Vraag 1

Bent u bekend met de berichten «Natuurlijk gebruiken leerlingen ChatGPT. Het onderwijs kan maar beter anticiperen op de robots»1 (Volkskrant, 16 januari 2023) en «ChatGPT glipt langs docenten: «Ik gebruik het om snel huiswerk te maken»»2 (NOS, 16 januari 2023)? Zo ja, hoe beoordeelt u de desbetreffende berichten?

Ja, we zijn bekend met deze berichten. Wat deze ontwikkelingen uiteindelijk voor het onderwijs gaan betekenen weten we nu nog niet zeker. Wat we wel weten, is dat sommige docenten zich nu geconfronteerd zien met de risico’s van deze recente ontwikkelingen op het gebied van artificiële intelligentie (AI) en zich daarover zorgen maken. Die zorgen begrijpen wij. Ook zijn er docenten die kansen zien om met AI hun onderwijs te verbeteren. Er is veel behoefte aan een gesprek over de impact van AI op het onderwijs. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.
Het is belangrijk om te vermelden dat het onderwijs niet stil staat. De inzet van AI en in bredere zin digitalisering is al langer een belangrijk thema in het onderwijs. Dit zien we terug in goede initiatieven zoals de programma’s Doorpakken op Digitalisering en het Versnellingsplan. Ook in de komende tijd blijft het onderwijs hier aandacht aan besteden. Vanuit OCW wordt in 2023 een expertisepunt voor digitale geletterdheid opgericht als centraal online informatiepunt, loket voor scholen en als ondersteuningsstructuur waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid. Hierover zijn we op dit moment in gesprek.
AI is echter niet de eerste technologie die zijn intrede doet in het onderwijs die een impact achterlaat. Zo hadden de rekenmachine en computers bijvoorbeeld ook veel gevolgen, maar worden deze nu veelvuldig gebruikt in de klas. AI kan het onderwijs verbeteren door het leren motiverender te maken, het onderwijs beter af te stemmen op de behoefte van de lerende en docenten te ondersteunen.

Vraag 2

Wat vindt u van de recente ontwikkelingen rondom kunstmatige intelligentie en in het bijzonder ChatGPT? Deelt u de zorgen van de vragenstellers over de gevolgen ervan op het onderwijs?

Zoals aangegeven bij vraag 1 geldt dat we nog niet weten wat AI uiteindelijk gaat betekenen voor het onderwijs. Wij begrijpen zowel de kansen als de risico’s die vanuit het onderwijs worden genoemd.
Het kabinet ziet aan de ene kant de positieve waarde van generatieve AI, waar ChatGPT een voorbeeld van is. Zo hebben deze systemen de potentie om efficiëntie en productiviteit te verbeteren. ChatGPT kan bijvoorbeeld teksten schrijven makkelijker maken, en kan zelfs bijdragen bij programmeren. Individuen zijn er ook relatief makkelijk mee in staat tekst te genereren voor doeleinden als vermaak of taalverwerving. Naast ChatGPT zijn afbeeldingen gegenereerd door AI, zoals wordt gedaan door DALL-E, daar een goed voorbeeld van.
Het kabinet ziet anderzijds ook diverse negatieve effecten van generatieve AI en deelt de zorgen van de vragenstellers. AI kan bijvoorbeeld leiden tot biases, waardoor groepen leerlingen en studenten om onterechte redenen benadeeld kunnen worden3, 4. Ook kunnen AI-toepassingen als ChatGPT ingezet worden door lerenden om fraude te plegen bij schrijfopdrachten. Zoals aangegeven bij het antwoord op vraag 3, vraagt dit van het onderwijs om goed te doordenken hoe zij het onderwijs organiseren. ChatGPT is weliswaar in staat om in een handomdraai een toelichtende tekst te genereren over een onderwerp, maar het kan geen betekenis of context afleiden uit deze tekst. Daarom zullen vaardigheden als kritisch lezen, het kritisch analyseren en in context plaatsen van teksten, en het toepassen van opgedane kennis nog belangrijker worden in de nabije toekomst.
ChatGPT kan ook op andere wijzen en in andere domeinen negatieve effecten hebben. Deze effecten kunnen voortkomen uit de werking van de tool, waar het ondanks ingebouwde waarborgen mogelijk is om bevooroordeelde of discriminerende antwoorden te krijgen. Generatieve AI zoals ChatGPT kan ook gebruikt worden voor schadelijke doeleinden. Zoals het makkelijker maken van desinformatie en phishing. Bovengenoemde effecten omvatten niet alle zorgen die er zijn, en niet alle gevolgen zijn op dit moment al goed te overzien, zoals ook de WRR in het algemeen over AI schrijft in het rapport ‘Opgave AI. De Nieuwe systeemtechnologie’5.
Naast de ontwikkelingen in het onderwijs houdt het kabinet de algemene ontwikkelingen rond ChatGPT en dit soort breed toepasbare AI nauwlettend in de gaten. Waar bestaande kaders en maatregelen onvoldoende blijken, zullen we kijken naar wat eventueel aanvullend nodig is.

Vraag 3

Welke handvaten hebben leraren en scholen om om te gaan met kunstmatige intelligentie?

De ontwikkeling van AI vraagt van zowel docenten als leerlingen om op een doordachte manier met deze technologie in het onderwijs om te leren gaan. Daarbij is het belangrijk dat scholieren, leraren en de brede maatschappij in gesprek blijven over het gebruik van AI in de klas. Van docenten vraagt dit ook meer op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.

Vraag 4

Hoe voorkomen we negatieve effecten op de kwaliteit van het onderwijs?

Wij nemen hiervoor verschillende stappen. Wij zullen in de beleidsreactie op het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad nader ingaan op onze visie op AI in het onderwijs en hoe we de kansen die AI biedt voor beter onderwijs op een veilige en verantwoorde manier kunnen benutten. Daarnaast heeft de Europese Commissie recent een handreiking gepubliceerd voor leerkrachten over hoe om te gaan met AI en data6.
Met behulp van het Nationaal Groeifonds investeren wij substantieel in het realiseren van digitale innovaties die het onderwijs verder helpen, met oog voor de risico’s. Er is € 80 miljoen beschikbaar voor het Nationaal Onderwijslab AI (NOLAI) tot 2035. In het NOLAI werken scholen, wetenschappers en bedrijven samen aan de ontwikkeling en evaluatie van verantwoorde en veilige digitale innovaties die tegemoet komen aan de behoeftes in het funderend onderwijs. In co-creatie projecten werken zij aan een goede inzet van AI in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren. Zoals blijkt uit de haalbaarheidsstudie van NOLAI kan AI onderwijs op maat ondersteunen, de competentie en autonomie van leerlingen bevorderen, hun digitale geletterdheid vergroten en de werkdruk van leraren verminderen.
Met behulp van het Groeifondsprogramma digitaliseringsimpuls investeren we ook substantieel in de digitalisering van het mbo en ho. Onderdeel van dit programma is de transformatiehub docentondersteuning. Het doel van deze transformatiehub is om docenten evidence-informed te ondersteunen en te professionaliseren, zodat zij over de juiste kennis en vaardigheden beschikken om de ontwikkelingen op het gebied van digitalisering (waaronder AI) bij te houden. Een ander belangrijk onderdeel van het programma zijn de Centers for Teaching and Learning (CTL). De CTL zorgen ervoor dat nationale ontwikkelingen – zoals wetenschappelijke kennis en de bouw van nationale ICT-infrastructuren – doorgeleid worden naar de instellingen. Daarnaast ondersteunen de CTL docenten bij digitaliseringsvraagstukken.
Uiteraard blijven wij in gesprek met het onderwijsveld over de impact van AI op het onderwijs en houden we de ontwikkelingen nauwlettend in de gaten. Zo hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over AI vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.

Vraag 5

Welke stappen gaat u zetten om negatieve effecten te voorkomen en scholen te ondersteunen? En welke positieve gevolgen en kansen voor het onderwijs ziet u?

Zie antwoord vraag 4.

Vraag 6

Bent u bekend met het bericht: «We gaan een interessant jaar rondom AI-ontwikkeling tegemoet»3 (Dutch IT Channel) van 7 januari? Zo ja, bent u het ermee eens dat 2023 een cruciaal jaar wordt voor kunstmatige intelligentie en het ethische gebruik daarvan door bedrijven?

Ja we zijn ben bekend met de berichten. De ontwikkelingen op het gebied van AI volgen elkaar snel op. Dit is ook door de WRR benadrukt in hun rapport «Opgave AI».
Gezien het toenemende mondiale gebruik van AI, is het ook voor het Nederlandse bedrijfsleven van groot belang dat zij inspeelt op nieuwe technologische mogelijkheden. Dit is niet alleen relevant voor onze concurrentiepositie en welvaart maar ook voor de aanpak van grote uitdagingen zoals de klimaattransitie, verduurzaming van de landbouw en personeelstekorten in de zorg en het onderwijs.
In het Nederlandse bedrijfsleven is al langer aandacht voor de mogelijkheden van AI. Gemiddeld 13% van het Nederlandse bedrijfsleven zet AI in, ten opzichte van gemiddeld 8% in het Europese bedrijfsleven.8 AI-toepassingen worden door snelle
ontwikkelingen op het gebied van analytics en machine learning steeds interessanter voor bedrijven.
Om ervoor te zorgen dat het gebruik van AI door bedrijven op een ethische manier plaatsvindt, is de aanpak van het kabinet gericht op de ontwikkeling van mensgerichte AI. Deze AI moet veilig zijn, transparant en met respect voor fundamentele rechten. Via het investeringsprogramma AiNed wordt er bijna 230 miljoen euro voor AI kennis, innovatie en talent vrijgemaakt. Onder andere de zogenaamde ELSA labs (ethical, legal, societal aspects)
verrichten onderzoek op het gebied van mensgerichte AI en helpen bedrijven bij de toepassing.

Vraag 7

Welke nieuwe kansen en bedreigingen voorziet u voor bedrijven op het gebied van kunstmatige intelligentie naar aanleiding van de meest recente ontwikkelingen? Is de huidige inzet nog actueel in het ondersteunen van bedrijven in het gebruik van kunstmatige intelligentie voor innovatie, verduurzaming en diens productieprocessen?

Zie ook de beantwoording op vraag 6 met betrekking tot de kansen voor bedrijven. Nederland staat klaar om in te spelen op de kansen van AI. Aan de ene kant biedt AI kansen voor de aanpak van grote uitdagingen zoals de kilmaattransitie, verduurzaming van de landbouw en personeelstekorten in de zorg en het onderwijs. Daarnaast kan AI onze concurrentiepositie versterken en welvaart vergroten. AI kan voor een economische groei van 1,4 procent van het bbp per jaar zorgen als we de ontwikkeling en het gebruik van AI op grote schaal weten te adopteren.9
In de Strategie Digitale Economie10 zetten we uiteen hoe we het huidige fundament kunnen versterken en daarmee de kansen van AI zo goed mogelijk kunnen benutten. Het is belangrijk dat we blijven investeren in AI zelf en de randvoorwaarden voor de ontwikkeling en het gebruik van deze systemen. Hiermee voorkomen we ook dat we als Nederland te afhankelijk worden van grote technologiebedrijven van buiten de Europese Unie.
Een eerste belangrijke randvoorwaarde waar Nederland al een goede uitgangspositie heeft, is een goed opgeleide beroepsbevolking en internationaal toonaangevende kennisinstellingen. Het kabinet zet zich ervoor in om deze positie te behouden en waar nodig te versterken.11 Het AiNed programma focust zich onder andere op de arbeidsmarkt en zet zich in om de capaciteit voor AI opleidingen en trainingen van werknemers te verhogen. Ook werkt de Nederlandse AI Coalitie (NL AIC) aan het (bij)scholen van werknemers via gratis AI-cursussen met certificering. Daarnaast investeert het kabinet in het versterken van digitale vaardigheden in het algemeen, onder andere via het Actieplan Groene en Digitale Banen.
Een andere belangrijke voorwaarde voor een tech-ecosysteem is de beschikbaarheid van een goede digitale infrastructuur. Nederland beschikt al over een betrouwbare, hoogwaardige digitale infrastructuur en het kabinet heeft dan ook de ambitie om deze positie te behouden en verder te versterken.
Daarnaast bestaat er in Nederland al een sterke Publiek-Private Samenwerking op AI. De NL AIC speelt een belangrijke rol als facilitator van Publiek-Private Samenwerking (PPS). Kennis wordt daar ontwikkeld en gedeeld, ook naar het MKB. Deze samenwerking vindt onder andere plaats met de Regionale Ontwikkelingsmaatschappijen. Onder de NL AIC vallen verschillende werkgroepen die ook sectorale kennis met elkaar delen. Om praktische oplossingen te ontwikkelen voor toepassing van mensgerichte AI door organisaties, zijn er door de NL AIC 22 ELSA labs georganiseerd. Dit stimuleert de mensgerichte toepassing van AI in sectoren als de zorg of bij de energietransitie.
Het kabinet heeft de ambitie om het gebruik van geavanceerde digitale technologieën (waaronder AI) binnen het MKB te verhogen tot tenminste 75% in 2030. Dit gebeurt onder andere via bredere programma’s, waaronder de Versnelling Digitalisering MKB en Smart Industry. Ook worden er Europese Digitale Innovatiehubs (EDIHs) opgericht die het MKB ondersteunen om digitale technologieën, waaronder AI, als gebruikers toe te passen.
Naast het stimuleren van het gebruik van AI, zet het kabinet zich ook in om de ontwikkeling van deze systemen in Nederland te bevorderen. Nederland neemt deel aan Europese Test- en experimenteerfaciliteiten waarin een goede infrastructuur wordt geboden voor het ontwikkelen en gebruik van AI voor specifieke sectoren. Ook gaat het kabinet ontwikkelaars ondersteunen in het voldoen aan regelgeving, zoals de aankomende AI-verordening, via regulatory sandboxes.
Het kabinet blijft zich ervoor inzetten dat de kansen van AI op een verantwoordelijke manier zo goed mogelijk benut kunnen worden, met name bij grote maatschappelijke opgaven zoals de energietransitie en in innovatieve sectoren zoals de maakindustrie.

Vraag 8

Op welke wijze heeft u de impact van kunstmatige intelligentie op de arbeidsmarkt in kaart gebracht?

Zowel internationaal (o.a. OESO12, Eurofound13) als nationaal (o.a. CPB, TNO) doen meerdere partijen onderzoek naar de toepassingen van AI in het arbeidsdomein. Deze onderzoeken richten zich bijvoorbeeld op monitoring en surveillance op de werkvloer en op de effecten van de inzet van AI op gezond en veilig werken.
Zo heeft het CPB recent het rapport «Technologie, de arbeidsmarkt en de rol van beleid»14 uitgebracht. Hierin worden de technologische veranderingen voor de Nederlandse arbeidsmarkt geanalyseerd. In een samenwerking tussen TNO en RIVM wordt daarnaast gewerkt aan een beeldvormende toekomstverkenning op het gebied van gezond en veilig werken. AI komt daarin aan de orde. Daarnaast doet TNO op dit moment een ander onderzoek over wat de mogelijke impact kan zijn van AI op het gebied van gezond en veilig werken. Het College voor de Rechten van de Mens heeft tevens de risico’s en effecten van AI op het gebied van discriminatie bij werving en selectie onderzocht en heeft enkele aanbevelingen gedaan in hun onderzoek genaamd «Recruiter of computer?»15.
Als het gaat om de regulering van de toepassing van systemen voor AI wordt op EU-niveau ingezet op de AI-verordening. Specifiek in het arbeidsrecht wordt een belangrijke stap gezet met het richtlijnvoorstel van de Europese Commissie gericht op een verbetering van arbeidsvoorwaarden in platformwerk. Het richtlijnvoorstel bevat, in aanvulling op de Algemene Verordening Gegevensbescherming, o.a. regels over de toepassing van algoritmes en zien op de transparantie over en het gebruik van geautomatiseerde monitoring- en besluitvorming en de verplichting van menselijke tussenkomst.
Conform de met Uw Kamer gemaakte informatieafspraken wordt Uw Kamer regelmatig geïnformeerd over de voortgang van de onderhandelingen over dit richtlijnvoorstel.
De ontwikkelingen gaan snel. Het kabinet acht het van belang om deze ontwikkelingen goed te volgen. Het kabinet acht het van belang te bezien of de resultaten van onderzoeken gericht op het in kaart brengen van zowel de kansen als uitdagingen rondom AI kunnen worden meegenomen in de beleidsontwikkeling. Dit kan door nationale beleidsontwikkeling, Europese standpuntbepaling en of regulering, al dan niet op Europees niveau. De Autoriteit Persoonsgegevens heeft als coördinerend toezichthouder op de toepassing van algoritmes ook een rol als het gaat om de toepassing van algoritmes in het arbeidsrecht.

Vraag 9

Bent u bereid dat met de Kamer te delen?

Zie antwoord vraag 8.

Vraag 10

Kunt u dieper ingaan op de kansen en bedreigingen die kunstmatige intelligentie en technologie zoals ChatGPT bieden voor de arbeidsmarkt?

ChatGPT geeft het volgende antwoord: «het effect van ChatGPT op de Nederlandse arbeidsmarkt is momenteel onbekend omdat het model nog relatief nieuw is en nog niet op grote schaal is toegepast. Het kan echter worden gebruikt in verschillende sectoren, zoals customer service, waardoor het potentieel heeft om de efficiëntie en productiviteit te verhogen en de kosten te verlagen. Dit kan leiden tot veranderingen in de arbeidsmarkt, zoals automatisering van bepaalde taken en een grotere vraag naar vaardigheden die gericht zijn op het werken met deze technologie.»
In het algemeen kan AI taken en processen optimaliseren, hierdoor kunnen bedrijven efficiënter werken. Door AI kunnen banen en taken verdwijnen maar kunnen ook nieuwe ontstaan. Daarvoor zijn nieuwe vaardigheden nodig. Digitale vaardigheden en gekwalificeerd ICT-personeel zijn een belangrijke randvoorwaarde voor een succesvolle digitale transitie en voor ons toekomstig verdienvermogen. Het is daarom belangrijk om technische, digitale en sociale vaardigheden te verbeteren bij werkenden en te blijven investeren in Leven Lang Ontwikkelen. Het kabinet heeft daarom, in samenwerking met sociale partners, het Actieplan Groene en Digitale banen met de Kamer gedeeld.
Het effect van AI op de Nederlandse arbeidsmarkt zien we bijvoorbeeld bij platformwerk. AI kan hierbij worden gebruikt om werkenden te matchen met klanten, tarieven te bepalen, maar ook om werkenden aan te sturen. AI kan bijdragen aan het efficiënter en «slimmer» maken van platformbedrijven. Bovendien liggen er kansen om de algoritmes, die platformen gebruiken nadrukkelijker in lijn te brengen met overheidsbeleid onder andere op het gebied van gezond en veilig werken. Op deze manier kunnen zowel de platforms, werkenden als klanten profiteren. Maar het levert ook vragen op over onder andere algoritmisch management, zoals of er wel of geen sprake is van gezagsuitoefening, en of werkenden voldoende inzicht en inspraak hebben in de werking van deze algoritmes. Deze vraagstukken zijn onderdeel van de het richtlijnvoorstel over platformwerk.
Het gebruik van AI bij o.a. werving en selectie kan discriminatie met zich meebrengen. Als werkgevers kiezen voor de inzet van een algoritme bij werving en selectie, dan dienen zij volgens het College voor de Rechten van de Mens te controleren of er nog steeds een inzichtelijke, controleerbare en systematische procedure wordt gebruikt.16 Deze aanbevelingen worden meegenomen in de verdere uitwerking van het wetsvoorstel toezicht gelijke kansen bij werving en selectie. Ook worden landelijke en Europese ontwikkelingen op AI (en het tegengaan van de risico’s ervan) nauw gevolgd.
AI kan op veel manieren effect hebben op gezond en veilig werken. Een eenduidig effect is daardoor niet te benoemen. Het gaat daarbij vaak om risico’s die al bestaan, maar door de innovatieve technologie op een andere manier versterkt worden. Daarnaast is nog niet alle beschikbare technologie ook daadwerkelijk wijdverbreid geïmplementeerd op de werkvloer. AI heeft zeker de potentie om werk veiliger te maken. Er moet wel aandacht komen voor mogelijke ongewenste effecten die zulke technologie kan hebben, zoals bijvoorbeeld psychosociale belasting.

Vraag 11

Is het Strategisch Actieplan voor Artificiële Intelligentie bestendig genoeg gezien de recente ontwikkelingen? Bent u bereid om de Nederlandse inzet op kunstmatige intelligentie te herzien naar aanleiding van de snelle ontwikkelingen op het gebied van kunstmatige intelligentie?

In het Strategisch Actieplan voor Artificiële Intelligentie van 8 oktober 2019 is de basis gelegd voor de overkoepelende Nederlandse AI-inzet. In de voortgangsrapportages van de Nederlandse Digitalisering Strategie zijn de ontwikkelingen rondom deze inzet jaarlijks meegenomen.
Ook dit kabinet vindt het belangrijk goed zicht te houden op de ontwikkelingen rondom AI, en wat dit betekent voor haar inzet. De recente Kamerstukken de Strategie Digitale Economie17, Werkagenda Digitalisering18 en kabinetsreactie op het WRR-rapport AI19 beschrijven de actuele inzet op AI door dit kabinet. Om integraal zicht te houden op de ontwikkelingen rond AI, en bij te sturen waar nodig heeft dit kabinet daarnaast een Ambtelijke Commissie Digitalisering (ACD) ingesteld die de ontwikkelingen van deze technologie in context van de bredere digitaliseringsopgave beziet.

Vraag 12

Bent u bereid deze vragen te beantwoorden voor het Commissiedebat Kunstmatige Intelligentie van 25 januari?

Wij hebben geprobeerd de vragen te beantwoorden voor het commissiedebat, maar dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht «In de slag om glasvezel blijft geen tegel onberoerd»?1

Ja.

Vraag 2

Is bij u bekend in welke gemeenten op dit moment sprake is van de situatie dat meerdere aanbieders bezig zijn met of plannen hebben voor de aanleg van een glasvezelnetwerk? Zo nee, wilt u dit monitoren en deze informatie met de Kamer delen?

De Autoriteit Consument en Markt (ACM) heeft een interactief dashboard en geografische kaart beschikbaar, waarmee per Nederlands postcodegebied inzichtelijk is hoeveel glasvezelexploitanten in een gebied actief zijn.2 Dit dashboard en de kaart maken onderdeel uit van de structurele Telecommonitor, waarbij de ACM elk kwartaal gegevens opvraagt bij glasvezelexploitanten over het aantal gerealiseerde en geplande glasvezelaansluitingen. Om redenen van bedrijfsgevoeligheid worden daarbij alleen de gerealiseerde aansluitingen gepubliceerd in het dashboard en op de kaart, en niet de geplande aansluitingen. Gelet op de (on)beschikbaarheid van voornoemde informatie, ben ik niet van voornemens om de (geplande) aanleg van glasvezel in gemeenten zelf actief te monitoren.

Vraag 3

Deelt u de mening dat het vanuit economisch oogpunt onwenselijk is dat twee of zelfs meer glasvezelnetwerken worden aangelegd in gebieden waar mogelijk onvoldoende potentiële klanten wonen? Geldt dit wat u betreft ook specifiek voor de plaats Winsum?

Het is aan de markt om te bepalen waar het economisch wenselijk wordt geacht om één of meerdere glasvezelnetwerken aan te leggen. Deze keuze wordt onder meer worden ingegeven door zaken als verwacht bezettingspotentieel (consumenten die een internetabonnement nemen) op het aan te leggen netwerk en de kosten voor de aanleg van het netwerk. De ACM schreef eerder in haar glasvezelmarktstudie3 dat, met het oog op een gezonde infrastructuurconcurrentie en voldoende keuzevrijheid voor de eindgebruiker, het wenselijk is dat ten minste één open glasvezelnetwerk wordt gerealiseerd in gebieden waar ook kabel ligt, maar dat er in bepaalde gebieden ruimte is voor meerdere glasvezelnetwerken. Bijvoorbeeld in bepaalde stedelijke gebieden waar de marginale aanlegkosten per adres zo laag zijn dat twee of meer glasvezelnetwerken naast kabel mogelijk zijn.4 Consumenten profiteren daarvan met keuzevrijheid en scherpe tarieven. Het hangt dus van de specifieke situatie af of marktpartijen het economisch wenselijk vinden om in hetzelfde gebied meerdere glasvezelnetwerken aan te leggen. De ACM houdt markttoezicht op de uitrol van glasvezel en heeft oog voor bijvoorbeeld het vlak na elkaar aanleggen van glasvezelnetwerken in hetzelfde gebied (of het voeren van procedures hiertegen), die evident gericht is op het verstoren van de concurrentie op de glasvezelmarkt.

Vraag 4

Is het binnen de huidige wettelijke kaders mogelijk om iets te doen tegen de dubbele aanleg van glasvezelnetwerken in gebieden waar dit vanuit economisch en maatschappelijk perspectief onwenselijk is?

Nee, in eerste aanleg niet, omdat gemeenten vanuit de Europese Telecomcode (richtlijn (EU)2018/1972) en implementatie daarvan in de Telecommunicatiewet moeten gedogen dat elke aanbieder van een openbaar telecomnetwerk (waaronder een glasvezelnetwerk) een dergelijk netwerk mag aanleggen in de openbare grond. Dit uitgangspunt van infrastructuurconcurrentie in de Telecomcode is belangrijk voor goede concurrentie en keuzevrijheid voor de consument. Wel heeft de gemeente op basis van deze wet bepaalde bevoegdheden om te sturen op een ordelijke uitrol van telecomnetwerken en op het beperken van de impact op de ruimtelijke en ondergrondse ordening.
Zo kan de gemeente voorschriften opnemen in het instemmingbesluit om overlast en de impact op de ondergrond te beperken.5 Dit ziet onder andere op het afstemmen van (gelijktijdige) civiele werkzaamheden tussen telecomaanbieders onderling of het hanteren van een bepaalde periode van graafrust. Verder kan de gemeente van een telecomaanbieder verlangen dat deze bij de aanleg van zijn netwerk gebruik maakt van door hem of een derde ter beschikking gestelde ondergrondse voorzieningen.6 Dit met het oog op en binnen de grenzen van het redelijke, om zo min mogelijk hinder in het gebruik van en verandering aan de openbare grond teweeg te brengen. Ten slotte heeft de gemeente de mogelijkheid om in specifieke gebieden en onder bepaalde voorwaarden aan aanbieders van openbare telecomnetwerken een verplichting tot colocatie of gedeeld gebruik van bestaande (passieve en actieve) netwerkelementen en bijbehorende faciliteiten op te leggen.7 Daarmee wordt het maatschappelijk belang gediend dat schaarse publieke ruimte en infrastructuur efficiënt wordt gebruikt en de impact op het milieu en de ruimtelijke ordening zo min mogelijk zijn.
Belangrijk te vermelden is dat de voornoemde bevoegdheden van de gemeente gericht zijn op het beschermen van bepaalde maatschappelijke belangen en geenszins bedoeld zijn om de aanleg van meerdere glasvezelnetwerken in een bepaald gebied te verbieden. Vanuit het oogpunt van infrastructuurconcurrentie is exclusiviteit van één glasvezelaanbieder op de lange termijn namelijk onwenselijk en naar Europees en nationaal recht niet toegestaan.

Vraag 5

Deelt u de mening dat het kort na elkaar aanleggen van meerdere glasvezelnetwerken leidt tot overlast voor bewoners en ondernemers met mogelijk economische schade tot gevolg?

Ja, ik kan me voorstellen dat het door bewoners en ondernemers als hinderlijk wordt ervaren als de straat kort achter elkaar weer open en dicht wordt gemaakt voor de aanleg van glasvezelnetwerken.
Overigens is wel mijn beeld dat de aanleg van glasvezelnetwerken doorgaans een zeer snelle doorlooptijd heeft, waarbij in de ochtend de straat wordt opengebroken en in de middag weer is dichtgemaakt.
Zoals ik beschrijf in mijn antwoord op vraag 4 en 10/11, hebben gemeenten de mogelijkheid om een periode van graafrust in te roepen om overlast als gevolg van snel op elkaar volgende graafwerkzaamheden te beperken.

Vraag 6

Vormen de nieuwe berichten over concurrentie op het gebied van glasvezel tussen verschillende aanbieders in onder andere de plaatsen Winsum, Reusel-De Mierden en Heerlen aanleiding voor u om opnieuw de verschillende mogelijkheden te bezien die door de Autoriteit Consument & Markt (ACM) in hun marktstudies uit 2019 en 2021 zijn geschetst om de uitrol van glasvezel beter te stroomlijnen? Zo nee, waarom niet?

Het is aan de ACM om te bezien of ze, op grond van de huidige marktontwikkelingen, een nieuwe update van hun marktstudie nodig achten. Uit mijn gesprek met de ACM is gebleken dat de toezichthouder de glasvezelmarkt nauwlettend volgt en regelmatig vragen krijgt van gemeenten en marktpartijen over mededingingsrechtelijke aspecten bij de coördinatie van de uitrol van glasvezel, maar vooralsnog geen aanleiding ziet om op korte termijn de studie te actualiseren. Naar het oordeel van de ACM zijn de denkrichtingen uit de studie nog steeds actueel. Samen met de ACM blijf ik de ontwikkelingen in de glasvezelmarkt nauwlettend volgen en blijf ik hierover in gesprek met gemeenten en marktpartijen. Daarnaast zal ik gemeenten actief informeren over hun regierol en sturingsmogelijkheden om de uitrol van glasvezelnetwerken in goede banen te leiden. Onder andere door de genoemde acties in het antwoord op vraag 8/9.

Vraag 7

Bent u het met de ACM eens dat co-investering een goede oplossing is om snelle uitrol te waarborgen, met minder overlast voor bewoners en onnodige aanleg van dubbele netwerken? Wilt u de bereidheid bij de aanbieders voor co-investering opnieuw bekijken? . Ziet u voor uzelf een grotere rol weggelegd om regie op de uitrol van glasvezel te houden, bijvoorbeeld door in gesprek te gaan met de belangrijkste aanbieders en met hen afspraken te maken over de uitrol van glasvezel?

Zoals eerder in de Kamerbrief van 6 mei 2021 door de toenmalige Staatssecretaris van EZK werd aangegeven, juich ook ik vrijwillige co-investeringen door marktpartijen en de handvatten die de ACM op haar verzoek heeft aangereikt zeer toe.8 Echter, zoals destijds aangegeven, lijken grootschalige co-investeringen in Nederland geen haalbare weg te zijn, wat nogmaals wordt bevestigd door marktpartijen in de gesprekken die in het kader van deze Kamervragen met hen zijn gevoerd. Dit laat onverlet dat de uitrol van glasvezel ook op andere manieren kan worden gestimuleerd, zoals via het afstemmen van graafwerkzaamheden ervan door een gemeente. Ik verwijs hiervoor naar de Kamerbrief van 6 mei 2021 en het antwoord op vraag 4.

Vraag 8

Hoe helpt u gemeenten die met deze situatie te maken krijgen? Zijn gemeenten voldoende op de hoogte van de wettelijke mogelijkheden die zij hebben om voorschriften op te nemen in het instemmingsbesluit, bijvoorbeeld het afkondigen van «graafrust' voor maximaal 12 maanden?

Nee, ik zie voor mezelf geen grotere rol weggelegd anders dan de faciliterende en voorlichtende rol die ik nu reeds vervul met de werkzaamheden rond lokaal (telecom)beleid. Het is immers de gemeente die een instemmingsbesluit verleent voor de uitrol van glasvezel. Deze werkzaamheden zien vooral op het wisselen van praktijkbeelden tussen gemeenten en markt (via overleggremia), informatievoorziening via rijkswebsites en -nieuwsbrieven (o.a. overalsnelinternet.nl) en het maken van gemeentelijk voorbeeldbeleid ten behoeve van meer harmonisatie van lokaal (telecom)beleid. In de komende tijd zal ik daarbij specifieke aandacht besteden aan het duiden van de regierol en sturingsmogelijkheden van gemeenten die in de beantwoording van deze Kamervragen worden genoemd. Onder meer door het publiceren van informatiemateriaal (factsheet, best practices, FAQ, jurisprudentie, etc.) op de website overalsnelinternet.nl, en het actief kenbaar maken van de beantwoording van deze Kamervragen onder gemeenten via een (nieuws)brief.

Vraag 9

Zou er wat u betreft niet een wettelijke standaardperiode van graafrust moeten komen, bijvoorbeeld zes maanden, als het niet mogelijk blijkt om graafwerkzaamheden voldoende af te stemmen?

Zie antwoord vraag 8.

Vraag 10

Bent u bereid om vanuit uw regierol opvolging te geven aan het advies van de ACM om te komen tot een breed gedragen convenant of handboek met richtlijnen voor uniform beleid tussen gemeenten, provincies, waterschappen en/of marktpartijen?

Het verankeren van een wettelijke standaardperiode van graafrust is naar mijn oordeel niet nodig, omdat het huidige wettelijke kader al voldoende waarborgen biedt aan gemeenten om een periode van graafrust op te leggen als het afstemmen van graafwerkzaamheden geen uitkomst biedt. Daarbij kunnen gemeente om zwaarwichtige redenen van publiek belang een langere periode van graafrust voorschrijven.9 Bovendien is het doeltreffender, gelet op het tempo waarin momenteel glasvezel wordt uitgerold in Nederland en de tijd die het kost om een dergelijke wetswijziging door te voeren, om in te zetten op de genoemde activiteiten in het voorgaande antwoord. Datzelfde geldt ook voor het advies van de ACM om te komen tot een breed gedragen convenant of handboek, Dit neemt overigens niet weg dat ik me blijf inzetten om te komen tot meer harmonisatie van lokaal (telecom)beleid. Bijvoorbeeld via het opstellen van een leidraad leges, zoals aangegeven tijdens het commissiedebat digitale infrastructuur en economie op 22 maart jl.10

Vraag 11

Wat is de status van de verschillende overleggremia, zoals de taskforce digitale connectiviteit en de werkgroep vaste connectiviteit, die zich bezighouden met het lokale beleid rondom de aanleg van telecomkabels?

Zie antwoord vraag 10.

Vraag 1

Bent u bekend met het bericht VS verbieden producten Huawei en andere Chinese bedrijven: «Onacceptabel risico voor nationale veiligheid»?1

Ja.

Vraag 2

Bent u ook ook bekend met de op 13 december 2022 ingediende wetgeving in de Verenigde Staten om de toegang van Huawei tot banken te beperken?2

Ja.

Vraag 3

Wat vindt de u van de ontwikkelingen in de Verenigde Staten om Huawei en andere Chinese bedrijven te beperken in het risico dat zij vormen ten aanzien van de nationale veiligheid? Acht u het ook wenselijk om in Nederland bedrijfsgebonden beleid te voeren gezien de geconstateerde veiligheidsrisico’s van het land van herkomst?

Het kabinet deelt de zorgen van de Verenigde Staten over veiligheidsrisico’s ten aanzien van China. Nederland is voortdurend over deze risico’s in contact met bondgenoten, waaronder de VS. De maatregelen die het kabinet treft om onze veiligheid te beschermen worden nationaal dan wel in Europees verband ingevoerd, via de daarvoor bestaande wettelijke kaders. Dit gebeurt altijd op een case-by-case benadering, voor zowel exportcontrole, investeringstoetsing als kennisveiligheidsmaatregelen. Dit is andere een aanvliegroute dan het bedrijfsgebonden beleid dat de VS voert, maar kent wel een eenzelfde doel: de bescherming van de nationale veiligheid tegen risico’s van (bedrijven uit) derde landen.

Vraag 4

Huawei is geweerd uit het vitale kernnetwerk en tevens zijn bij ministeriële regeling nadere eisen opgelegd ten aanzien van te treffen technische en organisatorische beveiligingsmaatregelen om de weerbaarheid van hun netwerk te verhogen. In de ministeriële regeling is opgenomen dat deze maatregelen op 1 oktober 2022 geïmplementeerd moeten zijn. Kunt u aangeven of deze maatregelen inmiddels geïmplementeerd zijn?

De ministeriële regeling veiligheid en integriteit telecommunicatie verplicht de mobiele netwerkaanbieders om op 1 oktober 2022 aan de in de regeling genoemde beheersmaatregelen te voldoen. De Rijksinspectie Digitale Infrastructuur is als aangewezen toezichthouder bezig met controle op het voldoen aan deze verplichting.

Vraag 5

Kunt u inzichtelijk maken welke rol Huawei nu inneemt in de rest van het vaste en mobiele telecommunicatienetwerk? Is er bekend of daarbij nog gebruik gemaakt wordt van technologie van Huawei?

Telecomoperators hebben een diversiteit aan leveranciers in hun netwerken. Zij zijn daarbij gehouden de geldende maatregelen, zoals genomen onder de algemene maatregel van bestuur (AMvB) Veiligheid en Integriteit Telecommunicatie3, uit te voeren. De Rijksdienst voor de Digitale Infrastructuur houdt hier toezicht op.
Veiligheidsbeleid is maatwerk. Maatregelen moeten proportioneel zijn, passend bij de te beschermen belangen en de dreiging, en rekening houdend met de continuïteit van de dienstverlening. Op basis van een analyse van de Taskforce Economische Veiligheid naar de risico’s op telecommunicatienetwerken zijn eerder de benodigde maatregelen genomen om geïdentificeerde risico’s aan te pakken (Kamerstuk 26 643, nr.143).
De mobiele netwerk operators (MNO’s) zijn bij beschikking verplicht om in de kritieke onderdelen van hun netwerken uitsluitend gebruik te maken van producten en diensten van andere partijen dan de daarin genoemde leveranciers. Voor zover de MNO’s momenteel gebruik maken van producten of diensten van laatstbedoelde leveranciers in de kritieke onderdelen, is in deze beschikkingen met het oog op de continuïteit van dienstverlening een termijn opgenomen waarbinnen deze reeds in gebruik zijnde producten of diensten dienen te worden vervangen respectievelijk beëindigd. Gedetailleerde informatie over wie waar welke leverancier gebruikt, en welke uitfaseringstermijnen gelden wordt gezien als bedrijfsvertrouwelijke informatie. Deze informatie kan niet openbaar gemaakt worden in verband met toezeggingen die door de overheid zijn gedaan aan de telecomaanbieders omtrent de vertrouwelijkheid van de individuele beschikkingen en van de ten behoeve van die beschikkingen door hen aan de overheid verstrekte informatie.

Vraag 6

Bent u bereid er bij telecomoperators op aan te dringen Huawei te weren uit het volledige telecommunicatienetwerk? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 7

Bent u bereid om ook de toegang van Huawei tot Nederlandse banken te beperken? Zo nee, waarom niet?

Nederland maakt een zelfstandige afweging ten aanzien van veiligheid. Als we informatie verkrijgen die erop zou kunnen wijzen dat aanvullende actie nodig is, zullen we daar naar handelen. Het kabinet houdt het beleid van andere landen daarin nauwlettend in de gaten.

Vraag 1

Bent u bekend met het bericht «Twitter heft adviesraad op die platform veilig moest houden»1 en het bericht «ElonMusk daalt op zijn Twitter steeds dieper af in het konijnenhol»?2

Ja, ik ben bekend met deze berichtgeving.

Vraag 2

Deelt u de mening dat de veiligheid op Twitter sinds de overname door Elon Musk steeds verder verslechtert, onder andere door het opheffen van de Trust & Safety council en het ontslag van medewerkers die berichten beoordeelden en verwijderden?

De ontwikkelingen binnen de Twitter organisatie volgen elkaar momenteel snel op. De berichtgevingen over de effecten hiervan voor gebruikers lopen uiteen.
Het is van belang dat mensenrechten en democratische waarden door online platforms worden gewaarborgd, en dat platforms als Twitter hierover verantwoording afleggen.

Vraag 3

Wat vindt u van de tweets van Musk over wetenschapper Anthony Fauci, waarin wordt opgeroepen tot strafrechtelijke vervolging van deze wetenschapper? Wat vindt u van het blokkeren van Twitter-accounts van verschillende Amerikaanse journalisten?

De persoonlijke tweets van de heer Musk zullen onder Amerikaans recht beoordeeld moeten worden door de toezichthoudende instanties aldaar. De journalisten die hun account zagen geblokkeerd na een (vermeende) overtreding van het privacy-beleid zijn weer toegelaten op het platform. Het spreekt voor zich dat ik elke onrechtvaardigde inbreuk op de journalistieke vrijheid afkeur.

Vraag 4

Deelt u de mening dat dergelijke acties, van iemand die eigenaar is van Twitter en zelf 121 miljoen volgers heeft, schadelijke en ernstige gevolgen kunnen hebben in de fysieke wereld?

Uiteraard keur ik haatzaaiende berichten – in welke vorm dan ook – af. Hierover maakten we reeds in EU-verband afspraken met verschillende social media platforms3. Onder artikel 34 en 35 van de nieuwe Digitale Dienstenverordening4 die dit jaar voor online platforms in werking treedt, zullen platforms met meer dan 45 miljoen gebruikers in de EU de impact van hun dienstverlening op fundamentele rechten, waaronder vrijheid van de pers, het publieke debat en non-discriminatie in kaart moeten brengen en passende maatregelen moeten nemen om deze te beschermen. Met 61,9 miljoen gebruikers in de EU eind 20225 ziet het er naar uit dat Twitter aan deze wettelijke verplichting moet gaan voldoen en anders boetes moet betalen. De Europese Commissie houdt hier toezicht op. Het is heel goed dat alle zeer grote online platforms nog dit jaar aan deze regels zullen moeten voldoen.

Vraag 5

Hoe kijkt u naar deze ontwikkeling in de wetenschap dat Twitter met 3,5 miljoen actieve gebruikers een van de grootste social media platforms van Nederland is en daarmee een podium biedt aan het publieke debat in Nederland?

Het kabinet heeft er mee ingestemd dat een platform met een bereik van meer dan >10% van de EU bevolking zal worden aangemerkt als een zeer groot online platform en daarmee aan aanvullende verplichtingen zal moeten voldoen onder de herziene Digitale Dienstenverordening. Platforms zullen risico’s in kaart brengen van hun (algoritmische) dienstverlening op fundamentele rechten en het publieke debat en deze moeten mitigeren.

Vraag 6

Hoe wilt u het Nederlandse publieke debat beschermen tegen een verdere verslechtering van de veiligheid op Twitter dat zich manifesteert in een slechtere controle op racistische berichten, complottheorieën, bedreigingen en andere vormen van hate speech?

Nog dit jaar zullen zeer grote online platforms moeten voldoen aan de verplichtingen uit de herziene Digitale Dienstenverordening en zullen ze de eerste rapportage aan de Europese Commissie, die toezicht houdt, moeten toezenden. Wanneer het platform inbreuk pleegt op de bepalingen uit de verordening kan de Europese Commissie geldboeten opleggen die niet meer bedragen dan 6% van zijn totale wereldwijde jaaromzet.

Vraag 7

Bent u in overleg met uw collega’s in andere EU-lidstaten en in Brussel over een gezamenlijke aanpak om Twitter hierop aan te spreken en ervoor te zorgen dat Twitter zich aan de Europese regels houdt?

De Europese Commissie zal optreden als onafhankelijke toezichthouder bij zeer grote online platforms. Leden van de Commissie hebben aangegeven dat Twitter zich aan de regels zal moeten houden6.

Vraag 1

Klopt het dat kabinet heeft ingestemd met exportbeperkingen van chipmachines en chiptechnologie aan China? Zo ja, waarom heeft u de Kamer hier niet over geïnformeerd?1

Op de inhoud van gesprekken die Nederland voert met partnerlanden kan ik vanwege de vertrouwelijkheid niet ingaan. Zoals eerder gemeld, zal ik u uiteraard informeren in geval van beleidswijzigingen: deze zijn op dit moment niet aan de orde. Ik verwijs u graag naar de Kamerbrief van 1 december jl., en de vertrouwelijke technische briefing die 8 december plaatsvond.

Vraag 2

Wilt u zo snel mogelijk met de Kamer delen welke afspraken er zijn gemaakt?

Zie antwoord vraag 1.

Vraag 3

Wat zijn de effecten van de afspraken op Nederlandse bedrijven? Zijn deze bedrijven geconsulteerd in het proces?

Zie antwoord vraag 1.

Vraag 4

Wat zijn de effecten op onze (economische) veiligheid?

In de Kamerbrief van 1 december bent u geïnformeerd over de overwegingen van exportcontrolebeleid in het algemeen, en halfgeleidertechnologie in het bijzonder. De bescherming van nationale veiligheid is het uitgangspunt. Op basis daarvan, heeft het kabinet drie strategische doelen gedefinieerd voor halfgeleidertechnologie: 1) Voorkomen dat Nederlandse goederen bijdragen aan ongewenst eindgebruik, zoals militaire inzet of in massavernietigingswapens. 2) Voorkomen van ongewenste strategische afhankelijkheden. 3) Behoud van Nederlands technologisch leiderschap en westerse standaarden. U bent op 8 december jl. tijdens een vertrouwelijke briefing hierover nader geïnformeerd. Indien van beleidswijzigingen sprake is, zal ik uw Kamer informeren. Dat is nu niet het geval.

Vraag 5

Wat zijn de effecten op de veiligheid van Europa?

Zie antwoord vraag 4.

Vraag 6

Heeft u de veiligheidsaspecten met uw Brusselse collega’s besproken? Zo ja, wat kwam hieruit en zo nee, waarom niet?

Zoals aangegeven in Kamerbrief van 1 december, is internationale samenwerking een essentieel onderdeel van exportcontrolebeleid. Europese wetgeving is de basis van het Nederlandse exportcontrolebeleid, en Nederland streeft naar eensgezinde uitvoering hiervan. Nederland voert doorlopend gesprekken hierover. Primaire partners zijn de EU lidstaten en de Europese Commissie. Op de inhoud van die gesprekken kan ik niet in het openbaar ingaan.

Vraag 7

Welke veiligheidsrisico’s waren er voor Nederland geweest als deze afspraken niet waren gemaakt?

Zie antwoord vraag 4.

Vraag 8

Wat staat er tegenover het moeten beperken van onze export? Bent u van mening dat dit proportioneel is?

Zie antwoord vraag 4.

Vraag 9

Wat is uw verwachting van de klacht die China tegen de VS heeft ingediend bij de WTO? Verwacht u een gelijke klacht aan het adres van Nederland?

Het kabinet heeft kennisgenomen van de klacht die China heeft ingediend tegen de VS in het kader van WTO geschillenbeslechting. Het gaat om een klacht over exportcontrole maatregelen voor halfgeleidertechnologie die de VS heeft aangekondigd op 7 oktober jl. ter bescherming van de nationale veiligheid. China claimt dat deze motivatie niet consistent is met WTO-regels. In het kader van deze klacht zullen China en de VS eerst bilaterale consultaties houden. Op de uitkomst hiervan kan ik niet vooruitlopen. Wel merk ik op dat de WTO regels uitzonderingsgronden kennen, waaronder ten behoeve van nationale veiligheid, op basis waarvan exportcontrole maatregelen worden genomen. Zoals ik eerder heb aangegeven, maakt Nederland een eigen afweging als het gaat om exportcontrole. Ik ga niet speculeren over mogelijke klachten die Nederland zou kunnen ontvangen.

Vraag 10

Verwacht u nog verdere reacties vanuit China, zowel economisch als diplomatiek? Welke impact denkt u dat de exportbeperkingen hebben op de technologische ontwikkeling in China en daarmee op militaire macht van China en de mensenrechtenschendingen binnen China zelf?

Ik ga niet speculeren over mogelijke reacties vanuit het China. In de brief die u heeft ontvangen op 1 december jl. en in het antwoord op vragen 4, 5, 7 en 8 staan de uitgangspunten voor exportcontrolebeleid van halfgeleidertechnologie.

Vraag 11

Op welke manier heeft u de mogelijkheden voor exportbeperkingen besproken met uw collega’s in Brussel?

Zie antwoord vraag 6.

Vraag 12

Wilt u deze vragen beantwoorden voor het commissiedebat Wapenexportbeleid op 21 december?

Ja.

Vraag 1

Is het juist dat het RIVM de opnamen »onbedoeld en onterecht» meegestuurd heeft naar het Ministerie van Volksgezondheid, Welzijn en Sporten in de stroom documenten over Covid-19?1

Zoals ik u in mijn brief van 19 oktober jongstleden2 heb geïnformeerd, draagt het RIVM voor de afhandeling van verzoeken op grond van de Wet open overheid (Woo) relevante COVID-19-informatie en -documentatie over aan VWS. Tijdens het periodiek verzamelen van de bovengenoemde COVID-19-documentatie binnen het RIVM zijn 29 niet door het RIVM vernietigde audiobestanden van officiële OMT-vergaderingen onbedoeld en ongewild in de data-export terecht gekomen. Het is betreurenswaardig dat deze audiobestanden onbedoeld en ongewild bij VWS in de COVID-19 dataset aanwezig zijn.

Vraag 2

Is het juist dat de overdracht van de documenten en opnames automatisch gebeurde omdat uw ministerie informatie openbaar moet kunnen maken als daar om wordt gevraagd op basis van de Wet open overheid (Woo)?

In mijn brief van 8 november jongstleden heb ik u toegelicht dat de overdracht gebeurt middels een grotendeels3 geautomatiseerd proces van documenten- en dataoverdracht van het RIVM aan VWS. Het gaat hier namelijk om grote volumes. Per overdracht gaat het gemiddeld om 500.000 documenten. Het is niet mogelijk om daar een handmatige beoordeling op toe te passen binnen de gegeven hoeveelheid middelen en capaciteit. Ik verwijs u hierbij ook naar de werkafspraken4 uit voorgenoemde brief die RIVM en VWS ten behoeve van deze data-overdracht hebben gemaakt.

Vraag 3

Is het juist dat dergelijke geluidsopnamen juist bewaard worden met het oog op eventuele Woo-verzoeken? Zo ja, waarom kunt u de betreffende opnamen, of transcripten daarvan, dan toch niet openbaar maken?

Nee, dit is niet juist. Hierbij verwijs ik u naar mijn eerdere brieven van 19 oktober5 en 8 november6 jongstleden aan uw Kamer. In deze brieven licht ik toe dat in het protocol van het RIVM is opgenomen dat geluidsopnamen door een notulist worden gebruikt ter ondersteuning indien blijkt dat aantekeningen niet toereikend zijn. Na het definitief vaststellen van het verslag worden deze bestanden verwijderd. Helaas zijn er desondanks ook geluidsbestanden verzameld als onderdeel van grote hoeveelheden relevante COVID-19-data en documenten ten behoeve van openbaarmaking via de Wet open overheid (Woo). Dit gebeurt middels een geautomatiseerd proces van documenten- en dataoverdracht van het RIVM aan VWS. Het is betreurenswaardig dat deze audiobestanden onbedoeld en ongewild bij VWS in de COVID-19 dataset aanwezig zijn.
Ten aanzien van de bovengenoemde audiobestanden – die onbedoeld en ongewild zijn bewaard – heb ik besloten deze voorlopig te bewaren om geen voldongen feiten te creëren. Het is staand beleid om geen documenten – die onder de reikwijdte van een verzoek vallen – te verwijderen als de Kamer erom vraagt of als er een Woo-verzoek is ingediend.

Vraag 4

Bent u met ons van mening dat Nederland er recht op heeft om te weten hoe het Outbreak Management Team (OMT) gesproken heeft over het coronabeleid, vaccinatiebeleid en het inperken van grondrechten en vrijheden? Zo nee, waarom niet?

Nee, in eerdere antwoorden7 op de vraag vanuit de Kamer om verstrekking van de verslagen van OMT-vergaderingen heb ik namelijk aangegeven dat het belang van de staat uit artikel 68 van de Grondwet zich daartegen verzet. Hetzelfde geldt voor de audiobestanden. Er zijn afspraken gemaakt over vertrouwelijkheid ten behoeve van het goed functioneren van het OMT en ter bescherming van de OMT-leden en hun persoonlijke levenssfeer. Het respecteren van dergelijke afspraken en de bescherming van de persoonlijke levenssfeer vallen onder de verschoningsgrond belang van de staat uit artikel 68 Grondwet. Daarom kan ik de audiobestanden niet met uw Kamer delen.

Vraag 5

Heeft u kennisgenomen van het op 2 december 2022 door het lid Van Haga ingediende Woo-verzoek tot het verstrekken van de OMT-geluidsopnamen?

Ja, het verzoek is ontvangen op 5 december 2022.

Vraag 6

Kunt u deze vragen en het ingediende Woo-verzoek zo spoedig mogelijk en in ieder geval voor het debat over de OMT-opnamen behandelen?

Het Woo-verzoek wordt zo spoedig mogelijk behandeld. Hierbij geldt het juridische kader van de Woo, inclusief de daarin opgenomen zorgvuldigheidseisen.

Vraag 1

Klopt het bericht dat de helft van de domeinnamen van de rijksoverheid niet voldoet aan verplichte securitystandaarden?1

Ja.
Forum Standaardisatie meet twee keer per jaar in hoeverre een set internetdomeinen van de overheid voldoet aan de relevante informatieveiligheidsstandaarden van de «pas toe of leg uit»-lijst. Over de gemeten standaarden zijn implementatieafspraken met een deadline gemaakt: de zogenoemde «streefbeeldafspraken». Uit de meest recente meting blijkt dat de helft, 50%, van alle Rijksoverheid- domeinnamen voldoet aan de streefbeeldafspraken voor webdomeinen.
De internetdomeinen van de overheid moeten aan al deze standaarden voldoen, en deze moeten ook nog correct geconfigureerd zijn om mee te tellen in het percentage dat geheel voldoet. De toepassing van deze standaarden is primair de verantwoordelijkheid van iedere overheidsorganisatie zelf en het niet volledig voldoen kan ook als reden hebben dat de standaarden onjuist zijn geconfigureerd.

Vraag 2

Klopt het bericht dat minder dan de helft voldoet aan de verplichte e-mailstandaarden?

Vraag 3

Hoe verklaart u het niet voldoen aan deze minimale verplichtingen gezien dit al in 2019 en 2021 had moeten plaatsvinden? Mede omdat het hier vaak om niet hele ingewikkelde technische ingrepen gaat die belangrijk zijn voor onze digitale veiligheid?

Of de adoptie van de standaarden ingewikkeld is, verschilt per standaard, maar ook per wijze waarop ICT bij een organisatie is ingeregeld. Zo is bijvoorbeeld de adoptie (en «strenge» configuratie) van de anti-email-phishing standaard DMARC3 ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen (bijv. ten behoeve van mailinglijsten en enquêtes). Ook zijn veel organisaties afhankelijk van hun externe leverancier. Zo biedt de meest gebruikte cloudmail-provider van de overheid default geen IPv64 en geen DANE5. Voor het Rijk is Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (SLM), belegd binnen het Ministerie van Justitie en Veiligheid (JenV), verantwoordelijk voor de communicatie met de leveranciers. JenV vraagt samen met Forum Standaardisatie al sinds 2019 aandacht voor de implementatie van de standaarden. De implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen.
Het blijft belangrijk dat overheden hun leverancier aanspreken op tekortkomingen en zo nodig overstappen naar een leverancier die de standaard wel goed ondersteunt. Maar ook bij ingewikkelder implementatie is adoptie zeker mogelijk, getuige het groot aantal organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde heeft gebracht. Ik verwacht dan ook van alle organisaties dat ze alsnog aan de regels gaan voldoen.

Vraag 4

Welke rol speelt het tekort aan IT’ers bij de rijksoverheid om te voldoen aan de implementatie van verplichte securitystandaarden? Welke andere oorzaken ziet u?

Het tekort aan IT’ers bij de rijksoverheid speelt in zekere zin een rol om te voldoen aan de implementatie van verplichte securitystandaarden. Ook het Rijk heeft namelijk te maken met een tekort aan IT’ers en dat draagt bij aan het tijdig handelen. Echter kunnen we niet causaal vaststellen dat een tekort aan IT’ers bijdraagt aan het niet voldoen aan de gemaakte afspraken. Zoals onder vraag 3 toegelicht, kunnen andere oorzaken ook bijdragen aan een onvoldoende toepassing van de standaarden zoals afhankelijkheid van externe leveranciers en/of een gebrekkig domeinbeleid.

Vraag 5

Hoe beoordeelt u het feit dat pas 55% van de provincies alle anti-phishingstandaarden volledig geadopteerd heeft en 81% van de gemeentes? Hoe gaat u ervoor zorgen dat ook lagere overheden voldoen aan hun verplichtingen voor een veilige digitale omgeving?

Ik blijf mij inzetten voor een veilige en betrouwbare overheid op het internet. In de beantwoording van Kamervragen over cookies op overheidswebsites6 van 1 november jl., heb ik aangekondigd medeoverheden en rijksoverheidsorganisaties per brief te wijzen op het belang te voldoen aan geldende wet- en regelgeving. In diezelfde brief zal ik eveneens aandacht vragen voor de implementatie van de informatieveiligheidsstandaarden.
Die brief bied ik aan de Vereniging van Nederlandse Gemeenten, het Interprovinciaal Overleg, de Unie van Waterschappen, de CIO Rijk, de Manifestgroep en Klein Lef aan. In die brief spreek ik de diverse overheden aan op hun verantwoordelijkheid om zich te houden aan de gemaakte afspraken. Indien een overheidsorganisatie het IT-beheer heeft uitbesteed, is het van belang de ICT-dienstverlener formeel te verzoeken om ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare how-to's en te vragen om een concrete planning.
Als de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden die leveranciers hebben die wel de afgesproken standaarden ondersteunen.

Vraag 6

Met het oog op het principe van «goed voorbeeld doet goed volgen», acht u het pijnlijk als verantwoordelijk Minister dat het Ministerie van Justitie en Veiligheid op dit moment het minst goed aan deze standaarden voldoet? Wanneer verwacht u dit opgelost te hebben?

Het is belangrijk dat het Ministerie van JenV zo spoedig mogelijk voldoet aan de verplichte open informatieveiligheiddstandaarden van Forum Standaardisatie. Na het kerstreces wordt uw Kamer door de Minister van JenV geïnformeerd over de termijn waarop de standaarden zijn geïmplementeerd. Deze implementatie en het beheer van e-mail-en webdomeinen moet in de ICT-agenda’s van de JenV-onderdelen worden gepland. Domeinbeheer is noodzakelijk opdat het Ministerie van JenV blijft voldoen aan deze standaarden.

Vraag 1

Bent u bekend met het bericht «Chipmaker Nexperia koopt Delftse start-up»?1

Ja.

Vraag 2

Was u vooraf bekend met deze overname? Zo ja, wanneer en op welke wijze bent u ingelicht?

In het kader van de aflossing van eerdere verstrekte innovatiekredieten door de Rijksdienst voor Ondernemend Nederland is mijn ministerie op 17 augustus 2022 geïnformeerd over de intentie tot het aangaan van een mogelijke acquisitietransactie en op 11 oktober 2022 ingelicht over de op handen zijnde overname.

Vraag 3

Hoe beoordeelt u deze overname van een veelbelovende Nederlandse startup in de chipsector door Nexperia, een bedrijf dat in Chinese handen is, mede vanuit het perspectief van de Wet Veiligheidstoets investeringen, fusies en overnames (hierna: Wet Veiligheidstoets)?

Het kabinet heeft uiteenlopende, landenneutrale instrumenten om bij te dragen aan de borging van de nationale veiligheid. In de Kamerbrief borging investeringsklimaat, langetermijn waardecreatie en nationale veiligheid van 8 juli 2022 bent u hierover eerder geïnformeerd.
De Wet veiligheidstoets investeringen, fusies en overnames is aangenomen, maar nog niet in werking getreden. Na inwerkingtreding zal bij dergelijke overnames een meldplicht gelden bij het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken en Klimaat. Vanwege het ontbreken van een wettelijke basis, heb ik op dit moment nog geen onderzoeken kunnen doen op grond van deze wet en heeft er dus geen beoordeling plaatsgevonden van de overname van Nowi.
De overname van Nowi heeft desalniettemin mijn aandacht. De overname valt binnen de termijn van de terugwerkende kracht van de Wet Vifo. Na inwerkingtreding van deze wet zal ik onderzoeken of de overname van Nowi onder de reikwijdte van de Wet Vifo valt en een beoordeling mogelijk is. Dit wordt bepaald door het antwoord op de vraag of Nowi wel of niet gebruik maakt van sensitieve technologie zoals gedefinieerd in de Wet Vifo.2

Vraag 4

Vindt er vanuit deze wet nog een beoordeling van de overname van Nowi plaats, of heeft deze toets al plaatsgevonden? Zo nee, waarom niet, aangezien de Wet Veiligheidstoets terugwerkende kracht heeft?

Zie antwoord vraag 3.

Vraag 5

Kunt u, als er een beoordeling heeft plaatsgevonden, nader ingaan op de conclusies van deze beoordeling?

Zie antwoord vraag 3.

Vraag 6

Is er reeds voldoende capaciteit om op basis van de Wet Veiligheidstoets controles uit te voeren op overnames, zoals die van Nowi door Nexperia? Zo nee, wat gaat u eraan doen deze capaciteit op orde te brengen?

Ja.

Vraag 7

Biedt de Wet Veiligheidstoets voldoende handvatten om dusdanige overnames te beoordelen? Zo nee, wat gaat u eraan doen dusdanige overnames beter te laten toetsen?

De Wet Vifo biedt, zodra deze in werking is getreden, voldoende handvatten om overnames die betrekking hebben op vitale aanbieders of ondernemingen die over sensitieve technologie beschikken, te toetsen op risico’s voor de nationale veiligheid. De categorie sensitieve technologie omvat goederen voor tweeërlei gebruik en militaire goederen en daarnaast kunnen er bij algemene maatregel van bestuur technologieën worden toegevoegd.

Vraag 8

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot de European Chips Act?

De EU Chips Act speelt een belangrijke rol in het stimuleren van de Europese halfgeleiderindustrie en het vergroten van de Europese weerbaarheid. Investeren in de Europese waardeketen en het aantrekkelijk maken en behouden van het Europese investeringsklimaat is van groot belang. In de EU Chips Act is er o.a. ook aandacht voor de financiering van startups en scale-ups via het nog op te richten EU Chip Fund.
Het kabinet steunt de aanpak binnen de EU Chips Act en heeft daarom op 1 december 2022 ingestemd met de algemene oriëntatie. Hoewel de EU Chips Act zich richt op het versterken van Europa, is de halfgeleiderwaardeketen sterk mondiaal georganiseerd en daarom voor een groot deel afhankelijk van vrije handel en goede internationale samenwerking. Ook dit heeft aandacht in de EU Chips Act.
De EU Chips Act is geen instrument om investeringen of overnames te toetsen. Hiervoor bestaat andere wetgeving, zoals de Verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (EU/2019/452) en de Wet veiligheidstoets investeringen, fusies en overnames. Beschermende maatregelen zijn belangrijke instrumenten voor deze industrie.

Vraag 9

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van het Verenigd Koninkrijk om Nexperia juist te dwingen 86 procent van de grootste microchip fabriek te verkopen (op basis van een overheidsonderzoek naar de aankoop van Nexperia van deze fabriek)?

Het kabinet heeft kennisgenomen van de besluiten van het Verenigd Koninkrijk en Duitsland om respectievelijk de overname van 86% van de aandelen in Newport Wafer Fab met terugwerkende kracht terug te draaien en de overname van Elmos te blokkeren. Het is niet aan het kabinet om in te gaan op de beweegredenen van het Verenigd Koninkrijk of Duitsland, aangezien het in beide gevallende inzet van nationale wetgeving betreft. Net als het Verenigd Koninkrijk en Duitsland, zal het kabinet eigen maatregelen treffen in geval van risico’s voor de nationale veiligheid bij investeringen, fusies en overnames.
Toetsingsbesluiten genomen door Europese lidstaten en bondgenoten kunnen impact op Nederland hebben. Gegeven de relatief jonge investeringstoetsingswetgeving staan we in contact met lidstaten en bondgenoten om ook te leren van elkaars opgedane ervaringen en gemaakte afwegingen.

Vraag 10

Heeft u contact gehad met de regering van het Verenigd Koninkrijk over hun besluit om Nexperia tot gedeeltelijke verkoop van Britse onderdelen te dwingen? Zo ja, waarom zijn de Britse beweegredenen wel of niet relevant voor – of van toepassing op Nederland om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met het Verenigd Koninkrijk?

Zie antwoord vraag 9.

Vraag 11

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van Duitsland dat het Chinese Sai Microelectronics niet Elmos, een Duitse producent van halfgeleiders, mag overnemen?

Zie antwoord vraag 9.

Vraag 12

Heeft u contact gehad met de Duitse regering over hun besluit om deze verkoop te blokkeren? Zo ja, waarom zijn de Duitse beweegredenen wel of niet relevant voor – of van toepassing op Nederland – om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met de Duitse regering?

Zie antwoord vraag 9.

Vraag 1

Bent u bekend met het bericht «Don’t download Qatar World Cup apps, EU data authorities warn»?1

Ja.

Vraag 2

Deelt u de mening dat het zorgelijk is dat deze twee applicaties zonder enige privacy- of veiligheidswaarschuwing downloadbaar zijn in de gangbare appstores, terwijl Europese data-autoriteiten waarschuwen voor de gevaren?

Zie hiervoor het antwoord op vraag 4.

Vraag 3

Tech-experts betitelen de apps al als «spyware», ziet u daarom kans spoedig met Google en Apple in gesprek te gaan over de wenselijkheid dat zij deze applicaties vrijelijk in hun appstores aanbieden?

Zie hiervoor het antwoord op vraag 4.

Vraag 4

Duitse, Franse en Noorse overheden hebben zich al op waarschuwende toon uitgesproken over de app, bent u daar ook toe bereid?

Ja, op het moment dat een app risico’s oplevert voor de privacy en veiligheid ben ik er zeker toe bereid om daarvoor te waarschuwen. Ik adviseer burgers dan ook om het advies van de Autoriteit Persoonsgegevens (AP) op te volgen.
Het is goed dat de AP en vier van haar Europese collega’s (de Duitse, Franse, Noorse en Deense toezichthouders) waarschuwen voor de risico’s van het downloaden van de «WK-apps». Zij wijzen erop dat de apps waarschijnlijk informatie over gebruikers verzamelen zonder dat gebruikers hiervan op de hoogte zijn. Dat is ook de rol van een toezichthouder.
Ik zie geen aanleiding om in aanvulling op de boodschap van de toezichthouders als kabinet hierover in gesprek te gaan met Google en Apple. Ook gezien het feit dat het WK voor Nederland inmiddels voorbij is. Waar het vooral om gaat is dat iedereen zich bewust is van de risico’s van het gebruik van die apps. Dat is een keuze die iedereen voor zichzelf moet maken en ik vind het zinvol dat de toezichthouders daarover voorlichting geven.

Vraag 1

Bent u bekend met het bericht «iPhone 14 kan vanaf nu noodoproepen sturen via satellieten»?1

Ja.

Vraag 2

Hoe kijkt u naar deze ontwikkeling? Juicht u het toe dat een dergelijke dienst op termijn ook in Nederland beschikbaar komt?

Wij kijken altijd naar nieuwe ontwikkelingen om de bereikbaarheid van hulpdiensten te verbeteren. Maar dat doen we wel vanuit de Nederlandse context. Dus ook rekening houdend met de uitstekende dekking die mobiele netwerken in Nederland hebben, waarbij iedere telefoon via elke provider met de 112-centrale kan bellen, ook als de eigen provider geen dekking heeft op de plek waar men zich bevindt. Op dit moment is moeilijk te zeggen of deze dienst een toegevoegde waarde heeft.

Vraag 3

Zijn er andere initiatieven bij u bekend, die gebruikmaken van nieuwe technologieën, die ervoor kunnen zorgen dat betere communicatie met bijvoorbeeld hulpdiensten mogelijk is op plekken met slecht mobiel bereik?

Een voorwaarde om mobiel te kunnen communiceren, is dat er enig mobiel bereik is, via een van de Nederlandse providers. Bellen naar 112 via wifi is een recente ontwikkeling die een alternatief biedt als mobiele dekking binnenshuis te wensen over laat, hiervoor verwijs ik naar mijn brief van 28 juni 2022.2

Vraag 4

Wat vindt u ervan dat bij noodoproepen via deze nieuwe dienst in sommige gevallen eerst contact wordt gemaakt met Apple-callcenters? Wat zijn hiervan de mogelijke voor- en nadelen?

Deze noodoproepen gaan in eerste instantie via een Apple-contactcenter, als de alarmcentrale zelf geen SMS kan ontvangen. Dat is niet echt handig, nog afgezien van alle privacygevoelige informatie die soms moet worden uitgewisseld. Ook is niet zeker dat deze dienst in alle gevallen volledig gratis blijft voor de gebruikers en alarmcentrale, zoals de Europese regelgeving voorschrijft. Een ander mogelijk nadeel van deze dienst is dat bijvoorbeeld het telefoonnummer niet wordt doorgegeven.

Vraag 5

Biedt deze ontwikkeling een kans voor Nederland om de gebrekkige bereikbaarheid van 112 in sommige gebieden te verbeteren?

Deze dienst biedt enkel een zeer eenvoudige oplossing voor wie buiten staat, met vrij zicht naar boven. Dus niet gehinderd door gebladerte, steile wanden of bebouwing. Je kunt namelijk enkel via SMS-berichten communiceren. Verder moet je je telefoon met de hand richten op een satelliet gedurende het verzenden of ontvangen van je SMS-bericht. Je telefoon geeft aan welke kant je op moet richten. Tijdens het verzenden moet je de satelliet met je telefoon blijven volgen. In dat opzicht verwacht ik niet dat deze dienst echt veel toevoegt aan de bereikbaarheid van 112 in Nederland.

Vraag 6

Ziet u voor de overheid een rol weggelegd om dergelijke technieken te omarmen en te adapteren, zodat deze technieken ook publiek beschikbaar komen?

Zaken als de bereikbaarheid van 112 zijn zaken die we vooral op EU-niveau moeten oppakken. Het zou ook niet goed zijn om voorop te lopen bij een nieuwe ontwikkeling die slechts door één leverancier ondersteund wordt, vanwege de marktverstorende effecten daarvan.

Vraag 7

Is al uitvoering gegeven aan de toezegging uit de brief2 over de uitvoering van de motie van de leden Inge van Dijk en Rajkowski over het ontsluiten van de «witte gebieden»3 en de motie van het lid Inge van Dijk c.s. over technologische alternatieven voor snel internet onderzoeken4 om te onderzoeken of er een centrale plek kan komen waar mensen melding kunnen doen van gebrekkige bereikbaarheid van 112?

Er is nog geen uitvoering gegeven aan het voornemen om te onderzoeken of er een centrale plek kan komen waar mensen melding kunnen doen van gebrekkige bereikbaarheid van 112. Het is de bedoeling om in de loop van 2023 het aangekondigde onderzoek op te pakken. De afgelopen tijd is prioriteit gegeven aan een ander onderdeel van de aangekondigde acties om de bereikbaarheid van 112 te waarborgen en verbeteren. Namelijk zeker stellen dat de ondersteuning van bellen via 4G («VoLTE») op orde komt. Dit is essentieel om ervoor te zorgen dat de voorgenomen afschakeling van 2G en 3G niet gaat leiden tot een verslechtering van de bestaande bereikbaarheid van 112. De Kamer had daar ook aandacht voor gevraagd tijdens het Commissiedebat Telecomraad van 31 mei jl. en er is toen toegezegd om daaraan te gaan werken. Met VoLTE kan bovendien een kleine verbetering in de bereikbaarheid van 112 worden bereikt. Er is aldus voor gekozen om de beschikbare capaciteit eerst in te zetten op het waarborgen van de bestaande bereikbaarheid van 112.

Vraag 1

Klopt het dat er geen onderscheid in veiligheidsrisico wordt gemaakt tussen ministers, topambtenaren en ander rijkspersoneel als het gaat om digitale veiligheid? Geldt dit beleid Rijksbreed? Zo ja, waarom wordt er geen onderscheid gemaakt, terwijl het zeer goed voorstelbaar is dat hooggeplaatste functionarissen over meer essentiële informatie beschikken en daardoor eerder het doelwit van spionage of een hack zullen zijn?1

Iedere overheidsorganisatie is in eerste plaats zelf verantwoordelijk voor haar digitale veiligheid, en die van haar medewerkers. Voor zowel Rijksoverheden als medeoverheden biedt onder meer de Baseline Informatiebeveiliging Overheid (BIO) wel een aantal kaders en regels. De BIO bevat een palet aan maatregelen die iedere overheidsorganisatie moet nemen, inclusief een risicobeoordeling. De BIO richt zich hiermee niet alleen op specifieke personen of middelen, maar leidt voor iedere organisatie tot een integrale risicogebaseerde aanpak. Voor de rijksoverheid zien de Audit Dienst Rijk (ADR) en de Algemene Rekenkamer (ARK) hierop toe. CISO Rijk monitort, vanuit het CIO-stelsel Rijk, de implementatie van beleid op het gebied van dataveiligheid bij de departementen.
Hierbij geldt nog een specifieke set regels voor omgang met gerubriceerde informatie bij de rijksoverheid. Dit is vastgelegd in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI), dat voorschrijft hoe met gerubriceerde informatie moet worden omgegaan. Dit geldt voor alle rijksambtenaren die vanuit hun werk incidenteel of structureel met gerubriceerde informatie moeten werken. Om het werken met dergelijke informatie mogelijk te maken worden er ook onder meer technische, facilitaire en organisatorische maatregelen genomen, en worden er specifieke middelen en netwerken ter beschikking gesteld om veilig met dergelijke informatie te kunnen werken.
Het gaat hier om kaders die in overeenstemming met de ministerraad zijn vastgesteld om te kunnen waarborgen dat de Ministers hun verantwoordelijkheid voor de digitale veiligheid en een zorgvuldige omgang met gerubriceerde informatie waar kunnen maken. Bij hun aantreden krijgen bewindspersonen instructies over veiligheidsrisico’s. In het «Blauwe Boek» worden bewindspersonen gewezen op het Voorschrift Informatiebeveiliging Rijksdienst/Bijzondere Informatie (VIR-BI)2. Ook krijgen zij middelen aangeboden zoals telefoons.

Vraag 2

Deelt u de mening van de beveiligingsspecialist die stelt dat het met het huidige beveiligingsniveau niet te achterhalen is of digitale apparatuur gehackt is met geavanceerdere hacksoftware zoals Pegasus? Kunt u uw antwoord uitgebreid toelichten?

In de in het antwoord op vraag 1 genoemde Baseline Informatiebeveiliging Overheid (BIO) worden drie beveiligingsniveaus onderkend, de zogenaamde basisbeveiligingsniveaus (BBN). Er is sprake van basisbeveiligingsniveau 2 wanneer er wordt gewerkt met (departementaal) vertrouwelijke informatie. In dat geval gaat de BIO uit van het concept «assume breach». In feite houdt men er rekening mee dat een systeem vroeg of laat kan worden binnengedrongen door een geavanceerde kwaadwillende actor. Dat betekent dat maatregelen zoals detectie moeten worden ingeregeld, zodat achteraf effectief kan worden opgetreden. Zoals ook toegelicht in het antwoord op vraag 1 zijn departementen zelf verantwoordelijk voor het implementeren van relevante maatregelen zoals detectiemechanismen.
Garanties zijn echter niet te geven. Dat geldt zeker voor mobiele telefoons, waar binnendringsoftware zoals Pegasus op is gericht. Er is sprake van een continue wedloop van geavanceerde digitale actoren die hun werkwijzen zo aanpassen dat ze niet of moeilijk gedetecteerd kunnen worden. Bovendien maakt een mobiele telefoon per definitie gebruik van een publiek netwerk en is er beperkte controle mogelijk op de software die aanwezig is op een telefoon en is detectie van malware op een telefoon ingewikkeld. De AIVD adviseert daarom terughoudend te zijn met het voeren van (bedrijfs)gevoelige gesprekken via of in de aanwezigheid van een mobiele telefoon.

Vraag 3

Gaat u de beveiligingsmaatregelen verhogen? Kunt u uw antwoord toelichten?

Het kabinet neemt de statelijke dreiging en risico’s rondom digitale veiligheid bij de overheid serieus. Dat betekent dat het stelsel van maatregelen continu in ontwikkeling blijft. Informatiebeveiliging bij de overheid is dan ook een belangrijk element in de Werkagenda waardengedreven digitalisering en de Nederlandse Cyber Security Strategie, waaruit verschillende acties volgen. Voor de gehele overheid worden wettelijke eisen voor veiligheid ingericht, ook in lijn onder meer met de Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB). Het gevolg hiervan zal zijn dat de hiervoor genoemde BIO in de wet als eis geborgd zal zijn. Er wordt verder generiek toezicht ingericht en ook dit wordt via een wettelijke verankering geborgd.

Vraag 4

Wordt er naar aanleiding van nieuwe beschikbare informatie over landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht een nieuwe afweging gemaakt of de inzet van bepaalde software nog gerechtvaardigd is, als blijkt dat dergelijke landen gebruik maken van dezelfde software?2, 3

Het is van belang dat opsporings-, inlichtingen- en veiligheidsdiensten beschikken over effectieve bevoegdheden voor het uitvoeren van hun wettelijke taak. Die bevoegdheden worden vormgegeven door de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) en de Wet Computercriminaliteit III. Daarin zijn naast de bevoegdheid van het binnendringen in een geautomatiseerd werk ook de bijbehorende waarborgen verankerd. Voor de uitvoering van deze bevoegdheden kunnen politie, AIVD en MIVD gebruik maken van specifieke soften hardware. De rechtmatigheid daarvan volgt dus uit juridische grondslagen met bijbehorende waarborgen uit hierboven genoemde wetgeving. De rechtmatigheid van de inzet van een bevoegdheid wordt niet bepaald door de gebruikte technologie maar door het geheel van juridische en operationele aspecten van de specifieke casus die gewogen wordt.
Zoals aangegeven in de Kamervragen van de leden Omtzigt (CDA) en van Dijk (SP) (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 3252) mogen leveranciers van binnendringsoftware die wordt ingekocht door opsporingsdiensten niet leveren aan dubieuze regimes. Het gaat om landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht.5 Om deze reden voert de politie een toets uit voordat over wordt gegaan tot de aanschaf van binnendringsoftware.
In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar het respecteren van mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een exportvergunning6.
De politie past dit beleid toe en eist van leveranciers een bevestiging dat niet aan dergelijke landen wordt geleverd. Aanvullend hierop wordt door de politie deze toets periodiek herhaald. De Wet computercriminaliteit III is recentelijk geëvalueerd en naar verwachting kan in het voorjaar 2023 de beleidsreactie aan uw Kamer worden gezonden7.
De inlichtingen- en veiligheidsdiensten kunnen ten behoeve van hun wettelijke taakuitvoering en omgeven door waarborgen bijzondere bevoegdheden inzetten. Over de wijze waarop deze organisaties gebruik maken van hun wettelijk toegekende bijzondere bevoegdheden, en over de afwegingen die daarbij worden gemaakt, kan in het openbaar geen mededeling worden gedaan.

Vraag 5

Deelt u de mening dat het gebruik van dergelijke software de democratische rechtstaat veel schade kan berokkenen, als het wordt ingezet tegen de eigen onschuldige inwoners of het gebruikt wordt om functionarissen van andere lidstaten te bespioneren? Zo nee, kunt u uw antwoord uitgebreid toelichten?

Het kabinet acht het onrechtmatig gebruik van binnendringsoftware onaanvaardbaar. Dit geldt ook wanneer het om onrechtmatige inzet tegen advocaten, politici, mensenrechtenverdedigers en journalisten gaat. Naast de nationale wetgeving is ook het Europees Verdrag van de Rechten van de Mens belangrijk in de weging van de rechtmatigheid. In het geval van onrechtmatig gebruik kan de inzet van dit soort software de democratische rechtsstaat schade berokkenen.
Het uitvoeren van de bevoegdheid tot binnendringen in een geautomatiseerd werk door Nederlandse overheidsdiensten is aan strenge voorwaarden en stevige waarborgen gebonden. Deze bevoegdheid kan alleen worden ingezet wanneer minder ingrijpende bevoegdheden niet bruikbaar zijn voor het gestelde doel, en de inzet noodzakelijk en proportioneel is. Voor de voorwaarden en waarborgen die gelden bij de eventuele inzet van binnendringsoftware wordt verwezen naar Kamervragen van de leden Omtzigt (Omtzigt) en Van Dijk (SP) of de samenvatting in antwoord op vraag 6.8 Tegelijkertijd is de rechtmatige inzet van de bevoegdheid tot binnendringen in een geautomatiseerd werk van belang voor onze democratische rechtsstaat. Criminelen en kwaadwillende statelijke actoren zijn een reële bedreiging voor onze maatschappelijke orde, de nationale veiligheid, de mogelijkheid van burgers om vrijelijk van hun rechten te genieten en ons verdienvermogen.

Vraag 6

Deelt u de mening dat het wenselijk is dat deze software ofwel in het geheel niet gebruikt wordt, dan wel aan strikte regels en toezicht onderworpen wordt, zowel op nationaal als internationaal niveau? Zo nee, waarom niet?

Gegeven het belang van de rechtmatige inzet van binnendringsoftware voor onze democratische rechtsstaat zoals beschreven in antwoord op vraag 5 is het onwenselijk om het gebruik van binnendringsoftware categoriaal te verbieden. Ook deelt het kabinet de opvatting dat inzet van dergelijke software enkel wenselijk is wanneer deze is gebonden aan strikte regels omtrent proportionaliteit, subsidiariteit en noodzakelijkheid, en er sprake is van onafhankelijk toezicht.
Effectief en gedetailleerd toezicht op de inzet van middelen door opsporings-, inlichtingen- en veiligheidsdiensten kan echter, gezien de benodigde toegang tot bijzondere informatie, enkel nationaal vormgegeven zijn.
In de opsporing vindt de uitvoering van de binnendringbevoegdheid plaats onder het gezag van de officier van justitie. Die houdt voor, tijdens en na de inzet door de politie toezicht op de rechtmatigheid van de opsporing en daarmee op de uitvoering van deze bevoegdheid. Een officier van justitie mag een bevel voor het binnendringen in een geautomatiseerd werk slechts geven na voorafgaande machtiging door een rechter-commissaris. Deze rechter toetst een voorgenomen inzet eveneens vooraf. Na afronding van een inzet wordt deze door de politie in processen-verbaal verantwoord. Tijdens de behandeling ter terechtzitting kan de rechter de rechtmatigheid van de inzet beoordelen. De afweging van de proportionaliteit en subsidiariteit van de inzet van de software is in eerste instantie aan de officier van justitie, die na machtiging van de rechter-commissaris bevoegd is tot het bevelen van het onderzoek in een geautomatiseerd werk. Deze afweging wordt getoetst door de Centrale Toetsingscommissie bij het OM die het College van Procureurs-generaal adviseert.
De Inspectie Justitie en Veiligheid (IJenV) houdt eveneens toezicht op de inzet van binnendringsoftware door het technisch team van de politie. De afweging van het Openbaar Ministerie valt buiten de bevoegdheid van de IJenV. Toezicht op het Openbaar Ministerie wordt op grond van artikel 122 van de wet RO door de procureur-generaal van de Hoge Raad der Nederlanden verricht.
De AIVD en de MIVD mogen onder strikte wettelijke voorwaarden bijzondere bevoegdheden inzetten ten behoeve van de nationale veiligheid. Deze bevoegdheden zijn aan voorwaarden gebonden, die zijn vastgelegd in de Wiv 2017. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten
(CTIVD) houdt toezicht op de juiste toepassing van die wet. De Toetsingscommissie Inzet Bevoegdheden (TIB) richt zich op toetsing voorafgaand aan de inzet van bepaalde bevoegdheden, waaronder het binnendringen in een geautomatiseerd werk. De CTIVD houdt toezicht tijdens en na afloop van inzet van een bevoegdheid.
Verder kan worden gewezen op de internationale afspraken die zijn gemaakt in het kader van toezicht op de handel in binnendringsoftware, zoals de recent geactualiseerde dual-use verordening van de Europese Unie en het Wassenaar Arrangement.

Vraag 7

Deelt u de mening dat globale transparantie over of dergelijke software aangekocht is en gebruikt wordt wenselijk is, zodat het parlement de controlerende taak kan uitvoeren? Kunt u uw antwoord uitgebreid toelichten?

In de opsporing worden ten behoeve van de transparantie jaarlijks statistieken van het gebruik van binnendringsoftware openbaar gemaakt. Het verstrekken van informatie aan derden over welke specifieke software de politie beschikt en gebruikt bij de inzet van deze bijzondere opsporingsbevoegdheid, brengt onaanvaardbare risico’s met zich mee voor de inzetbaarheid van die middelen en daarmee het opsporingsbelang. De verwerving van binnendringsoft- en hardware vindt bij de politie onder geheimhouding plaats. Het is voor de afscherming van middelen en methodieken niet mogelijk om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid.
Ook voor de AIVD en de MIVD is transparantie belangrijk. Daarom publiceren de diensten een openbaar jaarverslag en wordt waar mogelijk in de openbaarheid verantwoording afgelegd over het werk van de inlichtingen- en veiligheidsdiensten. Tegelijkertijd zijn beide diensten ook wettelijk gehouden aan geheimhouding, onder andere over de werkwijze. Dat geldt dus ook voor de inzet van de bevoegdheid tot het binnendringen in een geautomatiseerd werk. De CTIVD en TIB houden toezicht op de taakuitvoering van de diensten. De openbare (jaar)verslagen van de CTIVD en de TIB worden met de Kamer en het publiek gedeeld. Parlementaire controle op de taakuitvoering van de inlichtingen- en veiligheidsdiensten vindt, wanneer nodig vanwege de geheime aspecten, via de geëigende kanalen plaats.

Vraag 8

Kunt u aangeven of volgens u het gebruik van dit soort software van Israëlische makelij past binnen de aangenomen Kamermotie waarin uitdrukkelijk de wens is uitgesproken om dergelijke apparatuur niet aan te schaffen uit landen zoals Israël?4

In de verzamelbrief politie van 19 oktober jl. wordt geschetst hoe uitvoering wordt gegeven aan de motie Van Nispen waarin de regering wordt verzocht bij aanbestedingen voor apparatuur, zoals afluisterapparatuur, drones en ANPRcamera’s, aan veiligheidsvereisten een zwaarder belang toe te kennen en te streven naar apparatuur uit Nederland of op z’n minst uit landen binnen de
Europese Unie.10 Zoals in de verzamelbrief is gemeld, moeten Nederlandse overheden en uitvoeringsdiensten zo nodig kunnen beschikken over kwalitatief hoogwaardige producten en diensten, ook van buitenlandse leveranciers, of over producten en diensten die deels in het buitenland zijn ontwikkeld of geproduceerd. Het uitgangspunt is dat het gebruik van apparatuur en programmatuur veilig moet zijn en dat eventuele risico’s beperkt en/of gemonitord worden. Er kunnen bijvoorbeeld technische beveiligings- of organisatorische maatregelen worden getroffen binnen de eigen organisatie. Ook kunnen strenge eisen gesteld worden aan de beveiliging van producten en diensten en kunnen ondernemers gevestigd in bepaalde landen uitgesloten worden van aanbestedingsprocedures. Voorgaande wordt bij alle eventuele aanschaf van binnendringsoftware in acht genomen.
Specifiek in het kader van binnendringsoftware kan ten eerste worden gewezen op de specifieke regelgeving voor de aanschaf van binnendringsoftware genoemd in antwoord op vragen 3 en 4. Ten tweede wordt het doel onderschreven om het betreden van de markt van dergelijke software tot een minimum te beperken. Ten derde dient een technisch hulpmiddel beveiligd te zijn tegen wijziging van geregistreerde gegevens en kennisneming hiervan door onbevoegden

Vraag 1

Is de Minister zich ervan bewust dat de Interdepartementale Werkgroep Desinformatie in een advies aan het Nationaal Kernteam Crisiscommunicatie te kennen heeft gegeven dat het BZK desinformatieteam toegang heeft «tot zogeheten «escalatie kanalen» van Facebook, Google en Twitter»?1

Ja. Het Ministerie van BZK heeft de status van «trusted flagger» bij Meta, Google, Twitter, TikTok en Snapchat. Trusted flaggers» meldingen worden door de genoemde sociale media platformen met prioriteit behandeld. Deze trusted flagger status kunnen deze online platformen ook geven aan andere overheidsorganisaties of NGO’s.2 Het Ministerie van BZK zet dit middel met grote terughoudendheid in en alleen rondom verkiezingen: wanneer er een vermoeden bestaat van de verspreiding van des- of misinformatie waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces, een vitaal onderdeel van de democratie, belemmering zou kunnen ondervinden. De bedrijven waarbij een melding wordt gedaan maken hierbij hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of verwijdering, labelen of een andere actie gerechtvaardigd is. Het ministerie heeft via deze kanalen geen bevoegdheid bepaalde content te laten verwijderen.

Vraag 2

Sinds wanneer zijn deze drie «escalatie kanalen» operationeel?

Het Ministerie van BZK is sinds mei 2019 trusted flagger binnen het Partner Support Portal bij Twitter. Dit account is aangevraagd in aanloop naar de provinciale staten verkiezing van 2019 en geactiveerd in mei 2019. Van dit account is tot 11 maart 2021 geen gebruik gemaakt.
Het Ministerie van BZK is sinds medio 2019 trusted flagger binnen het Election Security Escalation Channel van Facebook (nu Meta). Van dit account is tot 9 maart 2021 geen gebruik gemaakt.
Het Ministerie van BZK heeft bij Google, TikTok en Snapchat de status van «trusted flagger» gekregen in aanloop naar de Tweede Kamerverkiezing van 2021.

Vraag 3

Wie heeft waarom het initiatief genomen tot het oprichten van deze drie «escalatie kanalen»?

In 2019 boden Twitter en Facebook het ministerie de mogelijkheid een account aan te maken als trusted flagger zodat meldingen van het ministerie over des- of misinformatie, waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces, een vitaal onderdeel van de democratie, belemmering zou kunnen ondervinden, met prioriteit zouden worden behandeld. Het ministerie heeft gebruik gemaakt van dit aanbod maar de accounts pas in 2021 voor het eerst gebruikt.
In aanloop naar de Tweede Kamerverkiezing van 2021 was er extra aandacht voor het tegengaan van desinformatie. In deze context is door meer online platformen de mogelijkheid tot het worden van «trusted flagger» opengesteld. Het ministerie heeft hier gebruik van gemaakt. Dit om voorbereid te zijn, mocht er veel desinformatie rondgaan over het verkiezingsproces.

Vraag 4

Hoeveel verzoeken zijn er, sinds de oprichting van het «escalatie kanaal», door de overheid ingediend bij Facebook via het «escalatie kanaal»? Hoeveel van deze verzoeken zijn door Facebook ingewilligd en hoeveel niet?

Sinds het verkrijgen van de status «trusted flagger» medio 2019 heeft het Ministerie van BZK vier keer een casus voorgedragen bij Facebook/Meta gedaan.
De eerste melding bij Facebook/Meta werd gedaan op 9 maart 2021. Het betrof een video die rondging op Facebook, waarin werd gezegd dat je door te gaan stemmen gelijk toestemming zou geven voor een covid-19 vaccinatie. Deze informatie is op 8 maart 2021 ontkracht door onafhankelijke factcheckers.3 Het Ministerie van BZK heeft Facebook daarom op deze factcheck gewezen en gevraagd naar deze video te kijken. Facebook heeft daarop aangegeven dat de video voorzien is van een label vanwege de factcheck door onafhankelijke factcheckers.
De tweede melding werd gedaan op 17 maart 2021. Het betrof een bericht dat op Facebook en Twitter werd verspreid, waarin werd gezegd dat je deze verkiezingen twee vakjes rood mocht kleuren op het stembiljet. «Twijfel je nog steeds tussen de PVV en FvD? Vergeet niet, dit jaar mag je twee vakjes rood kleuren op het stembiljet», was te lezen in diverse berichten. Deze informatie is op 16 maart 2021 ontkracht door onafhankelijke factcheckers van DPA-factchecking. 4 Na deze factcheck werden dergelijke berichten al vaak van een label voorzien door Facebook, maar niet overal. Het Ministerie van BZK heeft daarom een melding gedaan van zeven berichten die nog niet van een dergelijk label waren voorzien.5 Ook heeft het Ministerie van BZK zelf een bericht op Twitter geplaatst in reactie op deze berichtgeving. Het inkleuren van twee vakjes leidt namelijk tot een ongeldige stem. Facebook heeft de zeven berichten daarna van een label voorzien.
De derde melding werd gedaan op 18 november 2021 namens een gemeente die een vraag had gesteld rondom de herindelingsverkiezingen voor de nieuwe gemeente Dijk en Waard, maar die zelf geen reactie kreeg van Meta. Het betrof een melding dat een link naar de lokale Stemwijzer werd geblokkeerd wanneer de gemeente deze op haar pagina wilde plaatsen kort voor de herindelingsverkiezingen. Het Ministerie van BZK vernam op 18 december 2021 van Facebook dat het probleem was opgelost.
De vierde en laatste melding bij Facebook/Meta werd gedaan op 9 maart 2022 namens een gemeente die een vraag had gesteld rondom de gemeenteraadsverkiezingen, maar die zelf geen reactie kreeg van Meta. Het betrof een melding van een raadslid uit de gemeente Beek dat zijn Instagram pagina en die van de lokale CDA-afdeling waren geblokkeerd, een paar dagen voor de gemeenteraadsverkiezingen. De gemeente kreeg zelf geen gehoor bij Meta, dus het Ministerie van BZK heeft het verzoek van de gemeente om te kijken wat er mis ging, overgebracht aan Meta. Meta liet het ministerie weten dat de accounts gedeblokkeerd waren, maar gaf geen reden voor de blokkade.

Vraag 5

Hoeveel verzoeken zijn er, sinds de oprichting van het «escalatie kanaal», door de overheid ingediend bij Google via het «escalatie kanaal»? Hoeveel van deze verzoeken zijn door Google ingewilligd en hoeveel niet?

Sinds het verkrijgen van de status «trusted flagger» heeft het Ministerie van BZK geen enkele casus voorgedragen bij Google.

Vraag 6

Hoeveel verzoeken zijn er, sinds de oprichting van het «escalatie kanaal», door de overheid ingediend bij Twitter via het «escalatie kanaal»? Hoeveel van deze verzoeken zijn door Twitter ingewilligd en hoeveel niet?

Sinds het verkrijgen van de status «trusted flagger» op 3 mei 2019 heeft het Ministerie van BZK tweemaal een casus voorgedragen bij Twitter.
De eerste melding werd gedaan op 11 maart 2021. Het betrof een mail van de gemeente Midden-Delfland dat haar Twitteraccount geblokkeerd was, en Twitter haar hier geen reden voor gaf. Het ministerie heeft bij Twitter navraag gedaan, waarbij Twitter reageerde er een probleem was met het verifiëren van een telefoonnummer dat aan het account gekoppeld was, maar dat het account inmiddels weer gedeblokkeerd was.
De tweede melding werd gedaan op 17 maart 2021. Het betrof een zelfde casus als beschreven onder vraag 4, de tweede melding bij Facebook. Het Ministerie van BZK heeft verder niet gevolgd wat Twitter met de gedane melding heeft gedaan.

Vraag 7

Zijn verzoeken vanuit de staat via de «escalatie kanalen» altijd verzoeken om desinformatie te verwijderen of zijn er ook andere type verzoeken die via de «escalatie kanalen' kunnen worden doorgegeven?

Zoals ook opgemerkt in de beantwoording van vraag 1 kan het Ministerie van BZK de status van «trusted flagger» niet gebruiken om een verzoek tot verwijdering in te dienen. De status dient als middel om een melding te doen van berichten waarvan het ministerie vermoedt dat ze niet voldoen aan de gebruikersvoorwaarden van bedrijven. De bedrijven waarbij een melding wordt gedaan, maken hierbij nog altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden, en dus of verwijdering, labelen of een andere actie gerechtvaardigd is. Het Ministerie van BZK zet de status van «trusted flagger» met grote terughoudendheid in: wanneer er een vermoeden bestaat van de verspreiding van misleidende informatie waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces, een vitaal onderdeel van de democratie, belemmering zou kunnen ondervinden. Of wanneer een gemeente rondom verkiezingen een vraag had voor Meta en zelf geen gehoor kreeg.

Vraag 8

Kan de Minister de Kamer een afschrift toesturen van alle verzoeken die door het BZK desinformatieteam via deze drie «escalatie kanalen» zijn ingediend bij Facebook, Google en Twitter?

Ja, de afschriften zijn als bijlage toegevoegd bij deze brief.

Vraag 9

Kan de Minister de Kamer een afschrift toesturen van de reacties van Facebook, Google en Twitter op alle verzoeken die door het BZK desinformatieteam via deze drie «escalatie kanalen» zijn ingediend bij Facebook, Google en Twitter?

Ja, de afschriften zijn als bijlage toegevoegd bij deze brief.

Vraag 10

Hoe stelt het BZK desinformatieteam vast dat er op sociale media doelbewust misleidende informatie wordt verspreid met het doel om schade toe te brengen?

De afdeling Democratie van BZK stelt niet zelf vast of er op sociale media doelbewust misleidende informatie wordt verspreid met het doel om schade aan te richten. Zoals aangegeven in eerdere Kamerbrieven is dit primair een taak van onafhankelijke factcheckers, media en wetenschappers. Wel heeft het Ministerie van BZK de taak om de integriteit van de verkiezingen te beschermen. Waar het gaat om misleidende of onjuiste informatie over het verkiezingsproces, zoals onjuiste informatie over de sluitingstijden van stemlokalen of de wijze van stemmen, kan het ministerie deze toetsen aan de geldende regels en procedures.

Vraag 11

Betekent «doelbewust» dat het BZK desinformatieteam (om immers vast te kunnen stellen of er sprake is van «desinformatie» of niet) bij elk verzoek dat wordt ingediend via een «escalatie kanaal», eerst moet vaststellen wat de intentie van de verspreider van «desinformatie» is? Of betekent het iets anders? En betekent «doel om schade toe te brengen» dat deze intentie ook kwaadwillend moet zijn? Of betekent het iets anders?

De afdeling Democratie van BZK stelt niet zelf vast of er op sociale media doelbewust misleidende informatie wordt verspreid met het doel om schade aan te richten. De afdeling Democratie van BZK gebruikt de status van «trusted flagger» met grote terughoudendheid: wanneer er een vermoeden bestaat van de verspreiding van des- of misinformatie waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces, een vitaal onderdeel van de democratie, belemmering zou kunnen ondervinden. Dit volgt uit de verantwoordelijkheid van BZK voor het beschermen van de integriteit van het verkiezingsproces. Het risico op belemmering van de integriteit van het verkiezingsproces staat daarbij centraal, niet de intentie van de verspreider.

Vraag 12

Hoe slaagt het BZK desinformatieteam erin een onderscheid te maken tussen het bewust en het onbewust verspreiden van misleidende informatie? Welke methode, welke instrumenten, welke protocollen worden daarvoor gehanteerd? Kan de Minister een paar voorbeelden geven van het bewust versus het onbewust verspreiden van misleidende informatie?

De afdeling Democratie van BZK stelt niet zelf vast of er op sociale media doelbewust misleidende informatie wordt verspreid met het doel om schade aan te richten. Wanneer er een vermoeden bestaat van de verspreiding van des- of misinformatie waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces belemmering zou kunnen ondervinden, kan het ministerie een melding doen bij een onder vraag 1 genoemde bedrijven... Voor het onderscheid tussen bewuste en onbewuste verspreiding van misleidende informatie kijken bedrijven bijvoorbeeld naar technieken die worden ingezet om berichten te verspreiden. Zo hadden internetdiensten Facebook, Twitter, Google, Microsoft, TikTok en Snapchat richting de Tweede Kamerverkiezing van 2021 maatregelen genomen om misinformatie en desinformatie tegen te gaan en hierop extra alert te zijn. Dit betekende onder meer dat door internetdiensten actief gezocht is naar gecoördineerd niet-authentiek gedrag die berichten kunstmatig populairder kunnen laten lijken.6

Vraag 13

Staat er wellicht ergens op een ons nog onbekend «Ministerie van Waarheid» een apparaat waarmee men niet alleen met absolute zekerheid kan vaststellen of iets «waar» of «niet waar» (en dus wel of niet «misleidend») is, maar kan dit apparaat misschien gelijk ook feilloos de goedwillende dan wel kwaadwillende intentie van de verspreider van de misleidende informatie vaststellen?2 En als zo’n apparaat niet bestaat, hoe kan de Minister er dan zeker van zijn dat verzoeken ingediend door de staat bij Facebook, Google en Twitter via de «escalatie kanalen» om «desinformatie» te verwijderen niet onbedoeld resulteren in censuur van informatie die niet (doelbewust) misleidend is? Censuur die dus gelijk staat aan het onterecht en onnodig beknotten van de vrijheid van meningsuiting?

Nee, een dergelijk apparaat en het «Ministerie van Waarheid» bestaan allebei niet in Nederland.
De afdeling Democratie van BZK stelt niet zelf vast of er op sociale media doelbewust misleidende informatie wordt verspreid met het doel om schade aan te richten. Wanneer er een vermoeden bestaat van de verspreiding van des- of misinformatie waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces belemmering zou kunnen ondervinden, kan het ministerie een melding doen bij een onder vraag 1 genoemde bedrijven. De betreffende bedrijven bij wie de melding wordt gedaan, maken altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of verwijdering, labelen of een andere actie gerechtvaardigd is. Hiervoor maken zij gebruik van de eigen gebruikersvoorwaarden.
Door gebruik te maken van diensten van online platformen – bijvoorbeeld door een account aan te maken, het online spelen van games, het plaatsen van eigen content of het lezen van content van overige gebruikers – stemmen gebruikers in met de gebruikersvoorwaarden van dat online platform. Hiermee gaan zij een civielrechtelijke overeenkomst met dat platform aan, waarbij het toepasselijke rechtsstelsel bij geschillen wordt bepaald door het betreffende platform. In het kader van de contractvrijheid staat het aanbieders van online platformen vrij om grenzen te stellen aan het soort content op hun platform en de manier waarop hun platform wordt gebruikt. Ook staat het hen vrij actie te ondernemen indien zij van mening zijn dat gebruikers hun gebruiksvoorwaarden overtreden. Dat behelst ook de mogelijkheid om content te verwijderen of een gebruikersaccount op te schorten. Het idee hierachter is, dat gebruikers zelf de vrijheid en mogelijkheid hebben om te bepalen of zij gebruik maken van een bepaald online platform – en daarmee instemmen met de gebruikersvoorwaarden – of niet. Voor meer informatie verwijs ik u graag door naar de Kamerbrief over contentmoderatie en vrijheid van meningsuiting op online platformen van 21 september 2021.8

Vraag 14

Kan de Minister de bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers»?1

Ja, daarmee ben ik bekend.

Vraag 2

Kunt u een schatting geven hoeveel Nederlanders momenteel gebruik maken van TikTok? Hoeveel van deze gebruikers zijn kinderen?

In januari 2022 waren er ongeveer drie miljoen Nederlandse gebruikers van TikTok.2 De minimumleeftijd voor het gebruik van TikTok, volgens het beleid van TikTok, is 13 jaar. Bij TikTok is nagevraagd hoeveel van de gebruikers in Nederland minderjarig zijn. Hierbij heeft TikTok aangegeven dat zij deze informatie niet openbaar kunnen maken, omdat het voor TikTok bedrijfsgevoelige informatie betreft. Het is moeilijk met zekerheid vast te stellen hoeveel van de Nederlandse gebruikers minderjarig zijn. Hierbij speelt een rol dat de juistheid van de door gebruikers opgegeven leeftijd door TikTok niet wordt geverifieerd. Minderjarigen kunnen zich daarom als meerderjarigen voordoen. Uit onderzoek van de Britse (telecom) toezichthouder Office of Communications (Ofcom) bleek vorige maand dat één op de drie Britse kinderen een sociale media-account voor volwassenen heeft.3 Naar alle verwachting zijn er ook in Nederland kinderen die een account voor een volwassene hebben.

Vraag 3

Welke medewerkers hebben toegang tot de verzamelde informatie? Klopt het dat een deel van de medewerkers van TikTok een dubbelrol hebben bij de Chinese Communistische Partij en dat dus de Chinese overheid toegang krijgt tot al deze persoonlijke informatie?

Op dit moment weten we niet welke medewerkers van TikTok toegang hebben tot welke gegevens. TikTok is benaderd om hier meer informatie over te geven, maar TikTok heeft aangegeven hier geen antwoord op te kunnen geven. Uiteraard zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG) worden doorgegeven aan de Chinese overheid.
De voorwaarden waaronder persoonsgegevens vanuit de EU naar derde landen kunnen worden doorgegeven liggen vast in de AVG. Doorgifte van persoonsgegevens naar derde landen, waaronder China, dient plaats te vinden volgens hoofdstuk V van de AVG. Of er bij TikTok sprake is van een onrechtmatige doorgifte, is niet aan mij of dit kabinet om vast te stellen, maar aan de Autoriteit Persoonsgegevens (AP) of diens collega in de lidstaat waar TikTok haar hoofdzetel heeft.
Momenteel doet de Ierse toezichthouder (DPC) als leidende autoriteit van de EU onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het betreft een tweetal onderzoeken. Het eerste onderzoek richt zich op de verwerking van persoonsgegevens van minderjarige gebruikers in de context van de platforminstellingen van het TikTok-platform met betrekking tot accounts van gebruikers jonger dan 18 jaar en leeftijdsverificatiemaatregelen. Het onderzoek gaat ook na of TikTok heeft voldaan aan de transparantieverplichtingen van de AVG in het kader van de verwerking van persoonsgegevens van gebruikers jonger dan 18 jaar. Het tweede onderzoek richt zich op de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de AVG voor deze overdrachten.
De DPC is beide onderzoeken gestart in september 2021. De DPC heeft haar ontwerpbesluit in het eerste onderzoek begin september 2022 voorgelegd aan de toezichthouders – waaronder de AP – in de andere lidstaten. Dit maakt deel uit van het proces op grond van artikel 60 van de AVG. Voor het tweede onderzoek waar het gaat om de doorgifte naar derde landen heeft de Minister voor Rechtsbescherming de AP gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek.

Vraag 4

Kunt u toelichten om wat voor een data het hier gaat? Gaat het hier om persoonsgegevens, persoonlijke voorkeuren of psychologische profielen?

Het is mij niet bekend welke gegevens op welke manier verwerkt worden en welke TikTok-medewerkers toegang hebben tot welke gegevens. TikTok geeft in zijn privacybeleid aan welke gegevens worden verzameld. In zijn beleid schrijft TikTok dat gegevens onder drie categorieën wordt verzameld: (1) informatie die de gebruiker verstrekt, (2) automatisch verzamelde informatie en (3) informatie uit andere bronnen.
Het gaat hier o.a. om profielinformatie, gebruikerscontent en informatie uit directe berichten van gebruikers, maar ook om locatiegegevens van de gebruikers, technische gegevens met betrekking tot het apparaat van de gebruiker, gebruikers informatie en cookies. Ook wordt in gevallen door adverteerders op TikTok informatie over gebruikers gedeeld met TikTok.4

Vraag 5

Acht u het wenselijk dat de Chinese overheid toegang heeft tot dit soort informatie, met name ook over kinderen?

Zoals ik in antwoord op vraag 3 schreef, zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de AVG worden doorgegeven aan de Chinese overheid. Binnenkort ga ik met TikTok in gesprek in het kader van een serie gesprekken met verschillende grote tech-bedrijven. In dat gesprek zullen de hierboven genoemde uitgangspunten bij TikTok onder de aandacht worden gebracht.

Vraag 6

Bent u bereid om TikTok per direct op te roepen geen gegevens van Europese gebruikers opgeslagen binnen de Europese Unie met China te delen?

Zoals gemeld in antwoord op vraag 3 kan doorgifte van persoonsgegevens in derde landen rechtmatig plaatsvinden, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Op 18 juni 2021 heeft het Europees Comité voor Gegevensbescherming (EDPB) richtsnoeren vastgesteld die beogen bedrijven en organisaties handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG.
Ik vind het onacceptabel indien gegevens van Nederlandse burgers onrechtmatig worden gedeeld met de Chinese overheid. Binnenkort spreek ik met TikTok in het kader van een serie gesprekken met verschillende grote tech-bedrijven. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven.

Vraag 7

Welke stappen acht u noodzakelijk richting TikTok in Nederland en de Europese Unie zolang persoonlijke gegevens terecht komen in handen van de Chinese overheid?

Het is in de eerste plaats aan de onafhankelijke toezichthouder om onderzoek te doen naar rechtmatigheid van de verwerking van persoonsgegevens, en om daar vervolgens tegen op te treden. In het stelsel van de AVG zijn geen bevoegdheden toegekend aan het kabinet. Daarbij wil ik graag opmerken dat de toezichthouder binnen de AVG een breed scala aan bevoegdheden heeft tot het nemen van corrigerende maatregelen mocht zij dat nodig achten. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van betrokkene voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er ook een geldboete worden opgelegd en de toezichthouder kan ook een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten.
Zoals gezegd in het antwoord op vraag 3, voert de DPC momenteel onderzoek uit naar of de doorgifte van persoonsgegevens naar derde landen – waaronder China – voldoet aan de AVG-vereisten voor deze doorgifte. Daarnaast heeft de AP vorig jaar een boete van 750.000 euro aan TikTok opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers van TikTok kregen bij het installeren en gebruiken van de app was in het Engels en daardoor niet goed te begrijpen door jonge kinderen. Door de privacyverklaring niet in het Nederlands aan te bieden, legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Tijdens het onderzoek door de AP heeft TikTok zich gevestigd in Ierland en de AP was vanaf dat moment alleen nog bevoegd om te oordelen over de privacyverklaring van TikTok, omdat de overtreding was beëindigd.
Wat betreft de inzet van TikTok voor overheidscommunicatie kan ik u melden dat de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken (AZ) sinds september adviseert om de inzet van TikTok voor de rijksoverheid op te schorten vanwege zorgen over gegevensbescherming.

Vraag 8

Welke stappen worden er op dit moment binnen de Europese Unie gezet om de juridische kaders ten aanzien van adequate beveiliging van data-transfers wereldwijd te verduidelijken en uit te breiden om te voorkomen dat buitenlandse inlichtingendiensten toegang krijgen tot persoonsgegevens van Europese gebruikers?

Binnen de EU zijn bepalingen uit de AVG t.a.v. adequate beveiliging van data-transfer verduidelijkt via richtsnoeren van de EDPB (zie ook antwoord op vraag 6).5 Deze richtsnoeren beogen organisaties handvatten te bieden voor veiligheidsmaatregelen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG. Zo worden in deze richtsnoeren praktische voorbeelden gegeven van hoe veiligheidsmaatregelen getroffen kunnen worden. In deze richtlijnen staat bijvoorbeeld hoe gegevens gepseudonimiseerd kunnen worden doorgegeven en hoe gegevens versleuteld kunnen worden om deze te beschermen tegen toegang voor overheidsinstanties van het derde land.

Vraag 9

Welke stappen zet u richting de Europese Commissie om hier aandacht voor te vragen en actie op te ondernemen?

Zie het antwoord op vraag 10.

Vraag 10

Hoe geeft u uitvoering aan de afspraak uit het coalitieakkoord dat we kinderen beschermen door ze het recht te geven niet gevolgd te worden en geen dataprofielen te krijgen?

Wat betreft het recht van kinderen om niet gevolgd te worden en geen dataprofiel te krijgen is Europese wetgeving van belang. In het gegevensbeschermingsrecht hebben kinderen het recht op specifieke bescherming, met name bij het gebruik van hun persoonsgegevens voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). Deze bescherming zal versterkt worden door de Digital Services Act (DSA) die in 2024 in werking treedt. Het wordt dan voor zeer grote platforms zoals TikTok verboden om data van minderjarigen te verzamelen voor het profileren voor marketingdoeleinden
De Europese Commissie heeft in de geactualiseerde Better Internet For Kids (BIK+) strategie aangekondigd een EU gedragscode voor leeftijdsgeschikt ontwerpen te gaan publiceren. Deze gedragscode moet er aan bijdragen dat de verplichtingen neergelegd in de DSA en AVG worden nageleefd om zo te voorkomen dat kinderen gevolgd worden en dataprofielen krijgen. Wij zijn nauw betrokken bij deze Europese ontwikkelingen en maken ons er hard voor om de bescherming van kinderen in de digitale wereld verder te versterken.

Vraag 11

Kunt u deze vragen nog voor het begrotingsdebat Digitale Zaken op 14 november 2022 afzonderlijk beantwoorden?2

Ja.

Vraag 1

Bent u bekend met berichten dat de Biden regering een «speciale portal» bij techbedrijven heeft voor het aangeven van desinformatie?1

Ja.

Vraag 2

Heeft de Nederlandse staat ook toegang tot een dergelijke speciale portal bij Twitter (of Facebook of Instagram) voor het aangeven van desinformatie, misinformatie of nepnieuws bij deze techbedrijven?

Het Ministerie van BZK heeft geen toegang tot een Content Request System zoals beschreven in de artikelen in de bijlagen. Wel heeft het Ministerie van BZK de status van «trusted flagger» bij Meta, Google, Twitter, TikTok en Snapchat. Trusted flaggers» meldingen worden door de genoemde sociale media platformen met prioriteit behandeld. Deze trusted flagger status kunnen deze online platformen ook geven aan andere overheidsorganisaties of NGO’s.2 Het Ministerie van BZK zet dit middel met grote terughoudendheid in en alleen rondom verkiezingen: wanneer er een vermoeden bestaat van de verspreiding van des- of misinformatie waarvan de inhoud als gevolg heeft dat de integriteit van het verkiezingsproces, een vitaal onderdeel van de democratie, belemmering zou kunnen ondervinden. Of wanneer een gemeente rondom verkiezingen een vraag had voor Meta en zelf geen gehoor kreeg. De bedrijven waarbij een melding wordt gedaan maken hierbij hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of verwijdering, labelen of een andere actie gerechtvaardigd is. Het ministerie heeft via deze kanalen geen bevoegdheid bepaalde content te laten verwijderen.
Voor meer informatie over deze status van «trusted flaggers» verwijs ik u naar de beantwoording van de Kamervragen over de «escalatie kanalen» en het «desinformatieteam BZK» naar aanleiding van een Wob-verzoek die u op 7 november 2022 aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft gesteld (Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 914).

Vraag 3

Onderhoudt de Nederlandse staat contact met de bovengenoemde drie sociale mediabedrijven en indien dit het geval is door wie en op welke manier (bijvoorbeeld telefonisch, via mailverkeer) en waarom wordt dit contact onderhouden?

Ja. Het Ministerie van BZK houdt vanwege verschillende redenen contact met bovengenoemde bedrijven. Dit contact kan zowel op ambtelijk als op ministerieel niveau plaatsvinden. Het kan bestaan uit telefonisch contact, mailverkeer, of gesprekken in persoon. Zo heeft de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties op 8 juni 2022 een kennismakingsgesprek gehad met vertegenwoordigers van Meta, waarover die dag op Twitter publiekelijk is gecommuniceerd.3 In het kader van hoor en wederhoor is er contact met Meta over het DPIA traject Facebook Pages4. Via de status van «trusted flagger» kan het ministerie contact op nemen met deze bedrijven wanneer er een vermoeden bestaat van de verspreiding van des- of misinformatie waarvan de inhoud als gevolg heeft dat het verkiezingsproces, een vitaal onderdeel van de democratie, belemmering zou kunnen ondervinden.

Vraag 1

Sprak Koningin Maxima in haar pleidooi voor een digitale euro tijdens haar bezoek aan het Internationaal Monetair Fonds (IMF) in Washington DC, mede namens de regering?

Koningin Máxima heeft haar uitspraken gedaan uit hoofde van haar UNSGSA-rol voor inclusieve financiering voor ontwikkeling. In haar speech heeft zij geen pleidooi gehouden voor (de invoering van) een digitale euro, maar heeft zij gesproken over de mogelijke kansen voor financiële inclusie, maar ook de risico’s van de ontwikkeling van digitale centrale bankgeld in het algemeen.1 Dit wordt beschreven in het door u aangehaalde artikel. Deze uitspraken zijn in lijn met de standpunten van het kabinet ten aanzien van de digitale euro.

Vraag 2

Wat zijn de staatsrechtelijke contouren waarbinnen het Koninklijk Huis opiniërende politieke uitspraken mag doen en is er vooraf overleg met u? Zo ja, in welke vorm?

Er is ministeriële verantwoordelijkheid voor de Koning en andere leden van het Koninklijk Huis. De betekenis van deze ministeriële verantwoordelijkheid is toegelicht in de voorlichting van de Raad van State uit 2010.2

Vraag 3

Waar ligt de scheidslijn voor het kabinet, waarna uitspraken van het Koninklijk Huis als partijdig worden aangemerkt?

Zie antwoord vraag 2.

Vraag 4

Is er een protocol om te voorkomen dat leden van het Koninklijk Huis politiek partijdige uitspraken doen? Zo ja, hoe en door wie wordt dit getoetst?

Zie antwoord vraag 2.

Vraag 5

Wat is het standpunt van het kabinet ten aanzien van de digitale euro en onderschrijft u de uitspraken van Koningin Máxima bij het IMF over digitaal geld in het algemeen?1

Zoals aangegeven in antwoord op vraag 2 van het lid Van Houwelingen spreek ik zeer regelmatig met de Kamer over de discussies op EU-niveau over de ontwikkeling van een mogelijke digitale euro. De Kamer is meermaals schriftelijk geïnformeerd over het kabinetstandpunt over de ontwikkeling van een mogelijke digitale euro.4 Daarnaast vinden er regelmatig besprekingen plaats in de Eurogroep. De Kamer wordt van tevoren via de geannoteerde agenda geïnformeerd over de Nederlandse inzet bij deze besprekingen in de Eurogroep, en deze inzet wordt regelmatig besproken in de voorbereidende commissiedebatten.5
Het kabinet heeft een positieve grondhouding tegenover de digitale euro – het zou bijvoorbeeld kunnen bijdragen aan een innovatiever en veiliger betalingsverkeer, en aan het in stand houden van een vorm van publiek geld. Dat gezegd hebbende moet hierbij wel aan een aantal randvoorwaarden voldaan worden, onder meer op het gebied van privacy en financiële stabiliteit. De eventuele risico’s van de invoering van een digitale euro moeten daarom goed in kaart worden gebracht en worden gemitigeerd. Daarnaast dient de invoering van een digitale euro een solide democratische basis te hebben, wat betekent dat besluitvorming hierover op politiek niveau moet plaatsvinden.
Hoewel Koningin Máxima sprak vanuit haar UNSGSA-rol voor inclusieve financiering voor ontwikkeling, en daarbij ook niet specifiek sprak over de digitale euro of het Nederlandse standpunt hierover, zijn haar uitspraken in lijn met dit kabinetstandpunt.

Vraag 6

Bent u het ermee eens dat Koningin Máxima met haar pleidooi voor de digitale euro zich partijdig heeft opgesteld? Zo ja, is er contact geweest tussen het kabinet en het Koninklijk Huis over deze gang van zaken, en kunt u ons mededelen welke communicatie hieruit volgde?

Er is ministeriële verantwoordelijkheid voor de Koning en andere leden van het Koninklijk Huis. De betekenis van deze ministeriële verantwoordelijkheid is toegelicht in de voorlichting van de Raad van State uit 2010.6 Zie het antwoord op vraag 1 en 5. Koningin Máxima heeft geen pleidooi gehouden voor (de invoering van) de digitale euro. De inhoud van de toespraak die valt onder de ministeriële verantwoordelijkheid is in lijn met het kabinetsbeleid.

Vraag 7

Deelt u de analyse dat met een digitale euro macht verschuift van commerciële banken naar centrale banken, en met name naar de Europese Centrale Bank en ziet u deze verschuiving ook als problematisch?

Ik hecht er allereerst aan te benadrukken dat er momenteel sprake is van een verkenning naar de invoering van de digitale euro. Over de eventuele daadwerkelijke invoering ervan dient nog besloten te worden. Onderdeel van die besluitvorming zijn de ontwerpkeuzes. De ontwerpkeuzes zijn bepalend voor de ordening van het banken- en betalingslandschap en de rol van de ECB daarbinnen.
Het kabinet ziet de potentiële meerwaarde van een digitale euro in het behoud van publiek geld en het beschikken over een publiek alternatief in de betaalinfrastructuur. Deze kabinetsinzet bouwt voort op bredere maatschappelijke discussies in Nederland. Een belangrijke aanleiding voor Nederland voor het nader onderzoeken van de invoering van digitaal centrale bankgeld komt voort uit eerdere maatschappelijke initiatieven over de inrichting van het financiële systeem en de rol van commerciële banken hierin. In 2019 heeft de Wetenschappelijke Raad voor Regeringsbeleid (WRR) het rapport Geld en Schuld gepubliceerd7, waarin de WRR onder meer adviseert om te kijken naar een betere verankering van de publieke dimensie in banken, met name in het betalingsverkeer. Hierbij geeft de WRR aan dat de ontwikkeling van digitaal centrale bankgeld hieraan kan bijdragen.
Een ander risico van volledige afhankelijkheid van commerciële banken is het feit dat financiële dienstverlening, en met name het betalingsverkeer, in toenemende mate gedigitaliseerd wordt. In een ander rapport, Voorbereiden op Digitale Ontwrichting8, heeft de WRR gewaarschuwd dat de hoge mate van afhankelijkheid van een klein aantal digitale systemen tot risico’s kan leiden als deze systemen uitvallen. De ontwikkeling van een extra betaalsysteem, bijvoorbeeld via de ontwikkeling van een digitale euro, zorgt voor extra terugvalopties in het geval het commerciële girale systeem uitvalt.
Een laatste aanleiding is de afname van het gebruik van contant geld in Nederland, wat momenteel de enige vorm van publiek geld is. Het gebruik van contant geld is in korte tijd erg gedaald, waardoor de afhankelijkheid van commerciële banken voor het betalingsverkeer is gegroeid in de afgelopen 10 jaar. Daarnaast hebben de banken de kosten die zij rekenen voor chartale dienstverlening de laatste jaren verhoogd – de Tweede Kamer vraagt hier terecht regelmatig aandacht voor. De toegang tot een publieke vorm van geld is zeer belangrijk voor het onderliggende vertrouwen in commerciële financiële instellingen. Met een digitale euro, die geen vervanging zal zijn van contant geld, maar er complementair aan zal zijn, wordt ook voor de toekomst de beschikbaarheid van een publieke vorm van geld gewaarborgd.
Zoals in antwoord op vraag 5 aangegeven zijn er aan de andere kant ook potentiële negatieve aspecten of risico’s bij de invoering van een digitale euro. Deze risico’s dienen wat het kabinet betreft goed in kaart gebracht te worden en voldoende gemitigeerd te zijn voordat overgegaan kan worden tot de invoering van een digitale euro.

Vraag 8

Bent u het ermee eens dat de privacy van Nederlandse burgers (zoals steeds meer inzage in het betalingsverkeer) in het geding kan komen bij de invoering van een digitale euro?

Ik heb uw Kamer eerder aangegeven dat een hoge mate van privacy en niet-programmeerbaarheid randvoorwaarden moeten zijn bij de ontwikkeling van een mogelijke digitale euro. Zo heb ik opgeroepen om te kijken naar de mogelijkheid voor anonieme betalingen tot een bepaald bedrag. Dit heb ik ook uitgedragen richting de Europese Commissie en de ECB, onder andere in een gezamenlijk non-paper met Duitsland, Frankrijk, Italië en Spanje over de digitale euro9. Dit is in lijn met de moties Alkaya-Heinen10 en Heinen-Alkaya11, waarvan de laatste ook door JA21 is gesteund.

Vraag 9

Wat is de procedure voor het invoeren van een digitale euro?

Ik heb meermaals met uw Kamer gesproken over het belang van democratische besluitvorming over de eventuele invoering van een digitale euro. Conform de wens van de Kamer heeft het kabinet dit regelmatig onder de aandacht gebracht bij de ECB en de Europese Commissie, bijvoorbeeld in het eerdergenoemde gezamenlijke non-paper met Duitsland, Frankrijk, Italië en Spanje.
Mede naar aanleiding van deze inzet vindt er regelmatig een discussie in de Eurogroep plaats over de digitale euro. De Commissie heeft aangekondigd om in het voorjaar van 2023 met een wetgevend voorstel te komen over de digitale euro. Hierbij zal, naar verwachting, ook de verdere politieke discussie en besluitvorming over de wenselijkheid van de invoering van een digitale euro plaatsvinden. Het voorstel zal gebaseerd zijn op art. 133 van het Verdrag betreffende de werking van de EU, dat expliciet voorschrijft dat het Europees Parlement en de Raad, volgens de gewone wetgevingsprocedure, na raadpleging van de ECB, besluiten over de invoering van een digitale euro. Hierbij wordt de Tweede Kamer via de bestaande reguliere processen betrokken.
Momenteel bevindt de digitale euro zich bij de ECB nog in de onderzoeksfase. Deze fase duurt naar verwachting tot het najaar van 2023. Na deze fase zal de governing council van de ECB besluiten of de ECB zelf een noodzaak ziet om een digitale euro te ontwikkelen.

Vraag 10

Wat voor effect zou een digitale euro hebben op de vitaliteit van de bancaire sector in Nederland?

Het is nog te vroeg om de effecten van de digitale euro op de Nederlandse bancaire sector nader te duiden. Allereerst moeten de exacte ontwerpkenmerken van een digitale euro nog vastgesteld worden. Daarnaast zal de impact afhangen van de mate waarin gebruikers belang hechten aan specifieke kenmerken van de digitale euro en hoe dit zich verhoudt ten opzichte van beschikbare alternatieven zoals contant geld en bankdeposito’s.
Ik verwacht dat, als besloten wordt tot invoering van de digitale euro, banken en andere financiële dienstverleners als intermediair tussen ECB en eindgebruikers zullen fungeren. De digitale euro kan hiermee innovatie, diversiteit en concurrentie in de financiële sector aanjagen. De digitale euro kan bovendien dienen als een pan-Europese open basis-infrastructuur voor het betalingsverkeer. Private partijen, zoals banken en fintechs, kunnen met behulp van de digitale euro voor de hele eurozone nieuwe toepassingsmogelijkheden voor bank- en betaaldiensten gaan ontwikkelen. De digitale euro kan tevens de concurrentie in de financiële sector vergroten doordat het aanbieden van dienstverlening rond betaalrekeningen voor een bredere groep bedrijven mogelijk wordt. Dit kan in potentie de vitaliteit van de bancaire sector, zowel voor Nederland alsook het eurogebied, verbeteren. Tegelijkertijd dienen risico’s te worden gemitigeerd. De invoering van een digitale euro mag niet ten koste gaan van financiële stabiliteit en het monetaire transmissiemechanisme belemmeren.

Vraag 11

Kunt u garanderen dat de digitale euro geen opstapje is naar het uitfaseren van contant geld of het omzeilen van commerciële banken?

Ik heb meermaals aangegeven dat een digitale euro contant geld niet mag vervangen, waaronder in een gezamenlijk non-paper met Duitsland, Frankrijk, Italië en Spanje. De Europese Commissie12 en Europese Centrale Bank13 hebben dit ook meermaals aangegeven. In regelgeving op EU-niveau is reeds vastgelegd dat eurobiljetten14 en -munten15 wettig betaalmiddel zijn. Daarnaast is de Europese Commissie voornemens om begin 2023 met nieuwe voorstellen te komen om de positie van contant geld als wettig betaalmiddel te versterken.16

Vraag 12

Bent u bereid wettelijk vast te leggen dat contant geld altijd een betaalmogelijkheid moet blijven?

Zie antwoord vraag 11.

Vraag 13

Was het warme pleidooi van Koningin Máxima voor de digitale euro, in het licht van de variëteit aan aspecten en de vele onbekende factoren, enigszins voorbarig?

In haar speech heeft Koningin Máxima niet uitgesproken voorstander te zijn van de invoering van een digitale euro. Koningin Máxima heeft aangegeven dat digitaal centrale bankgeld in het algemeen voor financiële inclusie potentiële voordelen kent. Hierbij heeft Koningin Máxima evenwel aangegeven dat er ook risico’s zijn en dat verder onderzoek nodig is. Dit wordt ook beschreven in het door u aangehaalde artikel. Dit afgewogen standpunt is in lijn met de visie van het kabinet, zoals in antwoord op vraag 5 aangegeven.

Vraag 1

Kent u de alarmerende nieuwsberichten van de NOS («Driekwart Nederlandse studentendata opgeslagen bij Amerikaanse techbedrijven»1), Scienceguide2 en KNAW3 waaruit blijkt dat nu 3/4 van de gegevens van Nederlandse studenten in handen is van datacentra van commerciële Amerikaanse Tech bedrijven ten opzichte van 25% in 2015?

Ja.

Vraag 2

Erkent u dat de onafhankelijkheid en integriteit van universiteiten sterk in het geding is nu de gegevens grotendeels in handen zijn van Amerikaanse «tech bedrijven» als Amazon, Microsoft en Google en dat dit een ongewenste situatie is die onderzocht en gestopt dient te worden?

De onafhankelijkheid en integriteit van universiteiten is niet (per definitie) in het geding door het gebruik van clouddiensten. Het gebruik van zulke diensten is sterk groeiend vanwege de voordelen die het biedt. Instellingen moeten zich tegelijkertijd bewust zijn van de risico’s en van de afhankelijkheden die door zulke overeenkomsten kunnen ontstaan.
Ik vind dat de keuze voor leveranciers onderdeel is van de autonomie die universiteiten hebben. Bij elke afspraak tot commerciële dienstverlening bestaat een zekere afhankelijkheid. Deze is niet inherent beperkend voor de vrije keuze van universiteiten, en ondermijnt niet inherent de wetenschappelijke integriteit. Dergelijke risico’s moeten onderdeel zijn van de afweging van de instelling voordat en terwijl de dienst wordt afgenomen.
Verder is het belangrijk om open source alternatieven te verkennen, op nationaal en Europees niveau. Mijn voorganger heeft dit ook eerder in Brussel aangekaart bij de Europese Commissie en hen verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen4. Tegelijkertijd bevordert SURF het onderzoeken van mogelijke alternatieven. SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Zo is SURF actief in de European Open Science cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. SURF is continu met leden in gesprek over deze kwesties.
In mijn kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek5, ga ik dieper in op hoe wij de sector bij hun digitale veiligheid ondersteunen, ondanks het feit dat zij daar zelf verantwoordelijk voor zijn. Zo faciliteren wij Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen.6 Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF, sluiten aan op het advies van de Autoriteit Persoonsgegevens (AP).
Een eerder uitgevoerde DPIA van Microsoft maakte ook duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal maatregelen neemt om de risico’s te mitigeren. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. In algemene zin is het beheersen van risico’s ook een essentieel onderdeel in de Nederlandse Cybersecuritystrategie (NLCS) 2022–2028 die recent is gepubliceerd.7
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL.

Vraag 3

Ziet u ook de ernst van de gevaren in van het afstandsonderwijs dat halsoverkop in Coronatijd moest worden ingevoerd en kunt u deze in kaart brengen alsmede eventuele oplossingen?

Gedurende de lockdown was fysiek onderwijs zeer beperkt mogelijk. Om de studievoortgang van studenten te bewaken, zijn onderwijsinstellingen destijds tijdelijk overgestapt naar voornamelijk afstandsonderwijs. Volledig afstandsonderwijs kent nadelen, maar daardoor konden studenten gedurende de lockdown wel blijven studeren. Daarnaast is het bekend dat afstandsonderwijs risico’s met zich kan meebrengen rondom privacy en digitale veiligheid. Het is daarbij wel belangrijk om te noemen dat er vele soorten van afstandsonderwijs mogelijk zijn en dat zij ook een eigen risicoprofiel kennen. De risico’s moeten worden afgewogen, waarbij de voordelen kunnen opwegen tegen de nadelen.
Hoger onderwijsinstellingen werken aan de privacybescherming naar aanleiding van het advies van de AP. Daarin krijgen onderwijsinstellingen ondersteuning van SURF, bijvoorbeeld met betrekking tot DPIA’s. Eind juni 2022 publiceerde SURF het nieuwe «SURF audit toetsingskader Privacy 2022» waarmee een pilot wordt gestart bij de bij SURF aangesloten onderwijsinstellingen. Het toetsingskader zal door het hoger onderwijs worden gebruikt voor gegevensbeschermingsbeleid in overeenstemming met privacyregelgeving. De verwachting van SURF is dat het nieuwe toetsingskader inzicht zal geven in het privacy volwassenheidsniveau van het hoger onderwijs. Eind 2022 worden de resultaten van de pilot door SURF bekendgemaakt.

Vraag 4

Wat is er aan concrete maatregelen genomen sinds hoogleraren en internetexperts al jaren geleden waarschuwden voor het gevaar van dat data van studenten konden worden misbruikt voor commerciële en politieke doeleinden?

Door instellingen worden DPIA’s uitgevoerd om risico’s scherp te krijgen en te kunnen mitigeren. Daarnaast worden contractonderhandelingen met grote leveranciers in het onderwijs centraal gevoerd.8 Zo kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten en kunnen alle instellingen gebruikmaken van dezelfde contractvoorwaarden. We sluiten daarmee aan op het advies van de AP. In de Kamerbrief over het verhogen van digitale veiligheid in onderwijs en onderzoek van 14 juli jl. ga ik ook in op de genomen maatregelen9. Het risico dat statelijke actoren toegang krijgen tot gegevens van instellingen wordt door het kabinet tegengegaan met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen.10, 11
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL. SURF, koepels en marktpartijen trekken gezamenlijk op in de uitvoering en er wordt continu bekeken of er waarborgen kunnen worden verbeterd.

Vraag 5

Denkt u ook niet dat zolang de veiligheid van studentengegevens niet gegarandeerd kan worden, digitaal onderwijs beperkt dient plaats te vinden, mede in acht genomen dat digitaal onderwijs niet automatisch leidt tot beter onderwijs4?

Door de instellingen en de koepels wordt hard gewerkt aan het verhogen van de digitale weerbaarheid naar een niveau dat aantoonbaar veiligheid biedt en de continuïteit en kwaliteit van onderwijs en onderzoek waarborgt. Daarbij is 100 procent veiligheid moeilijk te garanderen. Om dit zo goed als mogelijk te bewerkstelligen worden gemeenschappelijke uitgangspunten voor de hele onderwijs en -onderzoeksector gehanteerd. Ook worden sectorspecifieke afspraken gemaakt, omdat de risico’s en de mate van volwassenheid tussen sectoren kunnen verschillen. In de Kamerbrief Verhogen digitale veiligheid onderwijs en onderzoek van 14 juli jl. heb ik uiteengezet welke maatregelen de instellingen hebben genomen en verder gaan nemen om de cyberweerbaarheid van hun instelling te verhogen.13 Het gaat hierbij om maatregelen ten aanzien van vergroten van bewustzijn, borgen van risicomanagement en kennis-en informatiedeling.
Het is de verantwoordelijkheid van scholen en instellingen om goed onderwijs te bieden en de risico’s die digitaal onderwijs met zich meebrengen in ogenschouw te nemen. Digitalisering kan helpen de onderwijskwaliteit te verbeteren, mits scholen en instellingen vanuit hun eigen onderwijskundige visie passende en doordachte keuzes maken. Wanneer instellingen ervoor kiezen om digitale hulpmiddelen in te zetten in hun onderwijs, dan zijn zij verantwoordelijk voor een zorgvuldige en weloverwogen omgang met persoonsgegevens, conform de AVG. Het is dan ook van groot belang dat gegevens van studenten en leerlingen veilig en verantwoord verwerkt worden door scholen en instellingen.

Vraag 6

Bestaan er plannen om universiteiten eigen programma’s en datacentra te laten ontwikkelen, zoals de Universiteit van Osnabrück het programma BigBlueButton heeft ontwikkeld5?

Nee, deze plannen zijn er niet. Wel helpt SURF om mogelijke Europese alternatieven te bevorderen of onderzoeken. SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Zo is SURF actief in de European Open Science Cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. SURF gaat continu met leden in gesprek over alternatieven om zo onder andere vendor lock-in tegen te gaan.
Overigens wordt BigBlueButton ook door Nederlandse onderwijsinstellingen ingezet. SURF biedt met Filesender een dienst voor het veilig en versleuteld online versturen van bestanden, via Nederlandse servers. Filesender is open source en SURF draagt actief bij aan de ontwikkeling hiervan. Andere voorbeelden van programma’s die in eigen beheer zijn ontwikkeld en vervolgens aan instellingen worden aangeboden zijn SURFconext, eduVPN, eduroam en SURFdrive.

Vraag 7

Kunt u deze vragen op tijd beantwoorden voor het begrotingsdebat in week 47?

Helaas is dit niet gelukt.

Vraag 1

Bent u bekend met het bericht «Studentgegevens ondanks kritiek massaal in de Amerikaanse cloud gezet»1?

Ja.

Vraag 2

Kunt u bevestigen dat op dit moment 75% van alle Nederlandse studentgegevens opgeslagen staat bij (Amerikaanse) big tech-cloudaanbieders? In hoeverre geldt dit ook voor onderzoeksgegevens en digitale lessystemen?

Eigen gegevens over het cloudgebruik door universiteiten zijn niet bekend bij het Ministerie van OCW. Instellingen zijn zelf eigenaar van data en «verwerkingsverantwoordelijke» zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ICT en het gebruik van cloud. Uiteraard moeten die samenwerkingen in lijn zijn met de AVG, waarin ook bepalingen over het delen van data met derde landen zijn opgenomen. De Autoriteit Persoonsgegevens (AP) ziet toe op de zorgvuldige omgang met persoonsgegevens in het onderwijs. Om het onderwerp public cloudgebruik verder op te pakken willen wij, in lijn met het Rijksbreed cloudbeleid 2022, sessies organiseren om het onderwerp verder uit te dragen. Hierbij willen wij graag maatschappelijk relevante organisaties, waaronder kennisinstellingen, uitnodigen. Daarnaast gaan we dit onderwerp verder oppakken in het kader van de Werkagenda Waardengedreven Digitalisering.
In de Kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek2, wordt door de Minister van OCW ook ingegaan op hoe de sector daarbij wordt ondersteund, bijvoorbeeld door het faciliteren van Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen.3 Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF en SIVON, sluiten aan op het advies van de AP.
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd door Versnellingsplan ICT4. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de onderwijs koepelorganisaties Universiteiten van Nederland (UNL) en de Vereniging Hogescholen (VH).

Vraag 3

Deelt u de mening dat deze situatie het risico op privacyschending, spionage en een verlies van strategische autonomie met zich meebrengt?

Het kabinet ziet de genoemde risico’s, en heeft daartoe reeds verschillende stappen gezet. Deze worden hierna kort uiteen gezet.
Voor wat betreft privacy worden er Data Protection Impact Assessments (DPIA’s) uitgevoerd en worden contractonderhandelingen met grote leveranciers in het onderwijs centraal gevoerd.5 Daarmee kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten en kunnen alle instellingen gebruikmaken van dezelfde contractvoorwaarden. Hiermee wordt aangesloten op het advies van de AP.
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL. SURF, koepels en marktpartijen trekken gezamenlijk op in de uitvoering en er wordt continu bekeken of er waarborgen kunnen worden verbeterd.
Voor wat betreft spionage weten we dat kennisinstellingen doelwit zijn van spionageactiviteiten. Een aantal staten voert een offensief programma tegen Nederlandse belangen en probeert onder andere aan unieke Nederlandse kennis (bijvoorbeeld onderzoeksgegevens) en technologieën te komen. Daarbij is in een aantal, veelal autoritaire staten, een nauwe verwevenheid tussen het bedrijfsleven en de overheid.6, 7 Deze risico´s adresseert het kabinet met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen.8c9
In de Nederlandse gedragscode wetenschappelijke integriteit is opgenomen dat kennisinstellingen een zorgplicht hebben voor een werkomgeving waarin goed onderzoek gewaarborgd wordt. Databeheer wordt daarin expliciet genoemd. In de Nationale Leidraad Kennisveiligheid is ook een hoofdstuk over digitale beschermingsmaatregelen en cyberveiligheid opgenomen. Zo worden instellingen die met sensitieve onderzoeksdata of resultaten werken gewezen op het nemen van maatregelen op het gebied van rubricering, autorisatie en de implementatie van specifieke organisatorische en technologische maatregelen om mogelijke aanvallen te detecteren en te monitoren om zodoende de risico’s beter te borgen.
Voor strategische autonomie heeft het kabinet op 8 november jl. de kabinetsbrede visie op de open strategische autonomie van de EU naar de Kamer gestuurd.10 Het kabinet werkt verder onder coördinatie van EZK aan een nadere invulling van de digitale autonomie van de digitale economie en infrastructuur. Deze invulling is naar verwachting in de loop van 2023 gereed.

Vraag 4

Welke afspraken maken Nederlandse (hoger)onderwijsinstellingen met techbedrijven bij het aangaan van contracten over bijvoorbeeld (economische) veiligheid en privacy? In hoeverre is hier überhaupt ruimte voor in de onderhandeling?

Onderwijsinstellingen zijn, conform de AVG, verantwoordelijk voor de omgang met persoonsgegevens en worden geacht hier zorgvuldig invulling aan te geven. Wanneer een instelling gebruik maakt van een product of dienst waarbij persoonsgegevens worden verwerkt moeten zij met de betreffende leverancier een verwerkersovereenkomst afsluiten waarin wordt vastgelegd welke persoonsgegevens voor welke doeleinden mogen worden verwerkt en onder welke voorwaarden dat gebeurt. Om de veiligheid van gegevensverwerkingen te waarborgen en te voorkomen dat een verwerking inbreuk maakt op de AVG, moet de verwerkingsverantwoordelijke de aan de verwerking inherente risico’s beoordelen en op grond van een objectieve en zo concreet mogelijke risicobeoordeling passende technische en organisatorische maatregelen nemen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd. Als een verwerking toch een hoog risico blijft inhouden dan is voorafgaand aan de verwerking een DPIA verplicht, zodat op basis daarvan maatregelen kunnen worden genomen om die risico’s te voorkomen of te reduceren. Zo maakte een eerder uitgevoerd assessment van Microsoft duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal maatregelen neemt om de risico’s te mitigeren. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. Met leveranciers van producten die veel gebruikt worden in het onderwijs, worden deze contracten centraal uitonderhandeld door SURF en worden dan ook afspraken gemaakt over veiligheid en privacy.11 Deze contracten gelden dan voor de hele sector zodat niet iedere instelling zelf deze onderhandelingen hoeft te doen en alle instellingen ook onder dezelfde voorwaarden producten kunnen gebruiken. Tevens is het omgaan met kennis uit gevoelige kennisdomeinen expliciet opgenomen in de Nationale Leidraad Kennisveiligheid.

Vraag 5

In hoeverre kunt u centrale kaders bieden aan onderwijsinstellingen die zien op het waarborgen van privacy, online veiligheid en strategische onafhankelijkheid in de samenwerking met cloudbedrijven? Ziet u hier voor uzelf een rol weggelegd?

In de antwoorden op vraag 2, 3 en 4 heb ik uiteengezet hoe het kabinet, en de Minister van OCW in het bijzonder, hiermee omgaan. In de kamerbrief over het verhogen digitale veiligheid onderwijs en onderzoek van 14 juli 2022 gaat de Minister dieper in op de stappen die gezamenlijk worden gezet.12

Vraag 6

Welke serieuze alternatieven zijn er voor onderwijsinstellingen, maar ook voor de rijksoverheid, voor het gebruik van cloudoplossingen van Amerikaanse techbedrijven?

Het kabinet zet zich er op in om door middel van verschillende initiatieven concurrentie op de markt voor clouddiensten te stimuleren. Door meer concurrentie kunnen alternatieve aanbieders van clouddiensten, waaronder Europese aanbieders, inspelen op de vraag vanuit onderwijsinstellingen en de rijksoverheid. Initiatieven die hieraan bijdragen zijn onder andere de DMA en de Dataverordening, de IPCEI Cloud Infrastructure and Services en het GAIA-X project.
Voorts wordt momenteel in het kader van de Cyberbeveiligingsverordening (Cyber Security Act) een Europees certificatieschema ontwikkeld voor de clouddiensten. De cyberbeveiligingsverordening is een Europese verordening, die een Europees kader introduceert op het gebied van cyberbeveiligingscertificering. De cyberbeveiligingsverordening maakt het mogelijk om op Europees niveau cyberbeveiligingscertificeringsregelingen (in de praktijk ook wel aangeduid als «certificatieschema’s») vast te stellen voor categorieën van ICT-producten, -diensten en -processen. In opdracht van de Europese Commissie wordt thans een cyberbeveiligingscertificeringsregeling voor de clouddiensten (de zgn. Europese Cloud certificering schema) met cyberbeveiligingsvoorschriften ontwikkeld. Naar verwachting zal dit schema medio 2023 worden opgeleverd. Na de implementatie hiervan zullen de cloudaanbieders binnen twee jaar moeten voldoen aan de vereiste security maatregelen.

Vraag 7

Wat is de status van de voorbereiding van de investeringsvoorstellen in het kader van de IPCEI Cloud2?

De Nederlandse investeringsvoorstellen voor IPCEI Cloud zijn op 4 april jl. bij de Europese Commissie ingediend. Het verplichte goedkeuringsproces voor de voorstellen neemt door de omvang en complexiteit van deze IPCEI meer tijd in beslag dan eerder aangenomen door alle betrokken partijen. De huidige verwachting is dat dit proces begin 2023 zal worden afgerond, waarna de Tweede Kamer geïnformeerd kan worden over de investeringsvoorstellen die voor subsidie in aanmerking komen.

Vraag 8

Bent u bereid om te onderzoeken of de rijksoverheid samen met onderwijsinstellingen initiatieven kan opstarten of ondersteunen die zien op het ontwikkelingen van eigen cloudoplossingen? Op welke manier zou u kunnen aanhaken bij Europese initiatieven?

SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Binnen de SURFcumulus cloud dienst van SURF bieden 13 leveranciers hun diensten aan. Dit betreft Nederlandse, Europese en Amerikaanse aanbieders, grote en kleinere leveranciers. Verder heeft SURF eigen clouddiensten, op eigen rekensystemen van SURF, waaronder de Nationale Supercomputer Snellius. Met SURFdrive, Research Drive en SURFfilesender, kunnen bestanden worden opgeslagen en verstuurd. Ook voert SURF projecten uit waarin verkenningen plaatsvinden binnen diverse toepassingsgebieden waarin wordt gekeken naar open source alternatieven, zoals voor een samenwerkingsomgeving – zoals officeapplicaties –, een leeromgeving, enquête tools en grafische software. De verkenningen moeten antwoord geven op vragen over de gebruiksvriendelijkheid, de toepasbaarheid binnen een bestaande organisatie, support en ondersteuning, beheer, security, privacy, mogelijkheden om te koppelen met andere onderwijssystemen en een duurzame en gezonde governance als het gaat om de betrouwbaarheid van de software en de community daaromheen.
De Minister van OCW heeft in 2021 heeft de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen.14 Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid.15 Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat.

Vraag 1

Wat is uw reactie op het bericht «Studentgegevens ondanks kritiek massaal in de cloud gezet»?1

Ik herken de bezorgdheid die uw Kamer hierover uit. Het gebruik van clouddiensten is sterk groeiend vanwege de voordelen die het biedt. Er zijn internationaal vele aanbieders, en het is afhankelijk van de leverancier en contractbepalingen of de privacy in het geding zou zijn of niet. Net als bij andere vormen van uitbesteding is het nodig de voordelen en de risico’s af te wegen. Dat is een afweging die een kennisinstelling zelf maakt. Dat maakt dat ik over digitale veiligheid, privacy en de daarbij horende risico’s al langer in gesprek ben met de sector.

Vraag 2

Waarom hebben het Ministerie van Onderwijs, Cultuur en Wetenschap, universiteiten en hogescholen de waarschuwingen van experts in de wind geslagen en driekwart van hun studentgegevens opgeslagen bij datacenters van Microsoft en Amazon?

Ik deel de stelling niet dat universiteiten en hogescholen de waarschuwingen in de wind hebben geslagen. In de gesprekken die ik met de sector voer, merk ik dat digitale veiligheid serieus wordt genomen. We maken gezamenlijk werk van digitale veiligheid. Een belangrijk voorbeeld zijn Data Protection Impact Assessments (DPIA’s). Dit zijn risicoanalyses die we samen met SURF, Kennisnet en SIVON faciliteren2 op producten die in het onderwijs veel gebruikt worden. Daardoor kunnen instellingen beter geïnformeerde afwegingen maken over de privacy van leerlingen en studenten.
Een eerder uitgevoerde DPIA van Microsoft maakte duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal mitigerende maatregelen neemt. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. In algemene zin is het beheersen van risico’s ook een essentieel onderdeel in de Nederlandse Cybersecuritystrategie (NLCS) 2022–2028 die recent is gepubliceerd.3
In meerdere Kamerbrieven heb ik uiteengezet welke maatregelen (hoger) onderwijsinstellingen precies nemen om de digitale veiligheid en de cyberweerbaarheid van de sector te vergroten, zo ook in mijn laatste Kamerbrief over digitale veiligheid4. Bij die maatregelen ligt prioriteit op het vergroten van bewustzijn rondom cyberdreigingen, het borgen van risicomanagement om meer inzicht te krijgen in de risico’s en deze op kosteneffectieve wijze te mitigeren én aandacht voor (keten-) samenwerking om kennis-en informatiedeling over risico’s, monitoring en detectie te vergroten. Verder is in de Nationale Leidraad Kennisveiligheid een hoofdstuk over cyberveiligheid opgenomen. Tot slot werkt SURF met de aangesloten instellingen, onderwijskoepels, ketenpartners en marktpartijen doorlopend aan het verbeteren en waarborgen van de digitale veiligheid.

Vraag 3

Erkent u dat het cloudgebruik omstreden is, omdat de privacy in het geding is? Welke mogelijke gevaren liggen op de loer door dit cloudgebruik?

Zoals ik bij vraag 1 schreef zijn er internationaal vele aanbieders, en het is afhankelijk van de leverancier en contractbepalingen of de privacy in het geding zou zijn of niet. Net als bij andere vormen van uitbesteding is het zinvol de voordelen en de risico’s af te wegen en dat doen de instellingen ook.
Om de veiligheid van gegevensverwerkingen te waarborgen en te voorkomen dat een verwerking inbreuk maakt op de AVG, moet de verwerkingsverantwoordelijke de aan de verwerking inherente risico’s beoordelen. Zo kan die op grond van een objectieve en zo concreet mogelijke risicobeoordeling passende technische en organisatorische maatregelen nemen. Die maatregelen moeten passen bij de grootte van het risico. Als een verwerking toch een hoog risico blijft inhouden, dan is voorafgaand aan de verwerking een DPIA verplicht, zodat op basis daarvan maatregelen kunnen worden genomen om die risico’s te voorkomen of te reduceren.
Mocht de verwerking van persoonsgegevens door Clouddiensten van buiten de Europese Unie plaatsvinden, dan is het verder belangrijk dat inzichtelijk wordt gemaakt hoe dit rechtmatig plaatsvindt. Een dergelijke verwerking kan rechtmatig zijn, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Daarbij is het van belang dat de richtsnoeren die op 18 juni 2021 zijn vastgesteld door het Europees Comité voor Gegevensbescherming (EDPB) worden gevolgd. Deze richtsnoeren beogen bedrijven en organisaties conform de AVG handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking van persoonsgegevens door derden.

Vraag 4

Waarom kiezen hogescholen en universiteiten ervoor om studentgegevens op te slaan bij datacenters van buitenlandse techreuzen? Bent u bereid om hier een stokje voor te steken?

Instellingen zijn zelf eigenaar van data en «verwerkingsverantwoordelijke» zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ICT en het gebruik van clouddiensten.
Instellingen moeten zeer zorgvuldig met persoonsgegevens omgaan en zij moeten de juiste technische en organisatorische maatregelen nemen om risico’s voor betrokkenen zoveel mogelijk te beperken. Daarbij moet geldende wet- en regelgeving worden nageleefd. Dat wordt onder andere geëffectueerd met de eerdergenoemde DPIA’s en geborgd met de implementatie van de Nationale Leidraad Kennisveiligheid. Zoals ik eerder noemde moeten instellingen gedetailleerde risicoanalyses uitvoeren. Op basis van die analyses kan SURF onderhandelen met leveranciers, om te borgen dat met name niet-Europese leveranciers zich aan Europese (en Nederlandse) wetgeving houden.
De Nederlandse onderwijswereld gebruikt, net als de rest van de maatschappij, op grote schaal de digitale diensten van een beperkte groep van grote Amerikaanse techbedrijven. In ons veld helpt SURF met het bevorderen of onderzoeken van mogelijke Europese alternatieven onder meer om vendor lock-in te voorkomen. Zo is SURF actief in de European Open Science Cloud van de EU en lid van GAIA-X. Daarnaast draait bijvoorbeeld SURFdrive, voor het opslaan en delen van data, op daar onderliggende Europese open software zoals ownCloud. Ook wordt momenteel, in het kader van de Cyberbeveiligingsverordening (Cyber Security Act), een Europees certificatieschema ontwikkeld voor de clouddiensten. De cyberbeveiligingsverordening is een Europese verordening, die een Europees kader introduceert op het gebied van cyberbeveiligingscertificering.

Vraag 5

Klopt het dat Amerikaanse opsporingsdiensten toegang kunnen hebben tot de studentgegevens van Nederlandse studenten? Welke andere (buitenlandse) instanties hebben inzage in deze gegevens?

Onder de AVG (GDPR) is doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte (EER) alleen toegestaan als dat land persoonsgegevens even goed beschermt als landen binnen de EER.5 Nationale wetgeving in de VS kent bevoegdheden voor inlichtingendiensten om toegang te verkrijgen tot persoonsgegevens van EU-burgers. Datadoorgifte tussen de EU en de Verenigde Staten (VS) was mogelijk via de EU-VS Privacy Shield afspraken. Op 16 juli 2020 heeft het Hof van Justitie van EU deze afspraken echter ongeldig verklaard. Het beschermingsniveau was onvoldoende. Dit betekent dat voor doorgifte van persoonsgegevens aan de VS, het EU-VS privacy shield niet meer gebruikt mag worden en de gegevensverantwoordelijke aanvullende waarborgen moet treffen.
Op 25 maart 2022 maakten president Von der Leyen en president Biden bekend dat ze een principeakkoord hebben bereikt over nieuwe afspraken voor datadoorgifte. Op 7 oktober 2022 ondertekende president Biden een Executive Order voor implementatie van deze afspraken. De Executive Order introduceert nieuwe bindende waarborgen om alle door het Hof van Justitie van de EU aan de orde gestelde punten aan te pakken, de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten te beperken en een Data Protection Review Court in te stellen.6
SURF werkt ook actief aan dit onderwerp. Binnen de Taskforce Beyond Privacy Shield werkt SURF samen met de onderwijs- en onderzoekssector om te bepalen hoe de sector het beste met deze situatie kan omgaan. Er wordt gezamenlijk gewerkt aan aanbevelingen en best practices voor een veilige internationale uitwisseling van persoonsgegevens en alternatieven voor het EU-VS Privacy Shield. SURF en de leden kunnen deze aanbevelingen en best practices gebruiken binnen de eigen organisatie.7
De Cloud Act en wet- en regelgeving uit andere landen maakt het in theorie mogelijk dat opsporingsdiensten toegang krijgen tot deze gegevens. Een risicobeoordeling kan als uitkomst hebben dat dat risico niet onacceptabel groot is. Echter, het is niet uitgesloten dat nadere regelgeving dit anders maakt. Aan het einde van dit jaar wordt namelijk onder meer nadere guidance verwacht van de EDPB (privacytoezichthouders van de EU lidstaten) aangaande internationale doorgifte van persoonsgegevens. Onder meer het Strategisch Leveranciersmanagement Microsoft (SLM) Rijk volgt deze ontwikkelingen op de voet.

Vraag 6

Bent u van mening dat studentgegevens niet door commerciële partijen bewaard moeten worden? Zo nee, waarom niet?

Universiteiten en hogescholen zijn vrij om de softwareleveranciers te kiezen die het beste bij hun activiteiten passen, of deze partijen nu een winstoogmerk hebben of niet. Uiteraard zijn de eerder genoemde waarborgen en risicoanalyses belangrijk bij het kiezen van leveranciers.

Vraag 7

Van welke andere commerciële bedrijven zijn universiteiten en hogescholen nog meer afhankelijk? Vindt u dat deze commerciële afhankelijkheid onwenselijk is en de vrije keuze van universiteiten en wetenschappelijke integriteit ondermijnt?

Een lijst van alle commerciële bedrijven waarmee instellingen zaken doen kan ik niet te geven. De keuze voor leveranciers is onderdeel van de autonomie die universiteiten en hogescholen hebben. Bij elke afspraak tot commerciële dienstverlening bestaat een zekere afhankelijkheid. Deze is niet inherent beperkend voor de vrije keuze van universiteiten, en ondermijnt niet inherent de wetenschappelijke integriteit. Dergelijke risico’s moeten onderdeel zijn van de afweging van de instelling, voordat en terwijl de dienst wordt afgenomen. Dit geldt voor commerciële en voor niet-commerciële dienstverlening.
Verder is het belangrijk om open source alternatieven te verkennen, op nationaal en Europees niveau. Dit heeft mijn voorganger ook eerder in Brussel aangekaart bij de Europese Commissie en hen verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen.

Vraag 8

Bent u bereid om in samenspraak met deskundigen en onderwijsinstellingen de mogelijkheid van een alternatief in eigen beheer te onderzoeken, zodat hogescholen en universiteiten niet meer afhankelijk zijn van techreuzen?

Zoals ik bij vraag 4 benoemde voert SURF projecten uit waarin wordt gekeken naar open source alternatieven, o.a. voor open source leeromgeving, open source samenwerkingsomgeving (waar de bekende officeapplicaties incl. videobellen een subonderdeel van kunnen zijn), open source enquête tools en meer keuzes in grafische software, ook in open source varianten. De verkenningen moeten antwoord geven op vragen over o.a. de gebruiksvriendelijkheid, de toepasbaarheid binnen een bestaande organisatie, support en ondersteuning, beheer, security, privacy, betrouwbaarheid en kansen van die software in relatie tot andere onderwijssystemen.
Mijn voorganger heeft de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen.8 Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid.9 Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat.

Vraag 9

Kunt u een overzicht geven van de bedragen die worden overgemaakt naar deze techreuzen door hogescholen en universiteiten voor de data-opslag?

Het is niet mogelijk om een dergelijk overzicht te geven, omdat het veld decentraal georganiseerd is en de instellingen autonoom keuzes maken. Dergelijke afspraken worden niet bij OCW gemeld.

Vraag 10

Bent u bereid om met hogescholen en universiteiten in gesprek te gaan om een einde te maken aan het opslaan van studentgegevens bij techreuzen?

In dit vraagstuk vind ik het niet zozeer van belang of de gegevens bij een «techreus» zijn opgeslagen of bij een andere commerciële of niet-commerciële aanbieder. Het opslaan van gegevens in de cloud kent, naast risico’s, ook voordelen voor de instellingen. Ik ben bereid om, naast de inspanningen die ik eerder noemde, in de periodieke gesprekken die ik met de instellingen voer, het gesprek aan te gaan over het opslaan van studentgegevens bij derden. Een einde maken aan het extern opslaan van gegevens is daarbij echter geen uitgangspunt door de autonomie die instellingen hebben en de risicoanalyses en maatregelen die door de instellingen worden toegepast.

Vraag 1

Bent u bekend met het artikel «Studentgegevens ondanks kritiek massaal in de Amerikaanse cloud gezet»?1

Ja.

Vraag 2

Heeft u, in het kader van kennisveiligheid en als stelselverantwoordelijke, eigen gegevens over de aard en omvang van cloudgebruik door universiteiten? Komen die overeen met de gegevens die deze internationale studie heeft gevonden?

Eigen gegevens over het cloudgebruik door universiteiten heb ik niet. Instellingen zijn zelf eigenaar van data en «verwerkingsverantwoordelijke» zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Ze zijn dan ook vrij en zelf verantwoordelijk voor het vormgeven en aangaan van samenwerkingen op het gebied van ICT en het gebruik van clouddiensten. Instellingen moeten zeer zorgvuldig met persoonsgegevens omgaan en zij moeten de juiste technische en organisatorische maatregelen nemen om risico’s voor betrokkenen zoveel mogelijk te beperken. De Autoriteit Persoonsgegevens (AP), waarin ook bepalingen over het verstrekken van data aan derde landen zijn opgenomen, ziet toe op de zorgvuldige omgang met persoonsgegevens in het onderwijs. Wanneer een derde partij wordt ingezet bij de verwerking van persoonsgegevens, zal elke instelling zich ervan moeten vergewissen dat zij enkel een beroep doet op partijen die voldoende waarborgen bieden, om zo te kunnen voldoen aan de vereisten van de AVG. De AP ziet toe op de zorgvuldige omgang met persoonsgegevens in het onderwijs.

Vraag 3

Bent u het eens met de auteur en de stellers van eerdere noodkreten vanuit universiteiten en de Koninklijke Nederlandse Akademie van Wetenschappen (KNAW), dat het risicovol is om universiteiten afhankelijk te laten zijn van techbedrijven voor hun gegevensbeheer?

Het kabinet is zich bewust van de risico’s die voortkomen uit de afhankelijkheid en marktmacht van grote IT dienstverleners. Juist omdat we de mogelijke risico’s erkennen, zetten we als kabinet in op goede risicoanalyses en de bevordering van concurrentie. Ook brengen we ons beleid en dat van het veld in lijn met Europese Verordeningen op dit gebied, waaronder de Cyber Security Act. Zie voor meer details de antwoorden op de volgende vragen.
In mijn kamerbrief van 14 juli 2022, over het verhogen van digitale veiligheid in onderwijs en onderzoek2, ga ik dieper in op hoe wij de sector bij hun digitale veiligheid ondersteunen, wat niet wegneemt dat zij daar uiteindelijk zelf verantwoordelijk voor zijn. Zo faciliteren wij Data Protection Impact Assessments (DPIA’s), op producten die in het onderwijs veel gebruikt worden. Daarmee geeft het kabinet uitvoering aan de motie van de leden Kwint en Van Meenen.3 Door de DPIA’s kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten. De DPIA’s, waarbij de instellingen worden ondersteund door SURF, sluiten aan op het advies van de AP.
Een eerder uitgevoerde DPIA van Microsoft maakte ook duidelijk dat er voor het gebruik van bepaalde Microsoft-producten geen grote risico’s overblijven, mits de gebruiker een aantal mitigerende maatregelen neemt. Bij het assessment van Google zijn privacyrisico’s geconstateerd, met name over hun omgang met metadata. Vervolgens zijn met Google afspraken gemaakt over het mitigeren van deze geconstateerde risico’s. In algemene zin is het beheersen van risico’s ook een essentieel onderdeel in de Nederlandse Cybersecuritystrategie (NLCS) 2022–2028 die recent is gepubliceerd.4
Verder is op 11 mei 2022 het «Referentiekader privacy en ethiek voor studiedata» voor verantwoord gebruik van studiedata gepubliceerd. Hierin zijn gezamenlijke kaders bepaald die zorgvuldige omgang met studiedata en studentgegevens bevorderen. Het referentiekader is omarmd door de VH en UNL.

Vraag 4

Vindt u dat hierin een risico schuilt op misbruik van data van studenten en docenten door Big Tech?

Het gebruik van clouddiensten is sterk groeiend vanwege de voordelen die het biedt. Er zijn internationaal vele aanbieders en ook SURF biedt een mix van eigen clouddiensten en aanbod van marktpartijen. Het is afhankelijk van de leverancier en de contractbepalingen of de privacy van gebruikers in het geding zou zijn of niet. Net als bij andere vormen van uitbesteding is het nodig de voordelen, nadelen en de risico’s af te wegen.
Als onderwijsinstellingen voor een bepaald platform kiezen, zijn zij verantwoordelijk voor een zorgvuldige omgang met de persoonsgegevens van leerlingen, studenten en docenten en de naleving van privacywetgeving, waarvan de AVG de belangrijkste is. Instellingen moeten onder meer zorgdragen voor het opstellen van informatiebeveiligings- en privacybeleid, de aanstelling van een functionaris voor de gegevensbescherming, de inrichting van toegangs- en beheerrechten in ICT-systemen, de logging hiervan, de uitvoering van risicoanalyses (waarbij prioriteit wordt gegeven aan het analyseren van de diensten die op grote schaal worden gebruikt) en het afsluiten van verwerkersovereenkomsten met leveranciers.5 SURF ondersteunt de instellingen bij het maken van deze afwegingen en ook in de NLCS wordt de uitvoering van risicoanalyses gestimuleerd. De AP kan op verzoek een advies geven en houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.

Vraag 5

Ziet u daarnaast een risico op te grote economische afhankelijkheid van universiteiten van Big Tech?

Het kabinet is zich bewust van de risico’s die voortkomen uit de marktmacht van grote IT dienstverleners. De Autoriteit Consument en Markt (ACM) heeft recent een marktstudie uitgevoerd naar de markt voor clouddiensten.6De ACM benoemt daarin het ingesloten raken van gebruikers (lock-in effecten) als een van de belangrijkste risico’s in deze markt. Daarnaast benoemt de ACM dat de grootste actieve spelers op de markt verschillende diensten aanbieden in de keten, waarmee het moeilijk concurreren is voor kleinere aanbieders van clouddiensten. En doordat het voor gebruikers moeilijk is om over te stappen naar een andere aanbieder en er steeds minder aanbieders zijn, worden ze steeds afhankelijker van de aanbieder. Dit geldt voor burgers en voor universiteiten. Hierdoor heeft de aanbieder van clouddiensten op de langere termijn minder prikkels om betere of goedkopere diensten aan te bieden. Mede vanwege dit risico zet Nederland zich al langer in voor meer concurrentie in digitale markten, waaronder de markt voor clouddiensten. Daar ga ik dieper op in bij vraag negen.

Vraag 6

Bent u zich bewust van het spionagerisico dat schuilt in het opslaan van onderzoeksgegevens in systemen die onder wetgeving van een ander land vallen? Welke afspraken zijn gemaakt in het kader van cyberveiligheid met universiteiten over het opslaan van onderzoeksgegevens op deze manier?

Ja, het kabinet is zich van dit risico bewust. Het kan voorkomen dat kennisinstellingen doelwit zijn van spionageactiviteiten. Een aantal staten voert een offensief programma om bijvoorbeeld aan unieke Nederlandse kennis (zoals onderzoeksgegevens) en technologieën te komen. Daarbij is in een aantal, veelal autoritaire staten, een nauwe verwevenheid tussen het bedrijfsleven en de overheid., 7, 8 Deze risico´s adresseert het kabinet met de aanpak Kennisveiligheid en de aanpak Tegengaan Statelijke Dreigingen., 9, 10
In de Nederlandse gedragscode wetenschappelijke integriteit is opgenomen dat kennisinstellingen een zorgplicht hebben voor een werkomgeving waarin goed onderzoek gewaarborgd wordt. Databeheer wordt daarin expliciet genoemd. Bovendien is in de Nationale Leidraad Kennisveiligheid ook een hoofdstuk over digitale beschermingsmaatregelen en cyberveiligheid opgenomen. Zo worden instellingen die met sensitieve onderzoeksdata of resultaten werken gewezen op het nemen van maatregelen op het gebied van rubricering, autorisatie en de implementatie van specifieke organisatorische en technologische (veiligheids-) maatregelen.

Vraag 7

Zijn er specifiek afspraken die voorkomen dat kennis uit gevoelige kennisdomeinen, zoals in het geval van dual-use-producten, op die manier worden opgeslagen? Zo nee, bent u bezig met het opstellen van afspraken?

Ja, zulke afspraken zijn gemaakt door mijn collega M.BHOS van BZ. Navraag bij haar leert dat de overdracht van dual-use-software en -technologie naar buiten het douanegebied van de Europese Unie aan exportcontrole wordt onderworpen. Dit staat in de herziene EU dual-use-verordening 2021/821. Hieronder wordt onder andere (en niet uitsluitend) overdracht via de cloud verstaan. De wijze waarop deze controle kan en zou moeten plaatsvinden, is momenteel onderdeel van besprekingen in EU-verband over de implementatie van de dual-use-verordening.
Nederland heeft reeds beleid omtrent export via de cloud geïmplementeerd. Voor de export vanuit Nederland van dual-use-kennis en -technologie gelden dezelfde regels als voor de export van goederen en apparatuur. Aan de opslag van dual-use-technologie worden daarom ook specifieke eisen gesteld. Deze informatie moet volgens de industriestandaarden worden opgeslagen. Deze industriestandaarden zijn bedoeld om de onrechtmatige toegang tot deze data te voorkomen. Het Ministerie van Buitenlandse Zaken heeft hierover een factsheet11 opgesteld voor het bedrijfsleven en is hierover blijvend in gesprek met de industrie.

Vraag 8

Op welke manier is een beheersing van bovengenoemde risico’s verwerkt in de nieuwe aanpak kennisveiligheid voor het hoger onderwijs?

De aanpak kennisveiligheid bestaat uit een palet aan beleidsmaatregelen die elkaar aanvullen. Een van de maatregelen is de Nationale Leidraad Kennisveiligheid, waarin de bovengenoemde risico’s en de mitigatie daarvan wordt behandeld. De Leidraad gaat onder andere in op het toetsen en inschatten van risico’s, risicomanagement en cyberveiligheid. Eind dit jaar gaat een externe audit van start om bij de universiteiten en hogescholen om te toetsen hoe ver zij zijn met de implementatie van de Leidraad. Zie ook mijn antwoord bij vraag 9.

Vraag 9

Welke stappen onderneemt u om economische onafhankelijkheid en kennisveiligheid te borgen?

Ik zal in het onderstaande antwoord eerst ingaan op kennisveiligheid en daarna economische afhankelijkheid.
De maatregelen op het gebied van kennisveiligheid zijn te verdelen in drie onderdelen. Ten eerste zet het kabinet in op het versterken van bewustzijn bij en zelfregulering door de kennisinstellingen. De rijksoverheid heeft samen met kennisinstellingen de Nationale Leidraad Kennisveiligheid opgesteld. Over de implementatie van de maatregelen in deze leidraad zijn afspraken gemaakt in het bestuursakkoord hoger onderwijs en wetenschap. Onderdeel van die afspraken is dat kennisinstellingen op systematische wijze risicoanalyses uitvoeren op kennisveiligheid, waarna zij rapporteren aan hun Raden van Toezicht. Ik spreek vervolgens met de Raden van Toezicht gezamenlijk over de bevindingen. Op de implementatie van de Leidraad, waar de risicoanalyse onderdeel van uitmaakt, wordt een externe audit uitgevoerd. Ook het Rijksbrede Loket Kennisveiligheid en de bestuurlijke kennisveiligheidsdialoog dragen bij aan bewustwording en zelfregulering op dit thema.
Ten tweede zet het kabinet in op het instellen van een toetsingsmechanisme voor de meest sensitieve kennisgebieden. Zoals in de laatste voortgangsrapportage over kennisveiligheid al werd aangekondigd, zal het toetsingskader op zijn vroegst in 2023 in werking treden, gezien invoering van de maatregel complex en ingrijpend is. Het kabinet onderstreept daarbij het belang van zorgvuldigheid en van draagvlak onder de Nederlandse kennisinstellingen.
Ten derde zet het kabinet in, met gelijkgezinde landen, op afstemming en samenwerking in de EU en internationaal op het gebied van kennisveiligheid. Eind dit jaar ontvangt de Kamer een brief waarin de voortgang van de kennisveiligheidsmaatregelen wordt geschetst.
Op het gebied van economische afhankelijkheid heeft het kabinet zich de afgelopen jaren sterk gemaakt voor het aanpakken van de macht van Big Tech, via inzet voor de Digital Markets Act (DMA). De DMA gaat gelden voor poortwachters, dit zijn platforms waar gebruikers niet of nauwelijks meer omheen kunnen. Deze Europese regelgeving heeft als doel om gebruikers te beschermen en te zorgen voor meer concurrentie op digitale markten. De DMA zal onder andere voor clouddiensten gaan gelden en bevat diverse verplichtingen waar poortwachters die clouddiensten aanbieden zich aan moeten houden. Poortwachters mogen bijvoorbeeld de mogelijkheid voor gebruikers van clouddiensten om over te stappen naar een andere aanbieder niet belemmeren. In een marktstudie naar de markt voor clouddiensten noemt de ACM de DMA als een van de instrumenten die kan bijdragen aan het verminderen van afhankelijkheid en het stimuleren van concurrentie in de cloudmarkt.12 De DMA is in september aangenomen door het Europees Parlement en de Raad. Vanaf 2024 zullen de verplichtingen uit de DMA gaan gelden voor aangewezen poortwachters.
Ook de aankomende Dataverordening zal naar verwachting bijdragen aan concurrentie in de cloudmarkt, door het wegnemen van financiële, contractuele en technische barrières om tussen clouddiensten over te stappen. Nederland zet hier ook op in bij de onderhandelingen over de Dataverordening. Het verlagen van deze barrières zal op den duur de economische en strategische positie van Nederland en Europa versterken. Er wordt ook geïnvesteerd in de ontwikkeling van alternatieve cloudoplossingen via bijvoorbeeld de IPCEI Cloud Infrastructure and Services.
Daarnaast heeft mijn voorganger de Europese Commissie verzocht om de ontwikkeling van openbare opensource alternatieven voor grote particuliere digitale platforms te ondersteunen.13 Vooralsnog heeft dit in EU-verband niet tot concrete vervolgacties op onderwijsgebied geleid.14 Nederland zal hiervoor aandacht blijven vragen. Ook zal Nederland een gezonde(re) marktwerking, publieke waarden en onderwijskwaliteit blijven agenderen in het Europese debat.

Vraag 10

Kunt u deze vragen beantwoorden voor de begrotingsbehandeling van Onderwijs, Cultuur en Wetenschap en tevens meenemen in de update over de nieuwe aanpak kennisveiligheid die is toegezegd voor het einde van dit jaar?

Ja.

Vraag 11

Kunt u de vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Internet kan tientallen euro’s goedkoper in Nederland»?1

Ja.

Vraag 2

Herkent u de suggestie die het artikel wekt, dat de prijzen in Nederland voor toegang tot het internet veel hoger zijn dan in andere relevante landen met vergelijkbare open en kennisintensieve economieën? Zo ja, hoe heeft deze prijs zich de afgelopen jaren ontwikkeld? Zo nee, waarom niet?

Uit internationaal vergelijkende onderzoeken blijkt dat de prijzen voor internettoegang in Nederland relatief hoog zijn.2 Uit de Europese Digital Economy and Society Index (DESI) komt naar voren dat het prijsniveau in Nederland zich de afgelopen jaren richting het EU-gemiddelde beweegt maar daar nog altijd boven ligt. In de tabel is de breedbandprijsindex van de top 4 van landen in de DESI weergegeven (hogere prijzen vertalen zich in een lagere score op deze indicator).
Prijsindex breedband (score 0–100)
DESI 2020
DESI 2021
DESI 2022
Finland
DESI: 1
connectiviteit: 8
75
74
79
Denemarken
DESI: 2
connectiviteit: 1
61
60
58
Nederland
DESI: 3
connectiviteit: 2
56
61
68
Zweden
DESI: 4
connectiviteit: 9
65
69
76
EU
64
69
73

Vraag 3

Hoe verhouden deze prijzen voor toegang tot het internet zich tot de zin in het coalitieakkoord: «Nederland wordt het digitale knooppunt van Europa en krijgt robuust, supersnel en veilig internet in alle delen van het land»?

Deze ambitie in het coalitieakkoord richt zich – naast het behouden en verder versterken van de positie van Nederland als digitaal knooppunt in Europa – in de eerste plaats op de beschikbaarheid van snel internet in alle delen van het land, inclusief de resterende buitengebieden waar nu nog niet overal snel internet is uitgerold.3 Uiteraard moet snel internet niet alleen beschikbaar zijn in de zin dat de infrastructuur aanwezig is, maar moet het afnemen van internettoegangsdiensten ook beschikbaar zijn tegen een redelijke prijs, oftewel betaalbaar zijn. Hoge prijzen leiden ertoe dat consumenten, ondanks de zeer hoge beschikbaarheid van snel internet in Nederland, relatief lage snelheden afnemen. Meer dan 99% van de huishoudens in Nederland kan beschikken over een vaste verbinding van tenminste 100 Megabit per seconde (Mbps), maar slechts 54% van de huishoudens neemt dit af als abonnementsnelheid.4 Nederland scoort in de DESI-index de tiende plaats op het percentage huishoudens dat tenminste 100 Mbps afneemt.

Vraag 4

Herkent u het beeld, zoals geschetst in het artikel, dat toetreding tot de internetmarkt belemmerend kan zijn voor nieuwe partijen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Op grond van de Europese Telecomcode (richtlijn (EU) 2018/1972) is het aan de onafhankelijke markttoezichthouder, in Nederland de ACM, om een oordeel te vellen over de concurrentie op de internetmarkt. In het besluit van de ACM van 25 augustus jl.5 concludeert de ACM dat de internetmarkt zich kenmerkt als oligopolie en dat de prijzen voor internettoegang in Nederland relatief hoog zijn. Daarom heeft de ACM toezeggingen van KPN en Glaspoort inzake verbeterde toegangstarieven en -voorwaarden bindend verklaard in dit besluit. De ACM werkt momenteel aan een nieuwe marktanalyse.6 In de marktanalyse zal de ACM rekening houden met de verbeterde toegangstarieven en -voorwaarden waar KPN en Glaspoort aan gebonden zijn op grond van het besluit van 25 augustus.

Vraag 5

Erkent u dat het van belang is dat de Autoriteit Consument & Markt (ACM) snel de onderzoeksresultaten van de marktanalyse publiceert op basis waarvan de openstelling kan worden bewerkstelligd? Wanneer verwacht u de resultaten?

Ja, waarbij zorgvuldigheid voorop staat. De ACM heeft mij laten weten dat deze grondige marktanalyse meer tijd vergt dan in augustus was voorzien en niet meer voor het einde van het jaar zal worden gepubliceerd. De ACM streeft ernaar de marktanalyse zo spoedig mogelijk te publiceren voor consultatie.

Vraag 6

Deelt u de mening dat het wenselijk is dat het internet door een gezonde en open markt betaalbaar, toegankelijk en aantrekkelijk is, zodat iedereen meegenomen kan worden in de digitaliserende samenleving? Zo ja, wat gaat u hieraan doen? Zo nee, waarom niet?

Ja. Het is mijn rol om te zorgen voor goede wettelijke kaders die de ACM in staat stellen de rol als onafhankelijk markttoezichthouder goed te kunnen vervullen. Nederland heeft zich bij de Europese onderhandelingen over de Telecomcode (richtlijn (EU) 2018/1972) met succes ingezet voor een goed reguleringsinstrumentarium voor de ACM en een voortvarende implementatie daarvan in de Telecommunicatiewet.7 Het is aan de ACM als onafhankelijk markttoezichthouder om te bepalen welke regulering zij passend acht om de concurrentie op de internetmarkt te waarborgen, en vervolgens aan de rechter om de ACM-besluiten te toetsen. Ik volg dit nauwlettend gezien het grote belang van goede concurrentie, betaalbaarheid en keuzevrijheid op de Nederlandse internetmarkt.

Vraag 7

Bent u bereid om met een voorstel te komen, mede op basis van het onderzoek van de ACM, om barrières en belemmeringen weg te nemen zodat de markt toegankelijker wordt voor toetreders en consumenten hiervan kunnen profiteren? Zo ja, wanneer kan de Kamer dit voorstel ontvangen? Zo nee, waarom niet?

Deze voorstellen heeft uw Kamer eerder ontvangen in de vorm van de twee wetsvoorstellen waarmee de Europese Telecomcode is geïmplementeerd in de Telecommunicatiewet8 en die beiden als hamerstuk door uw Kamer zijn aangenomen. Hiermee is onder andere een nieuw instrument voor toegangsregulering geïmplementeerd waar Nederland zich in Europa sterk voor heeft gemaakt en zijn overstapdrempels om te wisselen van internetaanbieder verder verlaagd. Het toepassen van het reguleringsinstrumentarium geschiedt op grond van de Telecomcode door de ACM als onafhankelijk markttoezichthouder.