunnen vertrouwen dat de Belastingdienst ervoor zorgt dat andere burgers en bedrijven hun bijdrage leveren. Als dat vertrouwen afneemt kan dat effect hebben op de belastingmoraal.
De Belastingdienst voert deze taak nog steeds naar behoren uit, in die zin is er geen sprake van een aantasting van de belastingmoraal. Dit komt ook naar voren in de fiscale monitor die jaarlijks wordt uitgevoerd en uw Kamer bij het jaarplan Belastingdienst 2023 heeft ontvangen. De situatie is nu ook anders dan in 2018. Er was toen sprake van een groot personeelsverloop en achterstand in de ICT. Inmiddels is meer personeel aangetrokken en worden ICT-systemen vernieuwd. Daardoor kan personeel efficiënter en mogelijk anders worden ingezet.
Dat laat onverlet dat de Belastingdienst nog stappen moet zetten. Zo is er nog sprake van een tekort aan (ICT-)personeel en wordt er in sommige ketens nog gewerkt met verouderde systemen.

Vraag 8

Kunt u aangeven bij welke ICT-systemen continuiteitsrisico’s spelen en welke delen van de bedrijfsvoering van de Belastingdienst hiervan afhankelijk zijn?

De urgentie voor modernisering wordt bepaald door risico’s. Systemen met de grootste risico’s op het gebied van continuïteit door verouderde technologie, zijn als eerste gemoderniseerd, zoals het systeem voor autobelastingen. De systemen voor omzetbelasting, loonheffing en inkomensheffing worden de komende tijd vervangen. Tot die systemen volledig zijn vervangen, ziet de Belastingdienst voor deze ketens risico’s. Om deze risico’s te beheersen, zijn aanvullende maatregelen genomen. In figuur 5 en 6 van de begeleidende brief ziet u hoe de technische schuld per keten nu is en wat de ambitie is qua ontwikkeling tot en met 2026.

Vraag 9

Kunt u de vragen één voor één beantwoorden?

Ja.

Vraag 1

Deelt u de mening dat het onduidelijk is in hoeverre de gegevensbescherming van TikTok voldoet en dat de Chinese applicatie daarmee een potentieel hoog veiligheidsrisico heeft?

In de begeleidende brief bij deze antwoorden, ben ik nader ingegaan op risico’s voor de rijksoverheid, en de stappen die ik in reactie daarop ga nemen.
Als het gaat om het voldoen van TikTok aan de geldende regels, doet op dit moment de Ierse privacytoezichthouder (de zogenaamde Data Protection Commission), als leidende EU-privacytoezichthouder, onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het onderzoek van de Ierse toezichthouder richt zich onder andere op rechtmatigheid van de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de Algemene verordening gegevensbescherming (AVG) voor deze overdrachten.
De Minister voor Rechtsbescherming heeft de Autoriteit Persoonsgegevens (AP) gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek. Uit deze navraag blijkt dat de onderzoeksresultaten in de eerste helft van 2023 worden verwacht. Uit dit onderzoek zal blijken in hoeverre de gegevensbescherming van TikTok voldoet aan de geldende wet- en regelgeving.

Vraag 2

Hoe kijkt u naar de ontwikkeling in de Verenigde Staten waar het besloten is om publieke vertegenwoordigers te verbieden TikTok op hun mobiele werkdevice te hebben en zou u dit ook aan Nederlandse volksvertegenwoordigers adviseren?1

Zoals aangegeven in de begeleidende brief, is in het traject de afgelopen weken nauw contact geweest met Europese partners, en hun beleid rondom mobiele apparaten bij de overheid en TikTok. Deze contacten hebben daarmee bijgedragen aan de in de brief genoemde besluiten.
De risico’s die naar voren zijn gekomen, gelden niet alleen voor de rijksoverheid, maar kunnen ook breder gelden. Ik adviseer het Nederlandse parlement dan ook om kennis te nemen van de brief, en met inachtneming van zijn eigen onafhankelijke positie, te besluiten over eventuele extra veiligheidsmaatregelen.

Vraag 3

Bent u bereid medewerkers van de rijksoverheid en andere overheidsambtenaren te verbieden de applicatie TikTok op hun mobiele werkdevice te hebben, om op die manier potentiele risico’s te verkleinen?

Voor het antwoord op deze vraag verwijs ik naar het beleid zoals geformuleerd in de begeleidende brief bij deze antwoorden.

Vraag 1

Kent u de geavanceerde tekstgenerator Generative Pre-trained Transformer (ChatGPT)?

Ja, wij zijn bekend met ChatGPT.

Vraag 2

Bent u ervan op de hoogte dat veel leerlingen1 in met name het voortgezet onderwijs gebruik maken van deze geavanceerde tekstgenerator2?

Ja, wij zijn ervan op de hoogte dat gebruik wordt gemaakt van ChatGPT door leerlingen in het (voortgezet) onderwijs.

Vraag 3

Bent u ook van mening dat door het gebruik van deze tool leerlingen niet de juiste schrijfvaardigheden leren die van belang zijn voor de rest van hun leven om deel te nemen aan het maatschappelijke leven?

In onze optiek is ChatGPT geen geschikte tool om schrijfvaardigheden bij te brengen. Artificial Intelligence (AI)-toepassingen als ChatGPT zijn weliswaar in staat om in een handomdraai een toelichtende tekst te genereren over een onderwerp, maar ze kunnen geen betekenis of context afleiden uit deze tekst. Daarom zullen vaardigheden als kritisch lezen en kritisch analyseren van teksten, het toepassen van opgedane kennis, mediawijsheid en digitale geletterdheid nog belangrijker worden in de nabije toekomst.
Het is aan scholen en leraren om goed onderwijs aan te bieden en naar eigen inzicht in te richten. Scholen en leraren kunnen hiervoor kiezen uit een divers aanbod van leermiddelen om schrijfvaardigheden bij te brengen. Vanuit het masterplan basisvaardigheden3 worden bovendien kerndoelen ontwikkeld voor de basisvaardigheden zoals taal en digitale geletterdheid. Deze worden wettelijk verankerd in het landelijke curriculum van het funderend onderwijs.

Vraag 4

Bent u op de hoogte van het feit dat deze tool, ondanks dat het zeker een geweldige technische ontwikkeling is, ook gevaarlijk kan zijn3 en wist u dat er zelfs wordt gezegd dat we deze «box van Pandora» niet moeten willen openen4?

De technologische ontwikkeling van ChatGPT en vergelijkbare generatieve AI biedt mogelijkheden voor efficiëntie en het verkrijgen van informatie. Zoals blijkt uit de «Verkenning naar het Nederlandse Onderwijslab Artificiële Intelligentie»6 kan AI onderwijs op maat ondersteunen, de competentie en autonomie van leerlingen bevorderen, hun digitale geletterdheid vergroten en de werkdruk van leraren verminderen.
Het kabinet is ervan op de hoogte dat dergelijke technologie risico’s en zorgen met zich meebrengt, zowel binnen als buiten het onderwijs. Deze kunnen voortkomen uit de werking van de tool, waar het ondanks ingebouwde waarborgen mogelijk is om bevooroordeelde of discriminerende antwoorden te krijgen. Ook zijn er risico’s op het gebied van privacy en autonomie van leerlingen. Verder kan generatieve AI zoals ChatGPT ook gebruikt worden voor schadelijke doeleinden, zoals het verspreiden van desinformatie en phishing.
Het is daarom van belang dat er bij de inzet van AI oog is voor zowel de kansen als de risico’s. Een goed voorbeeld is het Nationaal Onderwijslab AI (NOLAI). In NOLAI werken scholen, wetenschappers en bedrijven samen aan de ontwikkeling en evaluatie van verantwoorde en veilige digitale innovaties die tegemoetkomen aan de behoeftes in het funderend onderwijs. In co-creatie werken zij aan een goede inzet van AI in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren.

Vraag 5

Zou u de gevaren van ChatGPT willen onderzoeken en maatregelen kunnen nemen, zodat het gebruik van ChatGPT uit het klaslokaal of de collegezaal verbannen wordt?

Het kabinet verkent reeds de kansen en risico’s van AI binnen het onderwijs. Vorig jaar zijn het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad verschenen. De Onderwijsraad wijst op het belang van een actieve rol voor zowel leraren en docenten als schoolleiders, bestuurders en de overheid bij de inzet van AI. Schoolleiders en bestuurders hebben een belangrijke rol in het borgen dat leerlingen, studenten en docenten digitaal geletterd zijn en AI zinvol en verantwoord inzetten. Voor de overheid ziet de Onderwijsraad een faciliterende rol door kaders te scheppen, algemene leerdoelen te formuleren voor digitale geletterdheid en te stimuleren dat er samen met de beroepsgroep toepassingen van AI worden ontwikkeld.
Binnen het NOLAI is tot 2035 voorzien in een wetenschappelijk onderzoeksprogramma waarbij in een breed perspectief gekeken wordt naar de kansen en risico’s van AI in het onderwijs. Deze breedte levert een unieke samenwerking tussen wetenschappers om de pedagogisch-didactische, sociaal-maatschappelijke en ethische aspecten van AI in onderwijs in kaart te brengen.
Verder houdt het kabinet de ontwikkelingen rond generatieve AI nauwlettend in de gaten. Zoals aangegeven bij de beantwoording van vraag 3, zijn onderwijsinstellingen als eerste aan zet om te bepalen of en hoe ChatGPT en AI in den brede wordt ingezet binnen een klaslokaal of collegezaal.

Vraag 6

Bent u ervan op de hoogte dat veel hackers deze tool inzetten?5

Ja, wij zijn op de hoogte van de inzet van deze tool door hackers.

Vraag 7

Denkt u dat extra lessen over dergelijke tools en mediawijsheid in het algemeen leerlingen en studenten bewuster kan maken van het feit dat gebruik van Chat GPT een rem zet op de ontwikkeling van taal- en schrijfvaardigheden die ze heel hun leven nodig hebben?

Tools zoals ChatGPT vragen van docenten om te doordenken hoe ze op een doordachte manier met AI in het onderwijs omgaan en leerlingen de nodige taal- en schrijfvaardigheden bijbrengen. Van docenten vraagt dit meer op het gebied van didactische en digitale vaardigheden. De sleutel ligt vooral bij de didactische aanpak in de klas, bijvoorbeeld door leerlingen en studenten niet alleen te beoordelen op het eindproduct maar ook op het schrijfproces of door opdrachten in de klas te maken met pen en papier.
Daarnaast is het belangrijk dat scholieren, studenten, leraren en de maatschappij in gesprek blijven over het gebruik van AI in de klas. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid.

Vraag 1

Bent u bekend met het artikel «ChatGPT glipt langs docenten: «Ik gebruik het om snel huiswerk te maken»»1?

Ja, wij zijn bekend met dit bericht.

Vraag 2

Deelt u de mening dat kunstmatige intelligentie als systeemtechnologie een ingrijpend effect heeft en gaat hebben op het onderwijs?

Ja, wij delen de mening dat artificiële intelligentie (AI) als systeemtechnologie belangrijke gevolgen op het onderwijs kan hebben.

Vraag 3

Welke kansen en risico's voor scholen ziet u door het toegankelijker en geavanceerder worden van kunstmatige intelligentie? Hoe gaat u ervoor zorgen dat de kansen om het onderwijs door middel van kunstmatige intelligentie te verrijken optimaal worden benut, terwijl de risico’s en valkuilen adequaat worden getackeld?

De opkomst van AI is een gegeven en heeft impact op de maatschappij en het onderwijs. AI kan het onderwijs verbeteren door het leren motiverender en meer op maat te maken en docenten te ondersteunen. Tegelijkertijd zijn er risico’s en kan de inzet van AI bijvoorbeeld door biases leiden tot grotere verschillen tussen groepen leerlingen en studenten waardoor groepen leerlingen en studenten onterecht benadeeld kunnen worden.2 De ontwikkeling van AI zal een aanpassing vragen van docenten en leerlingen en studenten om goed met intelligente technologieën in het onderwijs om te gaan.
De sleutel ligt vooral bij de didactische aanpak in de klas, bijvoorbeeld door leerlingen niet te beoordelen op het eindproduct maar op het schrijfproces of door opdrachten in de klas te laten maken met pen en papier. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.
Aanvullend faciliteren wij een verantwoorde ontwikkeling van AI in het onderwijs, door het benutten van kansen en met oog voor de risico’s. Met behulp van het Nationaal Groeifonds investeren wij substantieel in deze ontwikkelingen tot 2035. Zo is er voor de komende tien jaar € 80 miljoen toegekend aan het Nationaal Onderwijslab AI (NOLAI) in het funderend onderwijs. Leraren en scholen in het funderend onderwijs kunnen deelnemen aan co-creatie projecten waarin zij samen met wetenschappers en leermiddelenmakers werken aan een goede inzet van intelligente technologieën in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren.

Vraag 4

Zijn schoolbesturen en leraren voldoende op de hoogte van de risico's van kunstmatige intelligentie voor het onderwijs?

Het is belangrijk dat schoolbesturen en leraren naast de kansen ook voldoende op de hoogte zijn van de risico’s van AI voor het onderwijs. Van onderwijsinstellingen vraagt de ontwikkeling van AI om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden. Ook hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over kunstmatige intelligentie vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.

Vraag 5

Op welke manier passen scholen zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en leerlingen hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Zie het antwoord op vraag 3.
Aanvullend is het belangrijk dat scholieren, leraren en de maatschappij in gesprek blijven over het gebruik van AI in de klas. Dit vraagt ook iets van docenten op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid.

Vraag 6

Wordt er al onderzoek gedaan naar de manier waarop kunstmatige intelligentie het onderwijs gaat veranderen? Zo ja, welk onderzoek? Zo nee, bent u bereid dit in gang te zetten?

Ja, binnen het Nationaal Onderwijslab AI is tot 2035 voorzien in een wetenschappelijk onderzoeksprogramma waarbij in een breed perspectief gekeken wordt naar de kansen en risico’s van intelligente technologieën in het onderwijs. Deze breedte levert een unieke samenwerking tussen wetenschappers om de pedagogisch-didactische, sociaal-maatschappelijke en ethische aspecten van AI in onderwijs in kaart te brengen.
Vorig jaar zijn het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad verschenen. De Onderwijsraad wijst op het belang van een actieve rol voor zowel leraren en docenten als schoolleiders, bestuurders en de overheid bij de inzet van intelligente technologie. Schoolleiders en bestuurders hebben een belangrijke rol in het borgen dat leerlingen, studenten, leraren en docenten digitaal geletterd zijn en intelligente technologie zinvol en verantwoord inzetten. Voor de overheid ziet de Onderwijsraad een faciliterende rol door kaders te scheppen, algemene leerdoelen te formuleren voor digitale geletterdheid en te stimuleren dat er samen met de beroepsgroep toepassingen van intelligente technologie worden ontwikkeld.

Vraag 7

Bent u bekend met hat artikel «ChatGPT te lijf met pen en papier»2?

Ja, wij zijn bekend met dit bericht.

Vraag 8

Op welke manier passen onderwijsinstellingen in het mbo, hbo en wo zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en studenten hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Mbo-, hbo- en wo-instellingen zetten AI al in voor bijvoorbeeld het optimaliseren van onderwijsprocessen en het vindbaar maken van leermaterialen. Met de komst van ChatGPT kunnen ook studenten en docenten gebruik maken van dergelijke technologie, om bijvoorbeeld het leerproces te verbeteren. Ten slotte zijn er gevallen bekend dat studenten ChatGPT gebruiken om fraude te plegen.
Docenten en opleidingen zijn als eerste aan zet om in te spelen op de toepassing van ChatGPT, alsook andere vormen van generatieve AI. Zoals aangegeven in de beantwoording op vraag 3, kunnen docenten de onderwijsvorm aanpassen, waardoor de inzet van ChatGPT minder gevolgen heeft op het leerproces. Docenten worden hierbij ondersteund door Kennisnet en SURF, die hun kennis delen in de vorm van webinars en artikelen.
Voor de opleidingen geldt dat zij moeten inspelen op maatschappelijke en technologische ontwikkelingen. Doordat opleidingen de opleidingscurricula steeds vernieuwen, kunnen studenten binnen de opleidingen de benodigde en relevante (AI-) vaardigheden verwerven.
OCW ziet haar rol vooral als verbinder en facilitator. Met het Nationaal Groeifondsprogramma Digitaliseringsimpuls Onderwijs, investeert het kabinet in digitalisering in het mbo, hbo en wo. Onderdeel van het netgenoemde programma zijn de Centers for Teaching and Learning (CTL), die ervoor zorgt dat de nationale ICT-voorzieningen en kennis beschikbaar is voor docenten en lerenden, op een manier die past bij de eigen context, structuur en cultuur van de opleiding en instelling. Hierbij is ook aandacht voor technologieën zoals AI. Deze CTL dragen dus bij aan kennisdeling waardoor docenten ondersteund worden in hun werk.
Daarnaast biedt OCW een eenmalige subsidie aan de werkgroep Onderwijs van de Nederlandse AI Coalitie (NL AIC). Met deze subsidie wordt gewerkt aan concrete AI-pilots die bijdragen aan beter onderwijs voor leerlingen en studenten en meer ondersteuning voor docenten.

Vraag 9

Is voldoende expertise over kunstmatige intelligentie aanwezig op het ministerie en breder binnen de rijksoverheid? Zo ja, op welke manieren ondersteunt u scholen en andere onderwijspartijen? Zo nee, hoe gaat u dat in de (nabije) toekomst alsnog doen?

Binnen de rijksoverheid is expertise aanwezig om de genoemde ondersteuning aan scholen te faciliteren. Zoals aangegeven in de kabinetsreactie op het WRR-rapport «Opgave AI: de nieuwe systeemtechnologie» van 7 oktober 2022 wordt de komende jaren verder geïnvesteerd in kennisontwikkeling voor management en medewerkers op het gebied van kunstmatige intelligentie. Op dit moment is voor Rijksambtenaren een up-to-date aanbod aan opleidingen op het gebied van kunstmatige intelligentie beschikbaar, zowel voor beginners als voor gevorderden. De Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO) geeft in 2023 extra aandacht aan dit aanbod en biedt ook de mogelijkheid AI-opleidingen op maat te ontwikkelen, passend bij de context van de verschillende onderdelen van de rijksoverheid.
Voor de wijze waarop het Ministerie van OCW het onderwijs ondersteunt, verwijzen wij u graag naar de beantwoording van de vragen 3, 4, 5, 6 en 8.

Vraag 10

Hoe zorgt u ervoor dat u onderwijsinstellingen in het gehele onderwijs voldoende kunt ondersteunen als het gaat om omgang met kunstmatige intelligentie?

Zie antwoord vraag 9.

Vraag 11

Deelt u de mening dat de kennis in de samenleving, en dus ook in het onderwijs over AI moet worden vergroot, zoals ook de WRR adviseert en dat de nationale AI cursus hier een mooi instrument voor kan zijn? Zo nee, waarom niet? Zo ja, hoeveel mensen hebben de gratis AI cursus gedaan en wat kan er nog gebeuren om deze meer bekendheid te geven?3

Ja, het is van groot belang dat de kennis over AI in de samenleving en in het onderwijs wordt vergroot. Dat wordt op verschillende manieren gedaan, zoals het ontwikkelen van verantwoorde AI-innovaties in het primair en voortgezet onderwijs door het Nationaal Onderwijslab AI (NOLAI).
Ook de nationale AI cursus draagt bij aan bewustwording en kennisoverdracht bij burgers en professionals te vergroten. Daarvoor hebben zich tot nu toe 364.000 mensen aangemeld.
Daarnaast zijn er ook sectorspecifieke AI cursussen via de Nederlandse AI Coalitie gekomen voor o.a. zorg, energie en onderwijs, met een bereik van 50.000 mensen tot nu toe. Door de komst van ChatGPT is er een grote stijging in deelnemers van de AI cursus voor het onderwijs geweest. De komende tijd wordt de AI cursusaanpak doorontwikkeld en wordt ingezet op bredere bekendheid, o.a. via de inzet van de Nederlandse AI Coalitie en haar partners, zowel online als via events.

Vraag 12

Bent u bereid in gesprek te gaan met de Nederlandse AI-coalitie over kansen en risico’s van kunstmatige intelligentie voor het onderwijs?

Ja, we zijn reeds in gesprek met de NLAIC. Zoals aangegeven in de beantwoording van vraag 8 subsidieert OCW de werkgroep Onderwijs van de NLAIC. Ook zijn de ministeries van OCW en van EZK en deze werkgroep nauw betrokken bij de realisatie van het nieuwe innovatielab NOLAI. Het kabinet investeert € 80 mln uit het Groeifonds in NOLAI om samen met onderwijspartijen op AI gebaseerde lesmaterialen voor het onderwijs te ontwikkelen, die verantwoord en veilig zijn.

Vraag 1

Bent u bekend met de berichten «Natuurlijk gebruiken leerlingen ChatGPT. Het onderwijs kan maar beter anticiperen op de robots»1 (Volkskrant, 16 januari 2023) en «ChatGPT glipt langs docenten: «Ik gebruik het om snel huiswerk te maken»»2 (NOS, 16 januari 2023)? Zo ja, hoe beoordeelt u de desbetreffende berichten?

Ja, we zijn bekend met deze berichten. Wat deze ontwikkelingen uiteindelijk voor het onderwijs gaan betekenen weten we nu nog niet zeker. Wat we wel weten, is dat sommige docenten zich nu geconfronteerd zien met de risico’s van deze recente ontwikkelingen op het gebied van artificiële intelligentie (AI) en zich daarover zorgen maken. Die zorgen begrijpen wij. Ook zijn er docenten die kansen zien om met AI hun onderwijs te verbeteren. Er is veel behoefte aan een gesprek over de impact van AI op het onderwijs. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.
Het is belangrijk om te vermelden dat het onderwijs niet stil staat. De inzet van AI en in bredere zin digitalisering is al langer een belangrijk thema in het onderwijs. Dit zien we terug in goede initiatieven zoals de programma’s Doorpakken op Digitalisering en het Versnellingsplan. Ook in de komende tijd blijft het onderwijs hier aandacht aan besteden. Vanuit OCW wordt in 2023 een expertisepunt voor digitale geletterdheid opgericht als centraal online informatiepunt, loket voor scholen en als ondersteuningsstructuur waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid. Hierover zijn we op dit moment in gesprek.
AI is echter niet de eerste technologie die zijn intrede doet in het onderwijs die een impact achterlaat. Zo hadden de rekenmachine en computers bijvoorbeeld ook veel gevolgen, maar worden deze nu veelvuldig gebruikt in de klas. AI kan het onderwijs verbeteren door het leren motiverender te maken, het onderwijs beter af te stemmen op de behoefte van de lerende en docenten te ondersteunen.

Vraag 2

Wat vindt u van de recente ontwikkelingen rondom kunstmatige intelligentie en in het bijzonder ChatGPT? Deelt u de zorgen van de vragenstellers over de gevolgen ervan op het onderwijs?

Zoals aangegeven bij vraag 1 geldt dat we nog niet weten wat AI uiteindelijk gaat betekenen voor het onderwijs. Wij begrijpen zowel de kansen als de risico’s die vanuit het onderwijs worden genoemd.
Het kabinet ziet aan de ene kant de positieve waarde van generatieve AI, waar ChatGPT een voorbeeld van is. Zo hebben deze systemen de potentie om efficiëntie en productiviteit te verbeteren. ChatGPT kan bijvoorbeeld teksten schrijven makkelijker maken, en kan zelfs bijdragen bij programmeren. Individuen zijn er ook relatief makkelijk mee in staat tekst te genereren voor doeleinden als vermaak of taalverwerving. Naast ChatGPT zijn afbeeldingen gegenereerd door AI, zoals wordt gedaan door DALL-E, daar een goed voorbeeld van.
Het kabinet ziet anderzijds ook diverse negatieve effecten van generatieve AI en deelt de zorgen van de vragenstellers. AI kan bijvoorbeeld leiden tot biases, waardoor groepen leerlingen en studenten om onterechte redenen benadeeld kunnen worden3, 4. Ook kunnen AI-toepassingen als ChatGPT ingezet worden door lerenden om fraude te plegen bij schrijfopdrachten. Zoals aangegeven bij het antwoord op vraag 3, vraagt dit van het onderwijs om goed te doordenken hoe zij het onderwijs organiseren. ChatGPT is weliswaar in staat om in een handomdraai een toelichtende tekst te genereren over een onderwerp, maar het kan geen betekenis of context afleiden uit deze tekst. Daarom zullen vaardigheden als kritisch lezen, het kritisch analyseren en in context plaatsen van teksten, en het toepassen van opgedane kennis nog belangrijker worden in de nabije toekomst.
ChatGPT kan ook op andere wijzen en in andere domeinen negatieve effecten hebben. Deze effecten kunnen voortkomen uit de werking van de tool, waar het ondanks ingebouwde waarborgen mogelijk is om bevooroordeelde of discriminerende antwoorden te krijgen. Generatieve AI zoals ChatGPT kan ook gebruikt worden voor schadelijke doeleinden. Zoals het makkelijker maken van desinformatie en phishing. Bovengenoemde effecten omvatten niet alle zorgen die er zijn, en niet alle gevolgen zijn op dit moment al goed te overzien, zoals ook de WRR in het algemeen over AI schrijft in het rapport ‘Opgave AI. De Nieuwe systeemtechnologie’5.
Naast de ontwikkelingen in het onderwijs houdt het kabinet de algemene ontwikkelingen rond ChatGPT en dit soort breed toepasbare AI nauwlettend in de gaten. Waar bestaande kaders en maatregelen onvoldoende blijken, zullen we kijken naar wat eventueel aanvullend nodig is.

Vraag 3

Welke handvaten hebben leraren en scholen om om te gaan met kunstmatige intelligentie?

De ontwikkeling van AI vraagt van zowel docenten als leerlingen om op een doordachte manier met deze technologie in het onderwijs om te leren gaan. Daarbij is het belangrijk dat scholieren, leraren en de brede maatschappij in gesprek blijven over het gebruik van AI in de klas. Van docenten vraagt dit ook meer op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.

Vraag 4

Hoe voorkomen we negatieve effecten op de kwaliteit van het onderwijs?

Wij nemen hiervoor verschillende stappen. Wij zullen in de beleidsreactie op het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad nader ingaan op onze visie op AI in het onderwijs en hoe we de kansen die AI biedt voor beter onderwijs op een veilige en verantwoorde manier kunnen benutten. Daarnaast heeft de Europese Commissie recent een handreiking gepubliceerd voor leerkrachten over hoe om te gaan met AI en data6.
Met behulp van het Nationaal Groeifonds investeren wij substantieel in het realiseren van digitale innovaties die het onderwijs verder helpen, met oog voor de risico’s. Er is € 80 miljoen beschikbaar voor het Nationaal Onderwijslab AI (NOLAI) tot 2035. In het NOLAI werken scholen, wetenschappers en bedrijven samen aan de ontwikkeling en evaluatie van verantwoorde en veilige digitale innovaties die tegemoet komen aan de behoeftes in het funderend onderwijs. In co-creatie projecten werken zij aan een goede inzet van AI in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren. Zoals blijkt uit de haalbaarheidsstudie van NOLAI kan AI onderwijs op maat ondersteunen, de competentie en autonomie van leerlingen bevorderen, hun digitale geletterdheid vergroten en de werkdruk van leraren verminderen.
Met behulp van het Groeifondsprogramma digitaliseringsimpuls investeren we ook substantieel in de digitalisering van het mbo en ho. Onderdeel van dit programma is de transformatiehub docentondersteuning. Het doel van deze transformatiehub is om docenten evidence-informed te ondersteunen en te professionaliseren, zodat zij over de juiste kennis en vaardigheden beschikken om de ontwikkelingen op het gebied van digitalisering (waaronder AI) bij te houden. Een ander belangrijk onderdeel van het programma zijn de Centers for Teaching and Learning (CTL). De CTL zorgen ervoor dat nationale ontwikkelingen – zoals wetenschappelijke kennis en de bouw van nationale ICT-infrastructuren – doorgeleid worden naar de instellingen. Daarnaast ondersteunen de CTL docenten bij digitaliseringsvraagstukken.
Uiteraard blijven wij in gesprek met het onderwijsveld over de impact van AI op het onderwijs en houden we de ontwikkelingen nauwlettend in de gaten. Zo hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over AI vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.

Vraag 5

Welke stappen gaat u zetten om negatieve effecten te voorkomen en scholen te ondersteunen? En welke positieve gevolgen en kansen voor het onderwijs ziet u?

Zie antwoord vraag 4.

Vraag 6

Bent u bekend met het bericht: «We gaan een interessant jaar rondom AI-ontwikkeling tegemoet»3 (Dutch IT Channel) van 7 januari? Zo ja, bent u het ermee eens dat 2023 een cruciaal jaar wordt voor kunstmatige intelligentie en het ethische gebruik daarvan door bedrijven?

Ja we zijn ben bekend met de berichten. De ontwikkelingen op het gebied van AI volgen elkaar snel op. Dit is ook door de WRR benadrukt in hun rapport «Opgave AI».
Gezien het toenemende mondiale gebruik van AI, is het ook voor het Nederlandse bedrijfsleven van groot belang dat zij inspeelt op nieuwe technologische mogelijkheden. Dit is niet alleen relevant voor onze concurrentiepositie en welvaart maar ook voor de aanpak van grote uitdagingen zoals de klimaattransitie, verduurzaming van de landbouw en personeelstekorten in de zorg en het onderwijs.
In het Nederlandse bedrijfsleven is al langer aandacht voor de mogelijkheden van AI. Gemiddeld 13% van het Nederlandse bedrijfsleven zet AI in, ten opzichte van gemiddeld 8% in het Europese bedrijfsleven.8 AI-toepassingen worden door snelle
ontwikkelingen op het gebied van analytics en machine learning steeds interessanter voor bedrijven.
Om ervoor te zorgen dat het gebruik van AI door bedrijven op een ethische manier plaatsvindt, is de aanpak van het kabinet gericht op de ontwikkeling van mensgerichte AI. Deze AI moet veilig zijn, transparant en met respect voor fundamentele rechten. Via het investeringsprogramma AiNed wordt er bijna 230 miljoen euro voor AI kennis, innovatie en talent vrijgemaakt. Onder andere de zogenaamde ELSA labs (ethical, legal, societal aspects)
verrichten onderzoek op het gebied van mensgerichte AI en helpen bedrijven bij de toepassing.

Vraag 7

Welke nieuwe kansen en bedreigingen voorziet u voor bedrijven op het gebied van kunstmatige intelligentie naar aanleiding van de meest recente ontwikkelingen? Is de huidige inzet nog actueel in het ondersteunen van bedrijven in het gebruik van kunstmatige intelligentie voor innovatie, verduurzaming en diens productieprocessen?

Zie ook de beantwoording op vraag 6 met betrekking tot de kansen voor bedrijven. Nederland staat klaar om in te spelen op de kansen van AI. Aan de ene kant biedt AI kansen voor de aanpak van grote uitdagingen zoals de kilmaattransitie, verduurzaming van de landbouw en personeelstekorten in de zorg en het onderwijs. Daarnaast kan AI onze concurrentiepositie versterken en welvaart vergroten. AI kan voor een economische groei van 1,4 procent van het bbp per jaar zorgen als we de ontwikkeling en het gebruik van AI op grote schaal weten te adopteren.9
In de Strategie Digitale Economie10 zetten we uiteen hoe we het huidige fundament kunnen versterken en daarmee de kansen van AI zo goed mogelijk kunnen benutten. Het is belangrijk dat we blijven investeren in AI zelf en de randvoorwaarden voor de ontwikkeling en het gebruik van deze systemen. Hiermee voorkomen we ook dat we als Nederland te afhankelijk worden van grote technologiebedrijven van buiten de Europese Unie.
Een eerste belangrijke randvoorwaarde waar Nederland al een goede uitgangspositie heeft, is een goed opgeleide beroepsbevolking en internationaal toonaangevende kennisinstellingen. Het kabinet zet zich ervoor in om deze positie te behouden en waar nodig te versterken.11 Het AiNed programma focust zich onder andere op de arbeidsmarkt en zet zich in om de capaciteit voor AI opleidingen en trainingen van werknemers te verhogen. Ook werkt de Nederlandse AI Coalitie (NL AIC) aan het (bij)scholen van werknemers via gratis AI-cursussen met certificering. Daarnaast investeert het kabinet in het versterken van digitale vaardigheden in het algemeen, onder andere via het Actieplan Groene en Digitale Banen.
Een andere belangrijke voorwaarde voor een tech-ecosysteem is de beschikbaarheid van een goede digitale infrastructuur. Nederland beschikt al over een betrouwbare, hoogwaardige digitale infrastructuur en het kabinet heeft dan ook de ambitie om deze positie te behouden en verder te versterken.
Daarnaast bestaat er in Nederland al een sterke Publiek-Private Samenwerking op AI. De NL AIC speelt een belangrijke rol als facilitator van Publiek-Private Samenwerking (PPS). Kennis wordt daar ontwikkeld en gedeeld, ook naar het MKB. Deze samenwerking vindt onder andere plaats met de Regionale Ontwikkelingsmaatschappijen. Onder de NL AIC vallen verschillende werkgroepen die ook sectorale kennis met elkaar delen. Om praktische oplossingen te ontwikkelen voor toepassing van mensgerichte AI door organisaties, zijn er door de NL AIC 22 ELSA labs georganiseerd. Dit stimuleert de mensgerichte toepassing van AI in sectoren als de zorg of bij de energietransitie.
Het kabinet heeft de ambitie om het gebruik van geavanceerde digitale technologieën (waaronder AI) binnen het MKB te verhogen tot tenminste 75% in 2030. Dit gebeurt onder andere via bredere programma’s, waaronder de Versnelling Digitalisering MKB en Smart Industry. Ook worden er Europese Digitale Innovatiehubs (EDIHs) opgericht die het MKB ondersteunen om digitale technologieën, waaronder AI, als gebruikers toe te passen.
Naast het stimuleren van het gebruik van AI, zet het kabinet zich ook in om de ontwikkeling van deze systemen in Nederland te bevorderen. Nederland neemt deel aan Europese Test- en experimenteerfaciliteiten waarin een goede infrastructuur wordt geboden voor het ontwikkelen en gebruik van AI voor specifieke sectoren. Ook gaat het kabinet ontwikkelaars ondersteunen in het voldoen aan regelgeving, zoals de aankomende AI-verordening, via regulatory sandboxes.
Het kabinet blijft zich ervoor inzetten dat de kansen van AI op een verantwoordelijke manier zo goed mogelijk benut kunnen worden, met name bij grote maatschappelijke opgaven zoals de energietransitie en in innovatieve sectoren zoals de maakindustrie.

Vraag 8

Op welke wijze heeft u de impact van kunstmatige intelligentie op de arbeidsmarkt in kaart gebracht?

Zowel internationaal (o.a. OESO12, Eurofound13) als nationaal (o.a. CPB, TNO) doen meerdere partijen onderzoek naar de toepassingen van AI in het arbeidsdomein. Deze onderzoeken richten zich bijvoorbeeld op monitoring en surveillance op de werkvloer en op de effecten van de inzet van AI op gezond en veilig werken.
Zo heeft het CPB recent het rapport «Technologie, de arbeidsmarkt en de rol van beleid»14 uitgebracht. Hierin worden de technologische veranderingen voor de Nederlandse arbeidsmarkt geanalyseerd. In een samenwerking tussen TNO en RIVM wordt daarnaast gewerkt aan een beeldvormende toekomstverkenning op het gebied van gezond en veilig werken. AI komt daarin aan de orde. Daarnaast doet TNO op dit moment een ander onderzoek over wat de mogelijke impact kan zijn van AI op het gebied van gezond en veilig werken. Het College voor de Rechten van de Mens heeft tevens de risico’s en effecten van AI op het gebied van discriminatie bij werving en selectie onderzocht en heeft enkele aanbevelingen gedaan in hun onderzoek genaamd «Recruiter of computer?»15.
Als het gaat om de regulering van de toepassing van systemen voor AI wordt op EU-niveau ingezet op de AI-verordening. Specifiek in het arbeidsrecht wordt een belangrijke stap gezet met het richtlijnvoorstel van de Europese Commissie gericht op een verbetering van arbeidsvoorwaarden in platformwerk. Het richtlijnvoorstel bevat, in aanvulling op de Algemene Verordening Gegevensbescherming, o.a. regels over de toepassing van algoritmes en zien op de transparantie over en het gebruik van geautomatiseerde monitoring- en besluitvorming en de verplichting van menselijke tussenkomst.
Conform de met Uw Kamer gemaakte informatieafspraken wordt Uw Kamer regelmatig geïnformeerd over de voortgang van de onderhandelingen over dit richtlijnvoorstel.
De ontwikkelingen gaan snel. Het kabinet acht het van belang om deze ontwikkelingen goed te volgen. Het kabinet acht het van belang te bezien of de resultaten van onderzoeken gericht op het in kaart brengen van zowel de kansen als uitdagingen rondom AI kunnen worden meegenomen in de beleidsontwikkeling. Dit kan door nationale beleidsontwikkeling, Europese standpuntbepaling en of regulering, al dan niet op Europees niveau. De Autoriteit Persoonsgegevens heeft als coördinerend toezichthouder op de toepassing van algoritmes ook een rol als het gaat om de toepassing van algoritmes in het arbeidsrecht.

Vraag 9

Bent u bereid dat met de Kamer te delen?

Zie antwoord vraag 8.

Vraag 10

Kunt u dieper ingaan op de kansen en bedreigingen die kunstmatige intelligentie en technologie zoals ChatGPT bieden voor de arbeidsmarkt?

ChatGPT geeft het volgende antwoord: «het effect van ChatGPT op de Nederlandse arbeidsmarkt is momenteel onbekend omdat het model nog relatief nieuw is en nog niet op grote schaal is toegepast. Het kan echter worden gebruikt in verschillende sectoren, zoals customer service, waardoor het potentieel heeft om de efficiëntie en productiviteit te verhogen en de kosten te verlagen. Dit kan leiden tot veranderingen in de arbeidsmarkt, zoals automatisering van bepaalde taken en een grotere vraag naar vaardigheden die gericht zijn op het werken met deze technologie.»
In het algemeen kan AI taken en processen optimaliseren, hierdoor kunnen bedrijven efficiënter werken. Door AI kunnen banen en taken verdwijnen maar kunnen ook nieuwe ontstaan. Daarvoor zijn nieuwe vaardigheden nodig. Digitale vaardigheden en gekwalificeerd ICT-personeel zijn een belangrijke randvoorwaarde voor een succesvolle digitale transitie en voor ons toekomstig verdienvermogen. Het is daarom belangrijk om technische, digitale en sociale vaardigheden te verbeteren bij werkenden en te blijven investeren in Leven Lang Ontwikkelen. Het kabinet heeft daarom, in samenwerking met sociale partners, het Actieplan Groene en Digitale banen met de Kamer gedeeld.
Het effect van AI op de Nederlandse arbeidsmarkt zien we bijvoorbeeld bij platformwerk. AI kan hierbij worden gebruikt om werkenden te matchen met klanten, tarieven te bepalen, maar ook om werkenden aan te sturen. AI kan bijdragen aan het efficiënter en «slimmer» maken van platformbedrijven. Bovendien liggen er kansen om de algoritmes, die platformen gebruiken nadrukkelijker in lijn te brengen met overheidsbeleid onder andere op het gebied van gezond en veilig werken. Op deze manier kunnen zowel de platforms, werkenden als klanten profiteren. Maar het levert ook vragen op over onder andere algoritmisch management, zoals of er wel of geen sprake is van gezagsuitoefening, en of werkenden voldoende inzicht en inspraak hebben in de werking van deze algoritmes. Deze vraagstukken zijn onderdeel van de het richtlijnvoorstel over platformwerk.
Het gebruik van AI bij o.a. werving en selectie kan discriminatie met zich meebrengen. Als werkgevers kiezen voor de inzet van een algoritme bij werving en selectie, dan dienen zij volgens het College voor de Rechten van de Mens te controleren of er nog steeds een inzichtelijke, controleerbare en systematische procedure wordt gebruikt.16 Deze aanbevelingen worden meegenomen in de verdere uitwerking van het wetsvoorstel toezicht gelijke kansen bij werving en selectie. Ook worden landelijke en Europese ontwikkelingen op AI (en het tegengaan van de risico’s ervan) nauw gevolgd.
AI kan op veel manieren effect hebben op gezond en veilig werken. Een eenduidig effect is daardoor niet te benoemen. Het gaat daarbij vaak om risico’s die al bestaan, maar door de innovatieve technologie op een andere manier versterkt worden. Daarnaast is nog niet alle beschikbare technologie ook daadwerkelijk wijdverbreid geïmplementeerd op de werkvloer. AI heeft zeker de potentie om werk veiliger te maken. Er moet wel aandacht komen voor mogelijke ongewenste effecten die zulke technologie kan hebben, zoals bijvoorbeeld psychosociale belasting.

Vraag 11

Is het Strategisch Actieplan voor Artificiële Intelligentie bestendig genoeg gezien de recente ontwikkelingen? Bent u bereid om de Nederlandse inzet op kunstmatige intelligentie te herzien naar aanleiding van de snelle ontwikkelingen op het gebied van kunstmatige intelligentie?

In het Strategisch Actieplan voor Artificiële Intelligentie van 8 oktober 2019 is de basis gelegd voor de overkoepelende Nederlandse AI-inzet. In de voortgangsrapportages van de Nederlandse Digitalisering Strategie zijn de ontwikkelingen rondom deze inzet jaarlijks meegenomen.
Ook dit kabinet vindt het belangrijk goed zicht te houden op de ontwikkelingen rondom AI, en wat dit betekent voor haar inzet. De recente Kamerstukken de Strategie Digitale Economie17, Werkagenda Digitalisering18 en kabinetsreactie op het WRR-rapport AI19 beschrijven de actuele inzet op AI door dit kabinet. Om integraal zicht te houden op de ontwikkelingen rond AI, en bij te sturen waar nodig heeft dit kabinet daarnaast een Ambtelijke Commissie Digitalisering (ACD) ingesteld die de ontwikkelingen van deze technologie in context van de bredere digitaliseringsopgave beziet.

Vraag 12

Bent u bereid deze vragen te beantwoorden voor het Commissiedebat Kunstmatige Intelligentie van 25 januari?

Wij hebben geprobeerd de vragen te beantwoorden voor het commissiedebat, maar dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht «In de slag om glasvezel blijft geen tegel onberoerd»?1

Ja.

Vraag 2

Is bij u bekend in welke gemeenten op dit moment sprake is van de situatie dat meerdere aanbieders bezig zijn met of plannen hebben voor de aanleg van een glasvezelnetwerk? Zo nee, wilt u dit monitoren en deze informatie met de Kamer delen?

De Autoriteit Consument en Markt (ACM) heeft een interactief dashboard en geografische kaart beschikbaar, waarmee per Nederlands postcodegebied inzichtelijk is hoeveel glasvezelexploitanten in een gebied actief zijn.2 Dit dashboard en de kaart maken onderdeel uit van de structurele Telecommonitor, waarbij de ACM elk kwartaal gegevens opvraagt bij glasvezelexploitanten over het aantal gerealiseerde en geplande glasvezelaansluitingen. Om redenen van bedrijfsgevoeligheid worden daarbij alleen de gerealiseerde aansluitingen gepubliceerd in het dashboard en op de kaart, en niet de geplande aansluitingen. Gelet op de (on)beschikbaarheid van voornoemde informatie, ben ik niet van voornemens om de (geplande) aanleg van glasvezel in gemeenten zelf actief te monitoren.

Vraag 3

Deelt u de mening dat het vanuit economisch oogpunt onwenselijk is dat twee of zelfs meer glasvezelnetwerken worden aangelegd in gebieden waar mogelijk onvoldoende potentiële klanten wonen? Geldt dit wat u betreft ook specifiek voor de plaats Winsum?

Het is aan de markt om te bepalen waar het economisch wenselijk wordt geacht om één of meerdere glasvezelnetwerken aan te leggen. Deze keuze wordt onder meer worden ingegeven door zaken als verwacht bezettingspotentieel (consumenten die een internetabonnement nemen) op het aan te leggen netwerk en de kosten voor de aanleg van het netwerk. De ACM schreef eerder in haar glasvezelmarktstudie3 dat, met het oog op een gezonde infrastructuurconcurrentie en voldoende keuzevrijheid voor de eindgebruiker, het wenselijk is dat ten minste één open glasvezelnetwerk wordt gerealiseerd in gebieden waar ook kabel ligt, maar dat er in bepaalde gebieden ruimte is voor meerdere glasvezelnetwerken. Bijvoorbeeld in bepaalde stedelijke gebieden waar de marginale aanlegkosten per adres zo laag zijn dat twee of meer glasvezelnetwerken naast kabel mogelijk zijn.4 Consumenten profiteren daarvan met keuzevrijheid en scherpe tarieven. Het hangt dus van de specifieke situatie af of marktpartijen het economisch wenselijk vinden om in hetzelfde gebied meerdere glasvezelnetwerken aan te leggen. De ACM houdt markttoezicht op de uitrol van glasvezel en heeft oog voor bijvoorbeeld het vlak na elkaar aanleggen van glasvezelnetwerken in hetzelfde gebied (of het voeren van procedures hiertegen), die evident gericht is op het verstoren van de concurrentie op de glasvezelmarkt.

Vraag 4

Is het binnen de huidige wettelijke kaders mogelijk om iets te doen tegen de dubbele aanleg van glasvezelnetwerken in gebieden waar dit vanuit economisch en maatschappelijk perspectief onwenselijk is?

Nee, in eerste aanleg niet, omdat gemeenten vanuit de Europese Telecomcode (richtlijn (EU)2018/1972) en implementatie daarvan in de Telecommunicatiewet moeten gedogen dat elke aanbieder van een openbaar telecomnetwerk (waaronder een glasvezelnetwerk) een dergelijk netwerk mag aanleggen in de openbare grond. Dit uitgangspunt van infrastructuurconcurrentie in de Telecomcode is belangrijk voor goede concurrentie en keuzevrijheid voor de consument. Wel heeft de gemeente op basis van deze wet bepaalde bevoegdheden om te sturen op een ordelijke uitrol van telecomnetwerken en op het beperken van de impact op de ruimtelijke en ondergrondse ordening.
Zo kan de gemeente voorschriften opnemen in het instemmingbesluit om overlast en de impact op de ondergrond te beperken.5 Dit ziet onder andere op het afstemmen van (gelijktijdige) civiele werkzaamheden tussen telecomaanbieders onderling of het hanteren van een bepaalde periode van graafrust. Verder kan de gemeente van een telecomaanbieder verlangen dat deze bij de aanleg van zijn netwerk gebruik maakt van door hem of een derde ter beschikking gestelde ondergrondse voorzieningen.6 Dit met het oog op en binnen de grenzen van het redelijke, om zo min mogelijk hinder in het gebruik van en verandering aan de openbare grond teweeg te brengen. Ten slotte heeft de gemeente de mogelijkheid om in specifieke gebieden en onder bepaalde voorwaarden aan aanbieders van openbare telecomnetwerken een verplichting tot colocatie of gedeeld gebruik van bestaande (passieve en actieve) netwerkelementen en bijbehorende faciliteiten op te leggen.7 Daarmee wordt het maatschappelijk belang gediend dat schaarse publieke ruimte en infrastructuur efficiënt wordt gebruikt en de impact op het milieu en de ruimtelijke ordening zo min mogelijk zijn.
Belangrijk te vermelden is dat de voornoemde bevoegdheden van de gemeente gericht zijn op het beschermen van bepaalde maatschappelijke belangen en geenszins bedoeld zijn om de aanleg van meerdere glasvezelnetwerken in een bepaald gebied te verbieden. Vanuit het oogpunt van infrastructuurconcurrentie is exclusiviteit van één glasvezelaanbieder op de lange termijn namelijk onwenselijk en naar Europees en nationaal recht niet toegestaan.

Vraag 5

Deelt u de mening dat het kort na elkaar aanleggen van meerdere glasvezelnetwerken leidt tot overlast voor bewoners en ondernemers met mogelijk economische schade tot gevolg?

Ja, ik kan me voorstellen dat het door bewoners en ondernemers als hinderlijk wordt ervaren als de straat kort achter elkaar weer open en dicht wordt gemaakt voor de aanleg van glasvezelnetwerken.
Overigens is wel mijn beeld dat de aanleg van glasvezelnetwerken doorgaans een zeer snelle doorlooptijd heeft, waarbij in de ochtend de straat wordt opengebroken en in de middag weer is dichtgemaakt.
Zoals ik beschrijf in mijn antwoord op vraag 4 en 10/11, hebben gemeenten de mogelijkheid om een periode van graafrust in te roepen om overlast als gevolg van snel op elkaar volgende graafwerkzaamheden te beperken.

Vraag 6

Vormen de nieuwe berichten over concurrentie op het gebied van glasvezel tussen verschillende aanbieders in onder andere de plaatsen Winsum, Reusel-De Mierden en Heerlen aanleiding voor u om opnieuw de verschillende mogelijkheden te bezien die door de Autoriteit Consument & Markt (ACM) in hun marktstudies uit 2019 en 2021 zijn geschetst om de uitrol van glasvezel beter te stroomlijnen? Zo nee, waarom niet?

Het is aan de ACM om te bezien of ze, op grond van de huidige marktontwikkelingen, een nieuwe update van hun marktstudie nodig achten. Uit mijn gesprek met de ACM is gebleken dat de toezichthouder de glasvezelmarkt nauwlettend volgt en regelmatig vragen krijgt van gemeenten en marktpartijen over mededingingsrechtelijke aspecten bij de coördinatie van de uitrol van glasvezel, maar vooralsnog geen aanleiding ziet om op korte termijn de studie te actualiseren. Naar het oordeel van de ACM zijn de denkrichtingen uit de studie nog steeds actueel. Samen met de ACM blijf ik de ontwikkelingen in de glasvezelmarkt nauwlettend volgen en blijf ik hierover in gesprek met gemeenten en marktpartijen. Daarnaast zal ik gemeenten actief informeren over hun regierol en sturingsmogelijkheden om de uitrol van glasvezelnetwerken in goede banen te leiden. Onder andere door de genoemde acties in het antwoord op vraag 8/9.

Vraag 7

Bent u het met de ACM eens dat co-investering een goede oplossing is om snelle uitrol te waarborgen, met minder overlast voor bewoners en onnodige aanleg van dubbele netwerken? Wilt u de bereidheid bij de aanbieders voor co-investering opnieuw bekijken? . Ziet u voor uzelf een grotere rol weggelegd om regie op de uitrol van glasvezel te houden, bijvoorbeeld door in gesprek te gaan met de belangrijkste aanbieders en met hen afspraken te maken over de uitrol van glasvezel?

Zoals eerder in de Kamerbrief van 6 mei 2021 door de toenmalige Staatssecretaris van EZK werd aangegeven, juich ook ik vrijwillige co-investeringen door marktpartijen en de handvatten die de ACM op haar verzoek heeft aangereikt zeer toe.8 Echter, zoals destijds aangegeven, lijken grootschalige co-investeringen in Nederland geen haalbare weg te zijn, wat nogmaals wordt bevestigd door marktpartijen in de gesprekken die in het kader van deze Kamervragen met hen zijn gevoerd. Dit laat onverlet dat de uitrol van glasvezel ook op andere manieren kan worden gestimuleerd, zoals via het afstemmen van graafwerkzaamheden ervan door een gemeente. Ik verwijs hiervoor naar de Kamerbrief van 6 mei 2021 en het antwoord op vraag 4.

Vraag 8

Hoe helpt u gemeenten die met deze situatie te maken krijgen? Zijn gemeenten voldoende op de hoogte van de wettelijke mogelijkheden die zij hebben om voorschriften op te nemen in het instemmingsbesluit, bijvoorbeeld het afkondigen van «graafrust' voor maximaal 12 maanden?

Nee, ik zie voor mezelf geen grotere rol weggelegd anders dan de faciliterende en voorlichtende rol die ik nu reeds vervul met de werkzaamheden rond lokaal (telecom)beleid. Het is immers de gemeente die een instemmingsbesluit verleent voor de uitrol van glasvezel. Deze werkzaamheden zien vooral op het wisselen van praktijkbeelden tussen gemeenten en markt (via overleggremia), informatievoorziening via rijkswebsites en -nieuwsbrieven (o.a. overalsnelinternet.nl) en het maken van gemeentelijk voorbeeldbeleid ten behoeve van meer harmonisatie van lokaal (telecom)beleid. In de komende tijd zal ik daarbij specifieke aandacht besteden aan het duiden van de regierol en sturingsmogelijkheden van gemeenten die in de beantwoording van deze Kamervragen worden genoemd. Onder meer door het publiceren van informatiemateriaal (factsheet, best practices, FAQ, jurisprudentie, etc.) op de website overalsnelinternet.nl, en het actief kenbaar maken van de beantwoording van deze Kamervragen onder gemeenten via een (nieuws)brief.

Vraag 9

Zou er wat u betreft niet een wettelijke standaardperiode van graafrust moeten komen, bijvoorbeeld zes maanden, als het niet mogelijk blijkt om graafwerkzaamheden voldoende af te stemmen?

Zie antwoord vraag 8.

Vraag 10

Bent u bereid om vanuit uw regierol opvolging te geven aan het advies van de ACM om te komen tot een breed gedragen convenant of handboek met richtlijnen voor uniform beleid tussen gemeenten, provincies, waterschappen en/of marktpartijen?

Het verankeren van een wettelijke standaardperiode van graafrust is naar mijn oordeel niet nodig, omdat het huidige wettelijke kader al voldoende waarborgen biedt aan gemeenten om een periode van graafrust op te leggen als het afstemmen van graafwerkzaamheden geen uitkomst biedt. Daarbij kunnen gemeente om zwaarwichtige redenen van publiek belang een langere periode van graafrust voorschrijven.9 Bovendien is het doeltreffender, gelet op het tempo waarin momenteel glasvezel wordt uitgerold in Nederland en de tijd die het kost om een dergelijke wetswijziging door te voeren, om in te zetten op de genoemde activiteiten in het voorgaande antwoord. Datzelfde geldt ook voor het advies van de ACM om te komen tot een breed gedragen convenant of handboek, Dit neemt overigens niet weg dat ik me blijf inzetten om te komen tot meer harmonisatie van lokaal (telecom)beleid. Bijvoorbeeld via het opstellen van een leidraad leges, zoals aangegeven tijdens het commissiedebat digitale infrastructuur en economie op 22 maart jl.10

Vraag 11

Wat is de status van de verschillende overleggremia, zoals de taskforce digitale connectiviteit en de werkgroep vaste connectiviteit, die zich bezighouden met het lokale beleid rondom de aanleg van telecomkabels?

Zie antwoord vraag 10.

Vraag 1

Bent u bekend met het bericht VS verbieden producten Huawei en andere Chinese bedrijven: «Onacceptabel risico voor nationale veiligheid»?1

Ja.

Vraag 2

Bent u ook ook bekend met de op 13 december 2022 ingediende wetgeving in de Verenigde Staten om de toegang van Huawei tot banken te beperken?2

Ja.

Vraag 3

Wat vindt de u van de ontwikkelingen in de Verenigde Staten om Huawei en andere Chinese bedrijven te beperken in het risico dat zij vormen ten aanzien van de nationale veiligheid? Acht u het ook wenselijk om in Nederland bedrijfsgebonden beleid te voeren gezien de geconstateerde veiligheidsrisico’s van het land van herkomst?

Het kabinet deelt de zorgen van de Verenigde Staten over veiligheidsrisico’s ten aanzien van China. Nederland is voortdurend over deze risico’s in contact met bondgenoten, waaronder de VS. De maatregelen die het kabinet treft om onze veiligheid te beschermen worden nationaal dan wel in Europees verband ingevoerd, via de daarvoor bestaande wettelijke kaders. Dit gebeurt altijd op een case-by-case benadering, voor zowel exportcontrole, investeringstoetsing als kennisveiligheidsmaatregelen. Dit is andere een aanvliegroute dan het bedrijfsgebonden beleid dat de VS voert, maar kent wel een eenzelfde doel: de bescherming van de nationale veiligheid tegen risico’s van (bedrijven uit) derde landen.

Vraag 4

Huawei is geweerd uit het vitale kernnetwerk en tevens zijn bij ministeriële regeling nadere eisen opgelegd ten aanzien van te treffen technische en organisatorische beveiligingsmaatregelen om de weerbaarheid van hun netwerk te verhogen. In de ministeriële regeling is opgenomen dat deze maatregelen op 1 oktober 2022 geïmplementeerd moeten zijn. Kunt u aangeven of deze maatregelen inmiddels geïmplementeerd zijn?

De ministeriële regeling veiligheid en integriteit telecommunicatie verplicht de mobiele netwerkaanbieders om op 1 oktober 2022 aan de in de regeling genoemde beheersmaatregelen te voldoen. De Rijksinspectie Digitale Infrastructuur is als aangewezen toezichthouder bezig met controle op het voldoen aan deze verplichting.

Vraag 5

Kunt u inzichtelijk maken welke rol Huawei nu inneemt in de rest van het vaste en mobiele telecommunicatienetwerk? Is er bekend of daarbij nog gebruik gemaakt wordt van technologie van Huawei?

Telecomoperators hebben een diversiteit aan leveranciers in hun netwerken. Zij zijn daarbij gehouden de geldende maatregelen, zoals genomen onder de algemene maatregel van bestuur (AMvB) Veiligheid en Integriteit Telecommunicatie3, uit te voeren. De Rijksdienst voor de Digitale Infrastructuur houdt hier toezicht op.
Veiligheidsbeleid is maatwerk. Maatregelen moeten proportioneel zijn, passend bij de te beschermen belangen en de dreiging, en rekening houdend met de continuïteit van de dienstverlening. Op basis van een analyse van de Taskforce Economische Veiligheid naar de risico’s op telecommunicatienetwerken zijn eerder de benodigde maatregelen genomen om geïdentificeerde risico’s aan te pakken (Kamerstuk 26 643, nr.143).
De mobiele netwerk operators (MNO’s) zijn bij beschikking verplicht om in de kritieke onderdelen van hun netwerken uitsluitend gebruik te maken van producten en diensten van andere partijen dan de daarin genoemde leveranciers. Voor zover de MNO’s momenteel gebruik maken van producten of diensten van laatstbedoelde leveranciers in de kritieke onderdelen, is in deze beschikkingen met het oog op de continuïteit van dienstverlening een termijn opgenomen waarbinnen deze reeds in gebruik zijnde producten of diensten dienen te worden vervangen respectievelijk beëindigd. Gedetailleerde informatie over wie waar welke leverancier gebruikt, en welke uitfaseringstermijnen gelden wordt gezien als bedrijfsvertrouwelijke informatie. Deze informatie kan niet openbaar gemaakt worden in verband met toezeggingen die door de overheid zijn gedaan aan de telecomaanbieders omtrent de vertrouwelijkheid van de individuele beschikkingen en van de ten behoeve van die beschikkingen door hen aan de overheid verstrekte informatie.

Vraag 6

Bent u bereid er bij telecomoperators op aan te dringen Huawei te weren uit het volledige telecommunicatienetwerk? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 7

Bent u bereid om ook de toegang van Huawei tot Nederlandse banken te beperken? Zo nee, waarom niet?

Nederland maakt een zelfstandige afweging ten aanzien van veiligheid. Als we informatie verkrijgen die erop zou kunnen wijzen dat aanvullende actie nodig is, zullen we daar naar handelen. Het kabinet houdt het beleid van andere landen daarin nauwlettend in de gaten.

Vraag 1

Bent u bekend met het bericht «Twitter heft adviesraad op die platform veilig moest houden»1 en het bericht «ElonMusk daalt op zijn Twitter steeds dieper af in het konijnenhol»?2

Ja, ik ben bekend met deze berichtgeving.

Vraag 2

Deelt u de mening dat de veiligheid op Twitter sinds de overname door Elon Musk steeds verder verslechtert, onder andere door het opheffen van de Trust & Safety council en het ontslag van medewerkers die berichten beoordeelden en verwijderden?

De ontwikkelingen binnen de Twitter organisatie volgen elkaar momenteel snel op. De berichtgevingen over de effecten hiervan voor gebruikers lopen uiteen.
Het is van belang dat mensenrechten en democratische waarden door online platforms worden gewaarborgd, en dat platforms als Twitter hierover verantwoording afleggen.

Vraag 3

Wat vindt u van de tweets van Musk over wetenschapper Anthony Fauci, waarin wordt opgeroepen tot strafrechtelijke vervolging van deze wetenschapper? Wat vindt u van het blokkeren van Twitter-accounts van verschillende Amerikaanse journalisten?

De persoonlijke tweets van de heer Musk zullen onder Amerikaans recht beoordeeld moeten worden door de toezichthoudende instanties aldaar. De journalisten die hun account zagen geblokkeerd na een (vermeende) overtreding van het privacy-beleid zijn weer toegelaten op het platform. Het spreekt voor zich dat ik elke onrechtvaardigde inbreuk op de journalistieke vrijheid afkeur.

Vraag 4

Deelt u de mening dat dergelijke acties, van iemand die eigenaar is van Twitter en zelf 121 miljoen volgers heeft, schadelijke en ernstige gevolgen kunnen hebben in de fysieke wereld?

Uiteraard keur ik haatzaaiende berichten – in welke vorm dan ook – af. Hierover maakten we reeds in EU-verband afspraken met verschillende social media platforms3. Onder artikel 34 en 35 van de nieuwe Digitale Dienstenverordening4 die dit jaar voor online platforms in werking treedt, zullen platforms met meer dan 45 miljoen gebruikers in de EU de impact van hun dienstverlening op fundamentele rechten, waaronder vrijheid van de pers, het publieke debat en non-discriminatie in kaart moeten brengen en passende maatregelen moeten nemen om deze te beschermen. Met 61,9 miljoen gebruikers in de EU eind 20225 ziet het er naar uit dat Twitter aan deze wettelijke verplichting moet gaan voldoen en anders boetes moet betalen. De Europese Commissie houdt hier toezicht op. Het is heel goed dat alle zeer grote online platforms nog dit jaar aan deze regels zullen moeten voldoen.

Vraag 5

Hoe kijkt u naar deze ontwikkeling in de wetenschap dat Twitter met 3,5 miljoen actieve gebruikers een van de grootste social media platforms van Nederland is en daarmee een podium biedt aan het publieke debat in Nederland?

Het kabinet heeft er mee ingestemd dat een platform met een bereik van meer dan >10% van de EU bevolking zal worden aangemerkt als een zeer groot online platform en daarmee aan aanvullende verplichtingen zal moeten voldoen onder de herziene Digitale Dienstenverordening. Platforms zullen risico’s in kaart brengen van hun (algoritmische) dienstverlening op fundamentele rechten en het publieke debat en deze moeten mitigeren.

Vraag 6

Hoe wilt u het Nederlandse publieke debat beschermen tegen een verdere verslechtering van de veiligheid op Twitter dat zich manifesteert in een slechtere controle op racistische berichten, complottheorieën, bedreigingen en andere vormen van hate speech?

Nog dit jaar zullen zeer grote online platforms moeten voldoen aan de verplichtingen uit de herziene Digitale Dienstenverordening en zullen ze de eerste rapportage aan de Europese Commissie, die toezicht houdt, moeten toezenden. Wanneer het platform inbreuk pleegt op de bepalingen uit de verordening kan de Europese Commissie geldboeten opleggen die niet meer bedragen dan 6% van zijn totale wereldwijde jaaromzet.

Vraag 7

Bent u in overleg met uw collega’s in andere EU-lidstaten en in Brussel over een gezamenlijke aanpak om Twitter hierop aan te spreken en ervoor te zorgen dat Twitter zich aan de Europese regels houdt?

De Europese Commissie zal optreden als onafhankelijke toezichthouder bij zeer grote online platforms. Leden van de Commissie hebben aangegeven dat Twitter zich aan de regels zal moeten houden6.

Vraag 1

Klopt het dat kabinet heeft ingestemd met exportbeperkingen van chipmachines en chiptechnologie aan China? Zo ja, waarom heeft u de Kamer hier niet over geïnformeerd?1

Op de inhoud van gesprekken die Nederland voert met partnerlanden kan ik vanwege de vertrouwelijkheid niet ingaan. Zoals eerder gemeld, zal ik u uiteraard informeren in geval van beleidswijzigingen: deze zijn op dit moment niet aan de orde. Ik verwijs u graag naar de Kamerbrief van 1 december jl., en de vertrouwelijke technische briefing die 8 december plaatsvond.

Vraag 2

Wilt u zo snel mogelijk met de Kamer delen welke afspraken er zijn gemaakt?

Zie antwoord vraag 1.

Vraag 3

Wat zijn de effecten van de afspraken op Nederlandse bedrijven? Zijn deze bedrijven geconsulteerd in het proces?

Zie antwoord vraag 1.

Vraag 4

Wat zijn de effecten op onze (economische) veiligheid?

In de Kamerbrief van 1 december bent u geïnformeerd over de overwegingen van exportcontrolebeleid in het algemeen, en halfgeleidertechnologie in het bijzonder. De bescherming van nationale veiligheid is het uitgangspunt. Op basis daarvan, heeft het kabinet drie strategische doelen gedefinieerd voor halfgeleidertechnologie: 1) Voorkomen dat Nederlandse goederen bijdragen aan ongewenst eindgebruik, zoals militaire inzet of in massavernietigingswapens. 2) Voorkomen van ongewenste strategische afhankelijkheden. 3) Behoud van Nederlands technologisch leiderschap en westerse standaarden. U bent op 8 december jl. tijdens een vertrouwelijke briefing hierover nader geïnformeerd. Indien van beleidswijzigingen sprake is, zal ik uw Kamer informeren. Dat is nu niet het geval.

Vraag 5

Wat zijn de effecten op de veiligheid van Europa?

Zie antwoord vraag 4.

Vraag 6

Heeft u de veiligheidsaspecten met uw Brusselse collega’s besproken? Zo ja, wat kwam hieruit en zo nee, waarom niet?

Zoals aangegeven in Kamerbrief van 1 december, is internationale samenwerking een essentieel onderdeel van exportcontrolebeleid. Europese wetgeving is de basis van het Nederlandse exportcontrolebeleid, en Nederland streeft naar eensgezinde uitvoering hiervan. Nederland voert doorlopend gesprekken hierover. Primaire partners zijn de EU lidstaten en de Europese Commissie. Op de inhoud van die gesprekken kan ik niet in het openbaar ingaan.

Vraag 7

Welke veiligheidsrisico’s waren er voor Nederland geweest als deze afspraken niet waren gemaakt?

Zie antwoord vraag 4.

Vraag 8

Wat staat er tegenover het moeten beperken van onze export? Bent u van mening dat dit proportioneel is?

Zie antwoord vraag 4.

Vraag 9

Wat is uw verwachting van de klacht die China tegen de VS heeft ingediend bij de WTO? Verwacht u een gelijke klacht aan het adres van Nederland?

Het kabinet heeft kennisgenomen van de klacht die China heeft ingediend tegen de VS in het kader van WTO geschillenbeslechting. Het gaat om een klacht over exportcontrole maatregelen voor halfgeleidertechnologie die de VS heeft aangekondigd op 7 oktober jl. ter bescherming van de nationale veiligheid. China claimt dat deze motivatie niet consistent is met WTO-regels. In het kader van deze klacht zullen China en de VS eerst bilaterale consultaties houden. Op de uitkomst hiervan kan ik niet vooruitlopen. Wel merk ik op dat de WTO regels uitzonderingsgronden kennen, waaronder ten behoeve van nationale veiligheid, op basis waarvan exportcontrole maatregelen worden genomen. Zoals ik eerder heb aangegeven, maakt Nederland een eigen afweging als het gaat om exportcontrole. Ik ga niet speculeren over mogelijke klachten die Nederland zou kunnen ontvangen.

Vraag 10

Verwacht u nog verdere reacties vanuit China, zowel economisch als diplomatiek? Welke impact denkt u dat de exportbeperkingen hebben op de technologische ontwikkeling in China en daarmee op militaire macht van China en de mensenrechtenschendingen binnen China zelf?

Ik ga niet speculeren over mogelijke reacties vanuit het China. In de brief die u heeft ontvangen op 1 december jl. en in het antwoord op vragen 4, 5, 7 en 8 staan de uitgangspunten voor exportcontrolebeleid van halfgeleidertechnologie.

Vraag 11

Op welke manier heeft u de mogelijkheden voor exportbeperkingen besproken met uw collega’s in Brussel?

Zie antwoord vraag 6.

Vraag 12

Wilt u deze vragen beantwoorden voor het commissiedebat Wapenexportbeleid op 21 december?

Ja.

Vraag 1

Is het juist dat het RIVM de opnamen »onbedoeld en onterecht» meegestuurd heeft naar het Ministerie van Volksgezondheid, Welzijn en Sporten in de stroom documenten over Covid-19?1

Zoals ik u in mijn brief van 19 oktober jongstleden2 heb geïnformeerd, draagt het RIVM voor de afhandeling van verzoeken op grond van de Wet open overheid (Woo) relevante COVID-19-informatie en -documentatie over aan VWS. Tijdens het periodiek verzamelen van de bovengenoemde COVID-19-documentatie binnen het RIVM zijn 29 niet door het RIVM vernietigde audiobestanden van officiële OMT-vergaderingen onbedoeld en ongewild in de data-export terecht gekomen. Het is betreurenswaardig dat deze audiobestanden onbedoeld en ongewild bij VWS in de COVID-19 dataset aanwezig zijn.

Vraag 2

Is het juist dat de overdracht van de documenten en opnames automatisch gebeurde omdat uw ministerie informatie openbaar moet kunnen maken als daar om wordt gevraagd op basis van de Wet open overheid (Woo)?

In mijn brief van 8 november jongstleden heb ik u toegelicht dat de overdracht gebeurt middels een grotendeels3 geautomatiseerd proces van documenten- en dataoverdracht van het RIVM aan VWS. Het gaat hier namelijk om grote volumes. Per overdracht gaat het gemiddeld om 500.000 documenten. Het is niet mogelijk om daar een handmatige beoordeling op toe te passen binnen de gegeven hoeveelheid middelen en capaciteit. Ik verwijs u hierbij ook naar de werkafspraken4 uit voorgenoemde brief die RIVM en VWS ten behoeve van deze data-overdracht hebben gemaakt.

Vraag 3

Is het juist dat dergelijke geluidsopnamen juist bewaard worden met het oog op eventuele Woo-verzoeken? Zo ja, waarom kunt u de betreffende opnamen, of transcripten daarvan, dan toch niet openbaar maken?

Nee, dit is niet juist. Hierbij verwijs ik u naar mijn eerdere brieven van 19 oktober5 en 8 november6 jongstleden aan uw Kamer. In deze brieven licht ik toe dat in het protocol van het RIVM is opgenomen dat geluidsopnamen door een notulist worden gebruikt ter ondersteuning indien blijkt dat aantekeningen niet toereikend zijn. Na het definitief vaststellen van het verslag worden deze bestanden verwijderd. Helaas zijn er desondanks ook geluidsbestanden verzameld als onderdeel van grote hoeveelheden relevante COVID-19-data en documenten ten behoeve van openbaarmaking via de Wet open overheid (Woo). Dit gebeurt middels een geautomatiseerd proces van documenten- en dataoverdracht van het RIVM aan VWS. Het is betreurenswaardig dat deze audiobestanden onbedoeld en ongewild bij VWS in de COVID-19 dataset aanwezig zijn.
Ten aanzien van de bovengenoemde audiobestanden – die onbedoeld en ongewild zijn bewaard – heb ik besloten deze voorlopig te bewaren om geen voldongen feiten te creëren. Het is staand beleid om geen documenten – die onder de reikwijdte van een verzoek vallen – te verwijderen als de Kamer erom vraagt of als er een Woo-verzoek is ingediend.

Vraag 4

Bent u met ons van mening dat Nederland er recht op heeft om te weten hoe het Outbreak Management Team (OMT) gesproken heeft over het coronabeleid, vaccinatiebeleid en het inperken van grondrechten en vrijheden? Zo nee, waarom niet?

Nee, in eerdere antwoorden7 op de vraag vanuit de Kamer om verstrekking van de verslagen van OMT-vergaderingen heb ik namelijk aangegeven dat het belang van de staat uit artikel 68 van de Grondwet zich daartegen verzet. Hetzelfde geldt voor de audiobestanden. Er zijn afspraken gemaakt over vertrouwelijkheid ten behoeve van het goed functioneren van het OMT en ter bescherming van de OMT-leden en hun persoonlijke levenssfeer. Het respecteren van dergelijke afspraken en de bescherming van de persoonlijke levenssfeer vallen onder de verschoningsgrond belang van de staat uit artikel 68 Grondwet. Daarom kan ik de audiobestanden niet met uw Kamer delen.

Vraag 5

Heeft u kennisgenomen van het op 2 december 2022 door het lid Van Haga ingediende Woo-verzoek tot het verstrekken van de OMT-geluidsopnamen?

Ja, het verzoek is ontvangen op 5 december 2022.

Vraag 6

Kunt u deze vragen en het ingediende Woo-verzoek zo spoedig mogelijk en in ieder geval voor het debat over de OMT-opnamen behandelen?

Het Woo-verzoek wordt zo spoedig mogelijk behandeld. Hierbij geldt het juridische kader van de Woo, inclusief de daarin opgenomen zorgvuldigheidseisen.

Vraag 1

Klopt het bericht dat de helft van de domeinnamen van de rijksoverheid niet voldoet aan verplichte securitystandaarden?1

Ja.
Forum Standaardisatie meet twee keer per jaar in hoeverre een set internetdomeinen van de overheid voldoet aan de relevante informatieveiligheidsstandaarden van de «pas toe of leg uit»-lijst. Over de gemeten standaarden zijn implementatieafspraken met een deadline gemaakt: de zogenoemde «streefbeeldafspraken». Uit de meest recente meting blijkt dat de helft, 50%, van alle Rijksoverheid- domeinnamen voldoet aan de streefbeeldafspraken voor webdomeinen.
De internetdomeinen van de overheid moeten aan al deze standaarden voldoen, en deze moeten ook nog correct geconfigureerd zijn om mee te tellen in het percentage dat geheel voldoet. De toepassing van deze standaarden is primair de verantwoordelijkheid van iedere overheidsorganisatie zelf en het niet volledig voldoen kan ook als reden hebben dat de standaarden onjuist zijn geconfigureerd.

Vraag 2

Klopt het bericht dat minder dan de helft voldoet aan de verplichte e-mailstandaarden?

Vraag 3

Hoe verklaart u het niet voldoen aan deze minimale verplichtingen gezien dit al in 2019 en 2021 had moeten plaatsvinden? Mede omdat het hier vaak om niet hele ingewikkelde technische ingrepen gaat die belangrijk zijn voor onze digitale veiligheid?

Of de adoptie van de standaarden ingewikkeld is, verschilt per standaard, maar ook per wijze waarop ICT bij een organisatie is ingeregeld. Zo is bijvoorbeeld de adoptie (en «strenge» configuratie) van de anti-email-phishing standaard DMARC3 ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen (bijv. ten behoeve van mailinglijsten en enquêtes). Ook zijn veel organisaties afhankelijk van hun externe leverancier. Zo biedt de meest gebruikte cloudmail-provider van de overheid default geen IPv64 en geen DANE5. Voor het Rijk is Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (SLM), belegd binnen het Ministerie van Justitie en Veiligheid (JenV), verantwoordelijk voor de communicatie met de leveranciers. JenV vraagt samen met Forum Standaardisatie al sinds 2019 aandacht voor de implementatie van de standaarden. De implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen.
Het blijft belangrijk dat overheden hun leverancier aanspreken op tekortkomingen en zo nodig overstappen naar een leverancier die de standaard wel goed ondersteunt. Maar ook bij ingewikkelder implementatie is adoptie zeker mogelijk, getuige het groot aantal organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde heeft gebracht. Ik verwacht dan ook van alle organisaties dat ze alsnog aan de regels gaan voldoen.

Vraag 4

Welke rol speelt het tekort aan IT’ers bij de rijksoverheid om te voldoen aan de implementatie van verplichte securitystandaarden? Welke andere oorzaken ziet u?

Het tekort aan IT’ers bij de rijksoverheid speelt in zekere zin een rol om te voldoen aan de implementatie van verplichte securitystandaarden. Ook het Rijk heeft namelijk te maken met een tekort aan IT’ers en dat draagt bij aan het tijdig handelen. Echter kunnen we niet causaal vaststellen dat een tekort aan IT’ers bijdraagt aan het niet voldoen aan de gemaakte afspraken. Zoals onder vraag 3 toegelicht, kunnen andere oorzaken ook bijdragen aan een onvoldoende toepassing van de standaarden zoals afhankelijkheid van externe leveranciers en/of een gebrekkig domeinbeleid.

Vraag 5

Hoe beoordeelt u het feit dat pas 55% van de provincies alle anti-phishingstandaarden volledig geadopteerd heeft en 81% van de gemeentes? Hoe gaat u ervoor zorgen dat ook lagere overheden voldoen aan hun verplichtingen voor een veilige digitale omgeving?

Ik blijf mij inzetten voor een veilige en betrouwbare overheid op het internet. In de beantwoording van Kamervragen over cookies op overheidswebsites6 van 1 november jl., heb ik aangekondigd medeoverheden en rijksoverheidsorganisaties per brief te wijzen op het belang te voldoen aan geldende wet- en regelgeving. In diezelfde brief zal ik eveneens aandacht vragen voor de implementatie van de informatieveiligheidsstandaarden.
Die brief bied ik aan de Vereniging van Nederlandse Gemeenten, het Interprovinciaal Overleg, de Unie van Waterschappen, de CIO Rijk, de Manifestgroep en Klein Lef aan. In die brief spreek ik de diverse overheden aan op hun verantwoordelijkheid om zich te houden aan de gemaakte afspraken. Indien een overheidsorganisatie het IT-beheer heeft uitbesteed, is het van belang de ICT-dienstverlener formeel te verzoeken om ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare how-to's en te vragen om een concrete planning.
Als de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden die leveranciers hebben die wel de afgesproken standaarden ondersteunen.

Vraag 6

Met het oog op het principe van «goed voorbeeld doet goed volgen», acht u het pijnlijk als verantwoordelijk Minister dat het Ministerie van Justitie en Veiligheid op dit moment het minst goed aan deze standaarden voldoet? Wanneer verwacht u dit opgelost te hebben?

Het is belangrijk dat het Ministerie van JenV zo spoedig mogelijk voldoet aan de verplichte open informatieveiligheiddstandaarden van Forum Standaardisatie. Na het kerstreces wordt uw Kamer door de Minister van JenV geïnformeerd over de termijn waarop de standaarden zijn geïmplementeerd. Deze implementatie en het beheer van e-mail-en webdomeinen moet in de ICT-agenda’s van de JenV-onderdelen worden gepland. Domeinbeheer is noodzakelijk opdat het Ministerie van JenV blijft voldoen aan deze standaarden.

Vraag 1

Bent u bekend met het bericht «Chipmaker Nexperia koopt Delftse start-up»?1

Ja.

Vraag 2

Was u vooraf bekend met deze overname? Zo ja, wanneer en op welke wijze bent u ingelicht?

In het kader van de aflossing van eerdere verstrekte innovatiekredieten door de Rijksdienst voor Ondernemend Nederland is mijn ministerie op 17 augustus 2022 geïnformeerd over de intentie tot het aangaan van een mogelijke acquisitietransactie en op 11 oktober 2022 ingelicht over de op handen zijnde overname.

Vraag 3

Hoe beoordeelt u deze overname van een veelbelovende Nederlandse startup in de chipsector door Nexperia, een bedrijf dat in Chinese handen is, mede vanuit het perspectief van de Wet Veiligheidstoets investeringen, fusies en overnames (hierna: Wet Veiligheidstoets)?

Het kabinet heeft uiteenlopende, landenneutrale instrumenten om bij te dragen aan de borging van de nationale veiligheid. In de Kamerbrief borging investeringsklimaat, langetermijn waardecreatie en nationale veiligheid van 8 juli 2022 bent u hierover eerder geïnformeerd.
De Wet veiligheidstoets investeringen, fusies en overnames is aangenomen, maar nog niet in werking getreden. Na inwerkingtreding zal bij dergelijke overnames een meldplicht gelden bij het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken en Klimaat. Vanwege het ontbreken van een wettelijke basis, heb ik op dit moment nog geen onderzoeken kunnen doen op grond van deze wet en heeft er dus geen beoordeling plaatsgevonden van de overname van Nowi.
De overname van Nowi heeft desalniettemin mijn aandacht. De overname valt binnen de termijn van de terugwerkende kracht van de Wet Vifo. Na inwerkingtreding van deze wet zal ik onderzoeken of de overname van Nowi onder de reikwijdte van de Wet Vifo valt en een beoordeling mogelijk is. Dit wordt bepaald door het antwoord op de vraag of Nowi wel of niet gebruik maakt van sensitieve technologie zoals gedefinieerd in de Wet Vifo.2

Vraag 4

Vindt er vanuit deze wet nog een beoordeling van de overname van Nowi plaats, of heeft deze toets al plaatsgevonden? Zo nee, waarom niet, aangezien de Wet Veiligheidstoets terugwerkende kracht heeft?

Zie antwoord vraag 3.

Vraag 5

Kunt u, als er een beoordeling heeft plaatsgevonden, nader ingaan op de conclusies van deze beoordeling?

Zie antwoord vraag 3.

Vraag 6

Is er reeds voldoende capaciteit om op basis van de Wet Veiligheidstoets controles uit te voeren op overnames, zoals die van Nowi door Nexperia? Zo nee, wat gaat u eraan doen deze capaciteit op orde te brengen?

Ja.

Vraag 7

Biedt de Wet Veiligheidstoets voldoende handvatten om dusdanige overnames te beoordelen? Zo nee, wat gaat u eraan doen dusdanige overnames beter te laten toetsen?

De Wet Vifo biedt, zodra deze in werking is getreden, voldoende handvatten om overnames die betrekking hebben op vitale aanbieders of ondernemingen die over sensitieve technologie beschikken, te toetsen op risico’s voor de nationale veiligheid. De categorie sensitieve technologie omvat goederen voor tweeërlei gebruik en militaire goederen en daarnaast kunnen er bij algemene maatregel van bestuur technologieën worden toegevoegd.

Vraag 8

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot de European Chips Act?

De EU Chips Act speelt een belangrijke rol in het stimuleren van de Europese halfgeleiderindustrie en het vergroten van de Europese weerbaarheid. Investeren in de Europese waardeketen en het aantrekkelijk maken en behouden van het Europese investeringsklimaat is van groot belang. In de EU Chips Act is er o.a. ook aandacht voor de financiering van startups en scale-ups via het nog op te richten EU Chip Fund.
Het kabinet steunt de aanpak binnen de EU Chips Act en heeft daarom op 1 december 2022 ingestemd met de algemene oriëntatie. Hoewel de EU Chips Act zich richt op het versterken van Europa, is de halfgeleiderwaardeketen sterk mondiaal georganiseerd en daarom voor een groot deel afhankelijk van vrije handel en goede internationale samenwerking. Ook dit heeft aandacht in de EU Chips Act.
De EU Chips Act is geen instrument om investeringen of overnames te toetsen. Hiervoor bestaat andere wetgeving, zoals de Verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (EU/2019/452) en de Wet veiligheidstoets investeringen, fusies en overnames. Beschermende maatregelen zijn belangrijke instrumenten voor deze industrie.

Vraag 9

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van het Verenigd Koninkrijk om Nexperia juist te dwingen 86 procent van de grootste microchip fabriek te verkopen (op basis van een overheidsonderzoek naar de aankoop van Nexperia van deze fabriek)?

Het kabinet heeft kennisgenomen van de besluiten van het Verenigd Koninkrijk en Duitsland om respectievelijk de overname van 86% van de aandelen in Newport Wafer Fab met terugwerkende kracht terug te draaien en de overname van Elmos te blokkeren. Het is niet aan het kabinet om in te gaan op de beweegredenen van het Verenigd Koninkrijk of Duitsland, aangezien het in beide gevallende inzet van nationale wetgeving betreft. Net als het Verenigd Koninkrijk en Duitsland, zal het kabinet eigen maatregelen treffen in geval van risico’s voor de nationale veiligheid bij investeringen, fusies en overnames.
Toetsingsbesluiten genomen door Europese lidstaten en bondgenoten kunnen impact op Nederland hebben. Gegeven de relatief jonge investeringstoetsingswetgeving staan we in contact met lidstaten en bondgenoten om ook te leren van elkaars opgedane ervaringen en gemaakte afwegingen.

Vraag 10

Heeft u contact gehad met de regering van het Verenigd Koninkrijk over hun besluit om Nexperia tot gedeeltelijke verkoop van Britse onderdelen te dwingen? Zo ja, waarom zijn de Britse beweegredenen wel of niet relevant voor – of van toepassing op Nederland om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met het Verenigd Koninkrijk?

Zie antwoord vraag 9.

Vraag 11

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van Duitsland dat het Chinese Sai Microelectronics niet Elmos, een Duitse producent van halfgeleiders, mag overnemen?

Zie antwoord vraag 9.

Vraag 12

Heeft u contact gehad met de Duitse regering over hun besluit om deze verkoop te blokkeren? Zo ja, waarom zijn de Duitse beweegredenen wel of niet relevant voor – of van toepassing op Nederland – om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met de Duitse regering?

Zie antwoord vraag 9.

Vraag 1

Bent u bekend met het bericht «Don’t download Qatar World Cup apps, EU data authorities warn»?1

Ja.

Vraag 2

Deelt u de mening dat het zorgelijk is dat deze twee applicaties zonder enige privacy- of veiligheidswaarschuwing downloadbaar zijn in de gangbare appstores, terwijl Europese data-autoriteiten waarschuwen voor de gevaren?

Zie hiervoor het antwoord op vraag 4.

Vraag 3

Tech-experts betitelen de apps al als «spyware», ziet u daarom kans spoedig met Google en Apple in gesprek te gaan over de wenselijkheid dat zij deze applicaties vrijelijk in hun appstores aanbieden?

Zie hiervoor het antwoord op vraag 4.

Vraag 4

Duitse, Franse en Noorse overheden hebben zich al op waarschuwende toon uitgesproken over de app, bent u daar ook toe bereid?

Ja, op het moment dat een app risico’s oplevert voor de privacy en veiligheid ben ik er zeker toe bereid om daarvoor te waarschuwen. Ik adviseer burgers dan ook om het advies van de Autoriteit Persoonsgegevens (AP) op te volgen.
Het is goed dat de AP en vier van haar Europese collega’s (de Duitse, Franse, Noorse en Deense toezichthouders) waarschuwen voor de risico’s van het downloaden van de «WK-apps». Zij wijzen erop dat de apps waarschijnlijk informatie over gebruikers verzamelen zonder dat gebruikers hiervan op de hoogte zijn. Dat is ook de rol van een toezichthouder.
Ik zie geen aanleiding om in aanvulling op de boodschap van de toezichthouders als kabinet hierover in gesprek te gaan met Google en Apple. Ook gezien het feit dat het WK voor Nederland inmiddels voorbij is. Waar het vooral om gaat is dat iedereen zich bewust is van de risico’s van het gebruik van die apps. Dat is een keuze die iedereen voor zichzelf moet maken en ik vind het zinvol dat de toezichthouders daarover voorlichting geven.