Kamervragen

Alle

7 maart 2022 - 30 juni 2022

115 dagen

Het bericht dat de clouddienst Microsoft niet gebruikt kan worden voor de uitwisseling of opslag van gevoelige of bijzondere persoonsgegevens
	Lisa van Ginneken (D66)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. AGConnect, 22 februari 2022, «Teams, Onedrive en Sharepoint onveilig …
2. https://www.recht.nl/nieuws/privacyrecht/187414/schrems-ii-arrest-ver…

Vraag 1

Hoe oordeelt u over dit bericht? Kunt u daarbij ingaan op het feit dat Amerikaanse inlichtingendiensten Microsoft en andere Amerikaanse clouddiensten kunnen dwingen om op basis van wetgeving data van Nederlandse burgers te overhandigen?1

Het is goed dat dit soort grootschalige Data Protection Impact Assessments (DPIA´s) op veelgebruikte diensten, zoals in dit geval die van Microsoft, op verzoek van onder meer het Rijk worden uitgevoerd en breed beschikbaar worden gesteld. Op deze manier hebben organisaties in de samenleving baat bij het verrichte werk.
Daarbij is van belang te benadrukken dat de DPIA niet indiceert dat er geen gebruik meer gemaakt kan worden van de onderzochte diensten van Microsoft. Er worden risico’s gesignaleerd die raken aan de toegang tot overheidsdiensten, maar ook oplossingen geïdentificeerd om dit risico te mitigeren. Dit kan bijvoorbeeld door het gebruik van eigen encryptiesleutels die door de organisatie zelf – en dus niet door Microsoft – worden beheerd.
Er kunnen op basis van de DPIA over deze clouddienst geen algemene conclusies worden getrokken over alle Amerikaanse clouddiensten en de relatie met inlichtingendiensten. Per dienst kan immers verschillen wat de specifieke risico´s van gegevensoverdracht zijn. Als het gebruik van een dienst een gegevensoverdracht meebrengt is het belangrijk in kaart te brengen wat de specifieke risico´s zijn en deze te mitigeren. Om dat goed te doen kunnen partijen een zogeheten Data Transfer Impact Assessment (DTIA) uitvoeren. De wetgeving in het land waar de gegevens naartoe gaan speelt daarbij een belangrijke rol.
Wat meer algemeen wel van belang is om te benadrukken is dat de toegang tot gegevens van Europese burgers door Amerikaanse overheidsdiensten een belangrijke rol speelt in het Schrems-II arrest van het Hof van Justitie van de Europese Unie (HvJEU). Daarin heeft het HvJEU het «adequaatheidsbesluit»2 voor de VS ongeldig heeft verklaard, onder meer vanwege zorgen omtrent overheidstoegang tot persoonsgegevens in de VS. Recent is er door de Europese Commissie en de VS een principeakkoord gesloten welk de basis zou kunnen vormen voor een nieuw adequaatheidsbesluit.3 Onderdeel daarvan is onder meer dat de VS stappen zal zetten om de privacy van Europese burgers te beschermen.4 In de komende maanden zal duidelijk worden welke precieze maatregelen de VS zal nemen.
De Autoriteit Persoonsgegevens heeft aangegeven dat het opnemen «standard contractual clauses» het ontbreken van adequaatsheidsbesluit voor internationale doorgifte kan ondervangen.5 Voor relevante Microsoft (cloud)diensten en recent ook Google Workspace is dit door SLM Rijk ook gedaan.
Als laatste wil ik onder de aandacht brengen dat de Europese gegevensbeschermingsautoriteiten momenteel een gezamenlijk onderzoek uitvoeren naar het gebruik van clouddiensten door publieke sector organisaties.6
Vraag 2

Deelt u de mening dat het gebruik van Amerikaanse clouddiensten zoals Microsoft een inbreuk op de privacy van de Nederlandse burgers tot gevolg kan hebben zoals ook omschreven in het Schrems arrest van het Europese Hof van Justitie?2

Dat er specifieke zorgen bestaan over de gegevensbeschermingsrisico’s bij het gebruik van Amerikaanse clouddiensten begrijp ik, specifiek ook in het licht van de overwegingen van het HvJEU in het Schrems-II arrest. Precies met die zorgen in het achterhoofd worden DPIA´s en DTIA´s als die in het door u aangehaalde bericht worden besproken uitgevoerd.
Het gaat mij echter te ver, zoals ook in antwoord op vraag 1 aan de orde komt, om te stellen dat het gebruik van «Amerikaanse Clouddiensten» per definitie een privacy schending oplevert. We hebben in EU-verband strikte regels om onze privacy te beschermen, specifiek ook via de Algemene Verordening Gegevensbescherming. Daar moeten alle partijen die zich aan houden, ook Amerikaanse clouddiensten die onder het AVG-regime persoonsgegevens verwerken. Per geval moet worden bezien of en hoe deze diensten rechtmatig gebruikt kunnen worden.
Vraag 3

Deelt u daarom de mening, ook van Privacy Company, dat het gebruik van Amerikaanse clouddiensten bij overheidssystemen en andere gevoelige sectoren als universiteiten niet gewenst is wanneer dit over de uitwisseling of opslag van gevoelige ofwel bijzondere persoonsgegevens gaat? Zo ja, kunt u aangeven welke concrete maatregelen u neemt om dit gebruik te verminderen en daarbij specifiek ingaan op de inzet van versleuteling? Zo nee, kunt u verder uitweiden waarom het bovengenoemde niet weg te nemen risico wel toelaatbaar zou zijn?

Ik kan dergelijke algemene conclusies over alle Amerikaanse clouddiensten niet onderschrijven. Daarbij komt dat die conclusie ook niet voortvloeit uit de voorliggende DPIA. Deze indiceert namelijk dat er maatregelen moeten worden genomen om te voorkomen dat er bijzondere persoonsgegevens worden verwerkt in de onderzochte diensten van Microsoft. Hiertoe kunnen verschillende maatregelen worden genomen. Strategisch Leveranciersmanagement Rijk (SLM Rijk) heeft hierover nader advies uitgebracht.8 Als deze maatregelen in acht worden genomen kunnen deze diensten in principe in overeenstemming met de AVG worden gebruikt.
Daarnaast zal SLM Rijk er bij Microsoft op aandringen dat end to end-encryptie (E2EE) voor groepsgesprekken in Microsoft Teams wordt gerealiseerd, zodat Microsoft Teams ook geschikt kan worden gemaakt voor verwerking van bijzondere persoonsgegevens in het geval daarvoor een juridische grondslag aanwezig is bij de organisatie die Microsoft Teams inzet.
Vraag 4

Kunt u uitweiden over de verschillende overwegingen wat betreft de voor- en nadelen van het gebruik van niet-Europese clouddiensten bij overheidssystemen en andere gevoelige sectoren voor de uitwisseling of opslag van gevoelige of bijzondere persoonsgegevens?

Zoals aangekondigd in de I-strategie Rijk 2021–2025 wordt er momenteel een rijksbreed strategisch cloudbeleid ontwikkeld en worden handreikingen/richtlijnen ontwikkeld voor het gebruik van clouddiensten.9 In deze strategie wordt ook ingegaan op de uitwisseling van gegevens met derde landen.
Daarnaast voeren zoals hiervoor aangegeven de Europese gegevensbeschermingsautoriteiten momenteel een gezamenlijk onderzoek uit naar het gebruik van clouddiensten door publieke sector organisaties. Het is nog onzeker hoe zij de risico’s van het gebruik van clouddiensten door overheden gaan beoordelen. Eind 2022 komt de European Data Protection Board (EDPB) met een gezamenlijk rapport hierover.10 De uitkomsten van dit onderzoek kunnen meer inzicht geven in hoeverre het gebruik van clouddiensten door overheidssystemen extra risico’s met zich mee brengt voor de bescherming van persoonsgegevens.
Vraag 5

Zijn de juridische mogelijkheden voor oplossingen voor het Schrems arrest voldoende verkend?

Mijn indruk is dat dit het geval is. Zo heeft de Europese Commissie in juni 2021 hernieuwde «standard contractual clauses» voor internationale doorgifte gepubliceerd11, op basis waarvan gegevens op grond van «passende waarborgen» kunnen worden doorgegeven.12 Verder zijn ook de aanbevelingen van EDPB van groot belang geweest om de gevolgen van het arrest goed te duiden en zorg te dragen voor de rechtmatige overdracht van gegevens; niet alleen naar de VS maar naar alle derde landen waarvoor geen «adequaatheidsbesluit» van de Europese Commissie bestaat.13
Als in antwoord op vraag 1 al gemeld is er recent een principeakkoord gesloten tussen de Europese Commissie en de VS over een nieuw raamwerk voor trans-Atlantische datastromen. Dat betekent niet dat er reeds een nieuw adequaatheidsbesluit is: daarvoor moet de in artikel 45 AVG geformuleerde procedure worden gevolgd. Nederland heeft hierin als lidstaat een rol via de comitologie procedure.14
Vraag 6

In hoeverre helpt de verdere ontwikkeling van het GAIA-X project om de technologische autonomie van Europa te bevorderen? Welke risico’s zijn er dat Amerikaanse cloudbedrijven diensten leveren binnen het GAIA-X project en zo alsnog de Europese technologische autonomie beperken? Welke invloed heeft u hierop?

GAIA-X is een snelgroeiend privaat initiatief (een vereniging) onder Belgisch recht met inmiddels meer dan 300 leden. Het doel van GAIA-X is het verbinden van Europese cloudinfrastructuren en het vergemakkelijken van het delen van data. Daarbij is het naleven van Europese regelgeving en waarden een kernpijler. Het initiatief draagt bij aan veilige uitwisseling en verwerking van gegevens en verkleint waar wenselijk de afhankelijkheid van niet-Europese spelers.
Nederland is goed vertegenwoordigd binnen het initiatief. Een groeiend aantal Nederlandse partijen is lid. Dit betreft onder meer TNO, UvA, NEN, Leaseweb, Philips, AMS-IX, Brainport Industries en Surf. Twee van de Nederlandse leden hebben plaats in GAIA-X «Board of Directors» en kunnen daarmee meesturen op de ontwikkeling van GAIA-X. Daarnaast kunnen Europese overheden met een Gaia-X hub, via de zogenoemde «Governmental Advisory Board» van GAIA-X ook gevraagd en ongevraagd advies uitbrengen. Nederland wordt hierin door het Ministerie van EZK vertegenwoordigd.
Bedrijven uit niet-Europese landen kunnen ook bijdragen aan het GAIA-X initiatief. Samenwerking tussen Europese en niet-Europese bedrijven kan immers ook tot een hoger niveau van dienstverlening door Europese spelers op de markt leiden. Niet-Europese partijen hebben echter geen stemrecht in het initiatief.
Naast Gaia-X is er ook het «PublicSpaces» initiatief. Hierin worden gebruikers en burgers centraal geplaatst en worden publieke waarden: «open», «transparant» en «verantwoordelijk», meegenomen bij de ontwikkeling van technologische producten en diensten. We volgen dit initiatief met interesse.
Vraag 7

Kunt u een update geven over de huidige mogelijkheden wat betreft Europese versleuteling van clouddiensten die ervoor zouden kunnen zorgen dat Amerikaanse inlichtingendiensten niet via niet-Europese clouddiensten zoals Microsoft bij de uitwisseling of opslag van gevoelige ofwel bijzondere persoonsgegevens van Europese burgers zouden kunnen komen? Hoe draagt het GAIA-X project hier verder aan bij?

De European Data Protection Board heeft in aanbevelingen over de «measures that supplument transfer tools to ensure compliance with the EU level of protection of personal data» onder meer aan de hand van zogenaamde «use cases» inzicht gegeven in welke technische-, organisatorische- en contractuele maatregelen kunnen worden genomen om doorgifte met «passende waarborgen» plaats te laten vinden. Het versleutelen (besproken onder «use case 3») van de gegevens is één van de geïdentificeerde maatregelen.15 Per doorgifte dient te worden bezien óf, en zo ja welke, passende maatregelen (technisch, organisatorisch of contractueel) kunnen worden genomen. In het in antwoord op vraag 4 genoemde rijksbreed strategisch cloudbeleid, dat binnenkort naar uw Kamer zal worden gestuurd, zal hieraan expliciet aandacht gegeven worden.
Het GAIA-X initiatief draagt bij aan het verbinden van Europese cloudinfrastructuren en het vergemakkelijken van datadelen. De wijze van versleuteling van data kan een rol spelen bij de keuze voor een aanbieder van clouddiensten en of risico verminderen. Door het GAIA-X initiatief zullen naar verwachting nieuwe soorten clouddiensten ontstaan, waardoor er voor bedrijven en eindgebruikers meer keuzemogelijkheden zijn om diensten af te nemen. Door GAIA-X is in december 2021 aangekondigd dat labels ontwikkeld worden om o.a. genoemde toegangsrisico’s te mitigeren via andere maatregelen.16
Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

4 maart 2022 - 23 mei 2022

80 dagen

Het artikel 'Mogelijke betalingen aan IS, corruptie en fraude door telecomgigant Ericsson in Irak'
	Tom van der Lee (GL)
	Micky Adriaansens (minister economische zaken) (VVD), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA)

Bronnen

1. https://www.trouw.nl/economie/mogelijke-betalingen-aan-is-corruptie-e…

Vraag 1

Bent u bekend met het artikel «Mogelijke betalingen aan IS, corruptie en fraude door telecomgigant Ericsson in Irak»?1

Ja.
Vraag 2

Deelt u de mening dat het zorgelijk is dat een bedrijf dat in Nederland actief is en waarmee KPN zaken doet, mogelijk terrorisme financiert?

Het financieren van terrorisme is zorgelijk, onaanvaardbaar en strafbaar. Ter signalering, voorkoming en bestrijding van terrorismefinanciering trekt Nederland nauw op met andere (Europese) landen, de private sector en maatschappelijke organisaties. Terrorisme bestrijden is een gedeelde verantwoordelijkheid en de betrokken partijen nemen het onderwerp zeer serieus. Het feit dat KPN aan Ericsson om opheldering heeft gevraagd is hier een voorbeeld van. Ericsson heeft desgevraagd aangegeven dat de kwestie onderzocht wordt en dat in vervolg hierop maatregelen worden getroffen.
Vraag 3

Deelt u de mening dat door nationale IMVO-wetgeving die bedrijven verplicht onderzoek te doen naar misstanden in hun productieketen, dit soort misstanden, waarbij Nederland indirect bijdraagt aan terrorisme, voorkomen kunnen worden?

Als bedrijven aan IMVO-wetgeving (Internationaal Maatschappelijk Verantwoord Ondernemen) moeten voldoen, betekent dit dat zij verplicht zijn gepaste zorgvuldigheid toe te passen in lijn met de OESO Richtlijnen voor Multinationale Ondernemingen (OESO-richtlijnen). Onderdeel van die gepaste zorgvuldigheid is dat ondernemingen negatieve gevolgen voor mens en milieu van hun activiteiten, of die van hun zakelijke relaties in de waardeketen, in kaart brengen, zoveel mogelijk voorkomen en aanpakken.
Op het moment is het financieren van terrorisme evenwel al strafbaar, en dienen bedrijven hiertegen actie te ondernemen. Wetgeving helpt, maar kan niet alle misstanden voorkomen.
Vraag 4

Kunt u, gezien het feit dat zakendoen met Huawei niet wenselijk is door de vrees voor spionage van Chinese veiligheidsdiensten, aangeven wat naast Huawei en Ericsson alternatieve bedrijven zouden kunnen zijn om technologie voor 5G te leveren aan onze telecomproviders in Nederland?

De kwestie rond Ericsson staat los van de maatregelen die zijn getroffen om de veiligheid en integriteit van mobiele telecomnetwerken beter te beschermen tegen actuele statelijke dreigingen. Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren hanteert het kabinet de overwegingen zoals vermeld in de brief aan de Tweede Kamer over C2000 (Kamerstukken II 2018/19, 25 124, nr. 96)2. De daar genoemde overwegingen zijn in het geval van het Zweedse bedrijf Ericsson niet aan de orde.
De markt van leveranciers voor netwerktechnologie en −apparatuur voor mobiele netwerken kent een beperkt aantal spelers. Wereldwijd zijn de belangrijkste leveranciers van technologie voor 5G: Ericsson, Huawei, Nokia, Samsung en ZTE, waarbij de eerste drie leveranciers wereldwijd veruit het grootste marktaandeel hebben. Technologische ontwikkelingen kunnen er voor zorgen dat op termijn nieuwe bedrijven toetreden als leverancier van (delen van) mobiele netwerken. Open RAN (Radio Access Network) is een van die mogelijke ontwikkelingen.3 Over de uitvoering van de motie van de leden Van der Lee (GL) en Van Ginneken (D66) over Open RAN4 zal de Kamer voor de zomer worden bericht.
Vraag 5

Welke consequenties zullen er voor KPN gelden vanuit het Ministerie van Economische Zaken naar aanleiding van het genoemde artikel? Bent u bereid om KPN op te roepen duidelijke voorwaarden te stellen aan de verdere toekomstige samenwerking met Ericsson?

Mijn ministerie heeft contact opgenomen met zowel KPN als Ericsson. KPN heeft naar aanleiding van de berichtgeving reeds zelf actie ondernomen. KPN heeft aangegeven Ericsson om opheldering te hebben gevraagd en in gesprek te zijn over wat Ericsson doet om de in het artikel genoemde gedragingen waarvan zij beschuldigd wordt te voorkomen. Dat lijkt mij een gepaste actie. Ericsson heeft laten weten dat de kwestie onderzocht is in samenwerking met een external legal counsel en dat er naar aanleiding daarvan remediërende maatregelen zijn getroffen. Met deze counsel wordt nog gekeken welke vervolgmaatregelen kunnen worden genomen. Ericsson committeert zich voorts aan vervolgacties en −onderzoek indien daar aanleiding voor is. Deze acties van Ericsson lijken mij eveneens gepast.
Vraag 6

Heeft de Minister van Buitenlandse Zaken reeds contact gehad met de Zweedse Minister van Buitenlandse zaken en de Minister van Economische Zaken om met hen te bespreken wat zij gaan doen om te zorgen dat Ericsson zijn zaken op orde krijgt en dit soort praktijken in de toekomst voorkomen kunnen worden?

Nee. Het is aan de Zweedse autoriteiten om op te treden richting hun ondernemingen indien wet- en regelgeving overtreden wordt. Medewerkers van het Ministerie van Economische Zaken en Klimaat hebben contact gehad met KPN en Ericsson over de kwestie. Daaruit bleek dat beide partijen de eerste benodigde stappen van onderzoek en remediëring toepassen. Dat lijkt gepast.

18 februari 2022 - 8 maart 2022

18 dagen

Het beëindigen van de Begeleidingscommissie Digitale Ondersteuning Bestrijding COVID-19
	Pieter Omtzigt , Nicki Pouw-Verweij (JA21), Kees van der Staaij (SGP)
	Kuipers

Bronnen

1. Kamerstuk 25 295, nr. 1775, p. 20.
2. Kamerstuk 36 025, nr. 2.
3. Rijksoverheid, «Samenwerking tegen bestrijding Covid-19 met digitale …
4. Onderzoeksraad voor Veiligheid, 16 februari 2022, «Aanpak coronacrisis. Deel 1: tot september 2020», paragraaf 5.3, p. 153.

Vraag 1

Kunt u nader toelichten waarom u bij de doorontwikkeling, borging en het in beheer nemen van de corona-applicaties geen behoefte meer heeft aan (on)gevraagd advies van de Begeleidingscommissie Digitale Ondersteuning Bestrijding COVID-19, zoals aangekondigd in de stand van zakenbrief van 15 februari 2022?1

Zoals in de beantwoording op eerder door u gestelde vragen geschreven, is de Begeleidingscommissie Digitale Ondersteuning Bestrijding COVID-19 (DOBC) ten tijde van de realisatie van CoronaMelder ingesteld om de toenmalig Minister van VWS te adviseren over de technische ontwikkeling van de destijds nieuwe applicaties CoronaMelder, CoronaCheck en GGD Contact. Op dit moment kijken wij uit naar de volgende fase van de gehele pandemiebestrijding; de focus van digitale ondersteuningsmiddelen is hierin verschoven naar het doorontwikkelen, borgen en in beheer nemen van deze instrumenten. In deze fase acht ik de Begeleidingscommissie DOBC niet meer noodzakelijk voor de bestrijding van COVID-19. Voor zover nog multidisciplinair advies nodig zou blijken zal ik me hiervoor wenden tot andere reeds bestaande gremia, zoals de Taskforce DOBC en Gedragswetenschappen.
Vraag 2

Waarom wilt u in 2022 wel bijna 30 miljoen investeren in de doorontwikkeling van de corona-apps, maar wilt u hierover geen onafhankelijk advies meer van de experts van de begeleidingscommissie?2

Mijn eventuele nog volgende behoefte aan onafhankelijk advies over de doorontwikkeling van corona-apps staat los van het aanvullend aangevraagde budget van 29,4 miljoen euro. In afwachting van de ontwikkeling van de pandemie zijn door mijn ambtsvoorganger in 2021 bewust minder te verwachten kosten voor digitale ondersteuning bij COVID-19 in de begroting opgenomen. Het aanvullende budget is niet alleen bestemd voor beheer en doorontwikkeling, maar ook voor security en inhuur van personeel en expertise voor alle tot nu toe gerealiseerde digitale ondersteuningsmiddelen in het kader van de pandemie. Het gaat hier om onder andere CoronaMelder, CoronaCheck, GGD Contact en de daarbij behorende portalen en helpdesks, maar daarnaast ook om de systemen voor bijvoorbeeld de uitgifte van papieren bewijzen bij de zorgverlener of verzending hiervan per post en de vaccinatieregistratie door ziekenhuizen.
Vraag 3

Hoe verhoudt uw besluit zich tot de wens van de Kamer en uzelf dat het gebruik van de corona-apps zorgvuldig verloopt en grondig getoetst moet worden aan harde eisen op het gebied van informatieveiligheid, privacy, grondrechten, nationale veiligheid en toegankelijkheid?3

Zoals eerder toegezegd aan en mede op wens van uw Kamer4 zijn de digitale ondersteuningsmiddelen voor COVID-19 samen met een bredere community van deskundigen ontwikkeld in volledige transparantie, volgens de principes van open source en met de hoogste kwaliteitseisen aan toegankelijkheid, privacy en security. Al vanaf de ontwerpfase wordt daarbij nagedacht over gegevensbescherming en informatiebeveiliging gericht op het veilig toepassen van de digitale hulpmiddelen, alsook het minimaliseren van de risico’s voor misbruik en fraude5; privacy en security by designdus. Dit wordt continu gemonitord en getoetst bijvoorbeeld middels evaluatieonderzoek. Niet alleen ten tijde van de ontwikkeling, maar ook nu zijn hier nog steeds (externe) experts van binnen en buiten de overheid op genoemde gebieden bij betrokken. Bovendien kan ik – zoals gezegd – mocht het alsnog nodig blijken nog altijd een beroep doen op multidisciplinair advies van andere adviesgremia.
Vraag 4

Hoe verhoudt uw besluit om de begeleidingscommissie op te heffen zich tot de analyse van de Onderzoeksraad voor Veiligheid (OVV) ten aanzien van het belang van controlemechanismen en checks and balances bij besluitvorming in de coronacrisis: «Dergelijke procedures zien erop toe dat de besluitvorming ordentelijk en op basis van een breed afgewogen advisering plaatsvindt. De controlemechanismen in het systeem behoeden crisisteams voor valkuilen zoals eenzijdige of disproportionele besluitvorming en zijn behulpzaam om te reflecteren op de vraag of de crisisorganisatie als geheel nog de juiste besluiten neemt»?4

Ik hecht – zoals ook in het OVV rapport geadviseerd – waarde aan breed afgewogen advisering bij de (door)ontwikkeling, borging en het in beheer nemen van de digitale ondersteuningsmiddelen bij COVID-19. Ook na het beëindigen van de Begeleidingscommissie DOBC, kan ik voor onafhankelijk en multidisciplinair advies nog een beroep doen op andere gremia, zoals de Taskforce DOBC en -Gedragswetenschappen. Mocht zich alsnog een adviesvraag voordoen, dan zal ik van deze gremia gebruikmaken.
Vraag 5

Heeft u dit besluit in overleg met de begeleidingscommissie genomen? Was de begeleidingscommissie het eens met dit besluit?

Mijn ambtsvoorganger heeft de Begeleidingscommissie, als ook uw Kamer7, in juni 2021 al geïnformeerd dat het overgaan in een nieuwe fase van de pandemie zou kunnen leiden tot een aanpassing van de inzet van de Begeleidingscommissie. In december 2021 zijn zij nogmaals op de hoogte gesteld over het voornemen om de opdrachtomschrijving te wijzigen naar het bieden van gevraagd advies over de technische ontwikkeling en inzet van CoronaMelder, CoronaCheck en GGD Contact. Hierover is het gesprek gevoerd waarbij de Begeleidingscommissie te kennen heeft gegeven niet akkoord te zullen gaan met dit voornemen. Ik heb vervolgens de inzet van alle bestaande adviesgremia heroverwogen en afgezet tegen de fase waar de pandemie zich momenteel in bevindt. Hierop heb ik geconstateerd dat de Begeleidingscommissie DOBC niet meer noodzakelijk is in deze fase van de bestrijding van COVID-19, waarop ik heb besloten deze te beëindigen.
Vraag 6

Kunt u de mailwisselingen en briefwisseling met de commissie van de afgelopen maand openbaar maken? Was er sprake van constructief overleg?

Ik ben bereid de door mijn ambtsvoorganger aan de Begeleidingscommissie DOBC gestuurde brieven van juni en december 2021, alsmede de door mij verstuurde brief van 8 februari jl. met uw Kamer te delen. Deze zijn als bijlage8 bij deze beantwoording toegevoegd. Aan deze brieven zijn verschillende gesprekken met een afvaardiging van de Begeleidingscommissie DOBC voorafgegaan.
Vraag 7

Heeft uw besluit te maken met kritiek van leden van de begeleidingscommissie, dat door hen uitgebrachte adviezen die politiek gevoelig liggen (te) laat naar de Kamer werden gestuurd, waardoor de Kamer een mogelijkheid wordt ontnomen om zich volledig te kunnen informeren?

Ik herken mij niet in het bericht dat adviezen pas na afloop van het debat aan de Tweede Kamer worden aangeboden. Het is gebruikelijk om adviezen van de Begeleidingscommissie DOBC – voorzien van een beleidsreactie – met de eerstvolgende Stand van zakenbrief COVID-19 te versturen. Vanwege de timing van een advies of omdat meer tijd noodzakelijk was om inhoudelijk zorgvuldig te kunnen reageren, is het enkele keren voorgekomen dat het advies met een latere brief is meegestuurd. Politieke overwegingen spelen geen rol bij het moment van verzenden van de adviezen en ook het besluit de Begeleidingscommissie te beëindigen staat hier los van.
Vraag 8

Kunt u een overzicht geven van alle adviezen die de commissie heeft opgesteld en de reacties die u daarop gegeven heeft?

Ja, dat kan ik. De Begeleidingscommissie heeft in totaal 33 adviezen gegeven. Deze zijn, inclusief een reactie hierop, respectievelijk met de volgende brieven aan uw Kamer toegezonden: Kamerbrief 24 juni 2020, Kamerbrief 16 juli 2020, Kamerbrief 17 augustus 2020, Kamerbrief 28 augustus 2020, Kamerbrief 8 oktober 2020, Kamerbrief 17 november 2020, Kamerbrief 2 februari 2021, Kamerbrief 23 februari 2021, Kamerbrief 23 maart 2021, Kamerbrief 28 mei 2021, Kamerbrief 18 juni 2021, Kamerbrief 13 augustus 2021, Kamerbrief 2 november 2021, Kamerbrief 14 december 2021 en Kamerbrief 21 december 2021 (reactie op motie Den Haan c.s.).9
Adviezen 12 en 14 van de Begeleidingscommissie zijn, in tegenstelling tot alle andere adviezen, enkel online gepubliceerd op rijksoverheid.nl10. Dit omdat de betreffende adviezen buiten de bedoelde scope van de opdracht als ook mijn ministerie lagen. De pas ontvangen adviezen 31, 32 en 33 zal ik met een volgende stand van zaken COVID-19 brief aan uw Kamer toezenden, alsmede ook mijn reactie hierop.
Vraag 9

Bent u bereid om uw besluit om de commissie op te heffen, terug te draaien?

Ik sta – zoals toegelicht in eerdere vragen – achter mijn besluit om de Begeleidingscommissie DOBC te beëindigen en ben niet bereid dit terug te draaien.
Vraag 10

Bent u bereid om de begeleidingscommissie om advies te vragen over de uitfasering van de corona-apps CoronaMelder en CoronaCheck?

Mijn ambtsvoorganger heeft de Begeleidingscommissie DOBC in een eerder stadium al gevraagd hierover te adviseren, waarop de commissie heeft aangegeven hier nog niet op in te willen gaan. De commissie heeft mij ter afsluiting wel nog enkele adviezen doen toekomen waarin diverse thema’s onder de aandacht worden gebracht, ook in het kader van pandemische paraatheid in de toekomst. Dit advies zal ik u Kamer spoedig doen toekomen. Indien aan de orde zal ik mij voor advies over de afbouw en mogelijk toekomstige uitfasering van de corona-apps wenden tot de genoemde Taskforces.
Vraag 11

Welke andere gremia kunnen op dit moment gevraagd of ongevraagd advies uitbrengen over de (door)ontwikkeling en het gebruik van de corona-apps?

Zoals ook in een eerdere kamerbrief geschreven zal ik mij in het vervolg voor multidisciplinair advies over de doorontwikkeling en het in beheer nemen van de tot nu toe gerealiseerde digitale ondersteuningsmiddelen wenden tot de reeds bestaande Taskforce DOBC en Taskforce Gedragswetenschappen.11 Deze gremia zijn in mei 2020 op verzoek van mijn ambtsvoorganger ingesteld tevens met als opdracht vanuit wetenschappelijk perspectief en expertise te adviseren over de digitale ondersteuningsmiddelen.
Uitgangspunt bij de bouw van onder andere CoronaMelder en CoronaCheck was bovendien een zo groot mogelijke transparantie via open source ontwikkeling. Geïnteresseerden zijn en worden nog steeds via bijvoorbeeld de online community uitgenodigd mee te kijken en denken tijdens het proces van doorontwikkeling. Dit heeft in de praktijk meermaals tot nadere gesprekken en aanpassingen geleid in de corona-apps. Dit is een werkwijze die momenteel wordt gehanteerd en waarop ik ook in de komende periode wil blijven inzetten.

17 februari 2022 - 21 april 2022

63 dagen

Het bericht 'Online criminelen bestoken de wereld met cyberaanvallen vanuit Nederland'
	Henri Bontenbal (CDA)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Micky Adriaansens (minister economische zaken) (VVD), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. Pointer, 12 februari 2022, https://pointer.kro-ncrv.nl/online-crimine…
2. Pointer, 12 februari 2022, https://pointer.kro-ncrv.nl/online-crimine…

Vraag 1

Bent u bekend met het bericht «Online criminelen bestoken de wereld met cyberaanvallen vanuit Nederland» en de bijbehorende radioreportage «De makelaars van de cybercrime»?1

Ja.
Vraag 2

Herkent u de berichtgeving over cyberaanvallen via Nederlandse servers, mogelijk gemaakt door foute tussenpartijen uit het buitenland die deze serverruimte doorverhuren aan criminelen? Richten deze aanvallen zich vooral tegen bedrijven of in dezelfde mate tegen overheden en particulieren? Zijn er patronen in deze aanvallen te ontdekken, bijvoorbeeld in het type bedrijven waar criminelen het op gemunt hebben? Wat is u bekend over de aard en ernst van dit probleem? Bijvoorbeeld over de omvang van de aangerichte schade en het aantal aanvallen dat maandelijks plaatsvindt? Wordt dit bijgehouden en door wie? Ziet u het aantal aanvallen toenemen? Kunt u alle beschikbare informatie hieromtrent met de Kamer delen, eventueel in een vertrouwelijke technische briefing? Zijn met de door de politie samengestelde lijst alle foute tussenpartijen voldoende in beeld om te kunnen aanpakken? Gebeurt dit ook?

Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals ransomware-aanvallen. Het beeld van de politie is dat ransomware-aanvallen met name gericht zijn op het MKB en grote bedrijven. Hierin zijn patronen te herkennen, waarbij ongerichte aanvallen met name binnen het MKB voorkomen door het gebruik van Ransomware-as-a-service.2 De meer gerichte aanvallen zien op grote organisaties, waarbij maatwerk wordt verricht om tot maximaal financieel gewin te komen.3 Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, ook op basis van mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat ook de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de 200 aangiftes van ransomware ontvangt. De aangiftebereidheid bij cybercrimedelicten is echter laag, wat met name geldt voor ransomware. Het aantal aangiften is daarom geen goede weerspiegeling van de omvang van de problematiek. Ransomware-aanvallen kunnen grote maatschappelijke en economische impact hebben. Het Cybersecuritybeeld Nederland (CSBN) 2021 stelt dat ransomware een risico vormt voor de nationale veiligheid. Indien uw Kamer verzoekt om een technische briefing kan daarin worden voorzien.
Voor meer inzicht in de acties van de politie omtrent het delen van de lijst met hosting-resellers verwijs ik u naar de beantwoording van de Kamervragen van het lid Rajkowski over hetzelfde artikel.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5
Vraag 3

Kunt u uiteenzetten hoe deze criminelen precies te werk (kunnen) gaan? Welke mogelijkheden zijn er op dit moment om deze specifieke vorm van cybercriminaliteit te verhinderen c.q. aan te pakken? Hoe vaak worden de internetcriminelen in kwestie en hun helpers opgespoord, aangehouden en vervolgd? Zijn er factoren die dit bemoeilijken? Wilt u een overzicht geven van alle wet- en regelgeving die hier van toepassing is? Wat zijn thans belemmeringen, zowel nationaal als Europees of internationaal, om dergelijke cyberaanvallen effectief te bestrijden, zoals juridische obstakels, een gebrek aan samenwerking of capaciteitsproblemen? Welke partijen, in binnen- en buitenland, zijn nodig om dit probleem te helpen aanpakken? Hoe verloopt nu de samenwerking tussen deze partijen?

In het Cybersecurity Beeld Nederland (CSBN) 2021 zijn de verschillende fasen in het delictsproces van ransomware beschreven. Kortweg bestaat een ransomware-aanval uit het verkrijgen van initiële toegang tot een ICT-netwerk, het consolideren van de positie, het wegsluizen van informatie, het inzetten van ransomware en de financiële afhandeling. In het CSBN 2021 wordt hier dieper op ingegaan.6 Het effectief tegengaan van ransomware vraagt meerdere soorten maatregelen. Zo is het belangrijk om ransomware te voorkomen, doordat bedrijven en organisaties de juiste preventieve maatregelen nemen. Zie hiervoor ook vraag 5. Daarnaast heeft de politie de Ransomware Taskforce opgericht, die proactief onderzoek doet naar het hele criminele ecosysteem rondom ransomware. Het doel is om schade en slachtoffers te voorkomen, het criminele proces te verstoren en daders op te sporen.
Het opsporen van verdachten van cybercrime is echter complex, zie hierover ook de brief die eerder naar uw Kamer is gestuurd over de dilemma’s die de politie en het OM tegenkomen bij opsporing in het digitale domein.7 Daders hoeven zich niet in Nederland te bevinden, verdachten kunnen met technische mogelijkheden hun identiteit en locatie gemakkelijk afschermen en het internet is grenzeloos. Internationale samenwerking is daarom belangrijk, hetgeen ook blijkt uit de internationale actie waarbij een ransomware-bende is opgepakt.8 De politie neemt onder andere deel in de Joint Cybercrime Action Taskforce van Europol. Om de grensoverschrijdende opsporing in het digitale domein te versterken heeft Nederland de afgelopen jaren actief deelgenomen aan de gesprekken over de E-Evidence verordening van de EU en over het tweede protocol bij het Cybercrimeverdrag in het kader van de Raad van Europa. Het concept protocol is goedgekeurd in 2021. Na goedkeuring op politiek niveau en ratificatie zal snellere en meer efficiënte samenwerking in opsporingsonderzoeken mogelijk zijn.
Zoals eerder vermeld in de beantwoording van Kamervragen van het lid Van Raak, is het niet bekend hoeveel veroordelingen voor ransomware er precies zijn geweest.9 Ransomware aanvallen zijn niet onder één specifiek wetsartikel te scharen en worden niet als zodanig geregistreerd door het OM en de Raad voor de rechtspraak. Ook gaat het vaak om buitenlandse daders.
Vraag 4

Klopt het dat cybercriminelen hun illegale activiteiten graag via Nederland ontplooien vanwege de goede digitale infrastructuur hier? Welke (nationale) maatregelen gaat u nemen om van deze status af te komen? Staat dit onderwerp ook op de Europese agenda? Bent u bereid het bij de eerstvolgende gelegenheid (weer) te agenderen?

Nederlandse hostingdiensten worden inderdaad misbruikt voor het plegen van cybercrime en andere vormen van online criminaliteit, via malafide hostingbedrijven, maar ook via hostingbedrijven die zich daar niet van bewust zijn. De hostingsector heeft daarom zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief10 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Tot slot richten het OM en de politie zich binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Echter, hostingproviders zijn op basis van de huidige wet- en regelgeving onder voorwaarden niet strafrechtelijk aansprakelijk voor hetgeen zich op hun netwerken bevindt. Zie hiervoor ook de beantwoording van eerdere Kamervragen van het lid Van Nispen.11
In EU-verband is de triloog-fase van de Digital Services Act begonnen. Deze conceptverordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
Het belang van een schoon en veilig internet en de rol die tussenpersonen zoals hostingproviders hierin spelen, is groot en zal steeds in EU-verband benadrukt worden.
Vraag 5

Op welke wijze(n) staat u bedrijven en overheden bij om weerbaar te worden tegen cybercriminaliteit en wordt ondersteuning en nazorg geboden als zich een aanval heeft voorgedaan? Hoe is geborgd dat uit iedere (poging tot een) cyberaanval lessen worden getrokken om volgende aanvallen te voorkomen c.q. af te slaan? Waar is bij bedrijven en overheden behoefte aan? Indien u dit niet weet, wilt u dit nagaan via bijvoorbeeld een uitvraag bij de VNG of ondernemersorganisaties?

Het is wenselijk om slachtofferschap van cybercriminaliteit, zoals ransomware-aanvallen, bij bedrijven te voorkomen. Bedrijven zijn verantwoordelijk voor hun eigen cybersecurity en moeten hiervoor de juiste maatregelen treffen. De overheid kan daarbij ondersteuning bieden. Daarom biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan om de cyberweerbaarheid van bedrijven te vergroten. Deze bevatten adviezen voor ondernemers om besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Het DTC biedt ook een basisscan aan, zodat bedrijven hun cyberweerbaarheid kunnen testen. Met het delen van verhalen van ondernemers die slachtoffer zijn geworden van ransomware probeert het DTC bedrijven en ondernemers te wijzen op de risico’s. Ook is het DTC begonnen met het waarschuwen van individuele bedrijven bij ernstige cyberdreigingen. Inmiddels zijn er al meer dan 300 bedrijven gewaarschuwd.
Het Nationaal Cyber Security Centrum (NCSC) informeert organisaties in de vitale sectoren en de rijksoverheid proactief over digitale dreigingen en levert hen bijstand bij incidenten. Ook deelt het NCSC informatie over digitale dreigingen en incidenten via aangewezen schakelorganisaties in het Landelijk Dekkend Stelsel van cybersecuritysamenwerkingsverbanden. Het NCSC werkt bovendien samen met vitale én niet-vitale organisaties die kunnen bijdragen aan het versterken van het actuele situationeel beeld, onder andere op het gebied van ransomware dreigingen. Zo wordt er samengewerkt met securityleveranciers, multinationals en onderzoekers zoals het Dutch Institute for Vulnerability Disclosure (DIVD). In dit kader werken het DTC en het NCSC nauw samen.
De moties Ephraim12 en Hermans13 verzoeken de regering om te komen met een voorlichtingsplan voor ondernemers ten aanzien van de risico's van cybercrime en concrete maatregelen om ondernemers beter te beschermen tegen digitale dreigingen en cybercriminelen. Bij de uitvoering van deze moties worden de behoeften die er op dit vlak bij organisaties zijn meegenomen.
Het Ministerie van BZK ziet het als haar taak kaderstellend, ondersteunend, en waar nodig aanjagend te zijn naar alle overheidslagen. Daartoe stelt het Ministerie van BZK randvoorwaarden op, zoals met de Baseline Informatieveiligheid Overheid (BIO). De BIO geldt overheidsbreed als het minimumkader voor informatieveiligheid. De individuele overheidsorganisaties moeten hun informatiebeveiliging primair zelf op orde hebben en houden, waarbij zij ondersteund worden door hun koepelorganisaties. Zo ondersteunt de VNG gemeentebestuurders met de Agenda Digitale Veiligheid. Begin 2021 werd de Resolutie Digitale Veiligheid 14 vastgesteld, waaraan gemeenten zich gecommitteerd hebben. Hierin wordt de noodzaak onderstreept dat gemeenten hun digitale weerbaarheid versterken. Daarnaast worden gemeenten ondersteund door de Informatiebeveiligingsdienst (IBD), die actuele producten en diensten ter ondersteuning van de BIO aanbiedt en het programma Verhogen Digitale Weerbaarheid verzorgt. Ook is de IBD de sectorale CERT/CSIRT15 voor Nederlandse gemeenten, die crisismanagementteams ondersteunt in het geval van incidenten. Het Ministerie van BZK werkt hierbij samen met de VNG en de IBD.
Ook ondersteunt het Ministerie van BZK het delen van informatie met alle overheden via een bijdrage aan het Centrum voor Informatiebeveiliging en Privacybescherming (CIP).16 Zie hiervoor ook de beantwoording van schriftelijke vragen van het lid Kathmann.17 Verder wordt jaarlijks in oktober–de maand van cybersecurity- de overheidsbrede cyberoefening georganiseerd.18 Deze oefening, die is bedoeld voor Rijks- en uitvoeringsorganisaties, provincies, gemeenten en waterschappen en laat zich ieder jaar inspireren door recente en actuele dreigingen en cyberaanvallen. Naast deze oefening zijn er webinars, die men ook kan terugkijken.19 Speciaal voor gemeenten zijn een drietal cyberoefenpakketten ontwikkeld door het Instituut voor Veiligheids- en Crisismanagement. Deze zijn online raadpleegbaar en gratis af te nemen voor alle gemeenten.20
Tot slot bevat de I-strategie 2021 – 2025 voor de rijksoverheid een stevige inzet op het thema digitale weerbaarheid, die ook de weerbaarheid tegen ransomware zal verhogen, onder meer via kennisproducten. De bijbehorende roadmap wordt voor de zomer aan uw Kamer gestuurd door de Staatssecretaris van BZK.
Vraag 6

Kunt u per volgende afspraak uit het coalitieakkoord Omzien naar elkaar, vooruitkijken naar de toekomst aangeven hoe en op welke termijn het kabinet hier uitwerking aan gaat geven (pag.2?

Het coalitieakkoord wordt nog uitgewerkt. De hoofdlijnenbrief Justitie en Veiligheid van 9 februari jl. toont een eerste overzicht van de maatregelen die voortvloeien uit het coalitieakkoord.22 Sinds 2018 is de Kamer jaarlijks geïnformeerd over de integrale aanpak van cybercrime.23 Deze aanpak bestaat uit vier pijlers, namelijk preventie, slachtofferondersteuning, wetenschappelijk onderzoek en opsporing, vervolging en verstoring. De mate waarin het beleid en de strafrechtsketen kan worden versterkt om cybercriminaliteit, waaronder ransomware, aan te pakken, is mede afhankelijk van de uitkomst van de uitwerking van het coalitieakkoord en het beschikbaar komen van middelen voor cybercrime.
Ten aanzien van de slagkracht van de inlichtingendiensten verwijs ik naar de brief van 24 februari 2022 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan uw Kamer over de impact van het coalitieakkoord en de stand van zaken wijziging Wiv 2017.
Tot slot zet de hoofdlijnenbrief digitalisering24 van 8 maart jl. van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering, de Minister van Justitie en Veiligheid, de Minister van Economische Zaken en Klimaat en de Minister voor Rechtsbescherming de ambities en doelen uiteen voor de digitale transitie van onze samenleving. Dit gebeurt langs vier thema’s, te weten: het digitale fundament, de digitale overheid, de digitale samenleving en de digitale economie. Deze brief benoemt ook de inzet op Europees verband op het gebied van digitalisering, zoals AI en digitale identiteit. De hoofdlijnenbrief is het startpunt voor de kabinetsbrede werkagenda digitalisering. Deze wordt de komende maanden geconcretiseerd met alle betrokken departementen, belanghebbenden uit de samenleving, wetenschap en bedrijfsleven, en medeoverheden. Ook wordt deze besproken met Europese partners.

17 februari 2022 - 21 maart 2022

32 dagen

Het bericht dat de meest recente cyberaanval in Oekraïne verliep via Nederland.
	Alexander Hammelburg (D66)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. https://www.bnr.nl/nieuws/internationaal/10467674/cyberaanval-oekrain…

Vraag 1

Bent u bekend met het bericht van BNR «Cyberaanval Oekraïne verliep via Nederland»?1

Ja.
Vraag 2

Hoe oordeelt u over dit bericht?

Nederland heeft een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is hier van hoge kwaliteit, snel en goedkoop. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de diensten die deze hosting bedrijven aanbieden. Helaas maken ook kwaadwillende actoren (criminelen en staten) misbruik van Nederlandse hosting providers.
Vraag 3

Van wat voor aanval was hier sprake? Klopt het dat een DdoS-aanval werd gecombineerd met een desinformatieaanval?

Op 15 februari 2022 vonden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het ging onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van online diensten of de ondersteunende servers en netwerkapparatuur te raken. Het Oekraïense Ministerie van Defensie en twee nationale banken in Oekraïne werden getroffen. Op 15 februari 2022 vond ook een sms-campagne plaats, met de boodschap dat geldautomaten technische storingen zouden hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie was. Er zou geen sprake zijn van dergelijke storingen.
Vraag 4

Hoeveel cyberaanvallen zijn er op Oekraïne geweest sinds het uitbreken van de oorlog in 2014?

Dit valt niet te zeggen. Oekraïne vormt namelijk al vele jaren doelwit van Russische cyberoperaties. De afgelopen maand zijn de digitale aanvallen op Oekraïne veel in het nieuws geweest. Op de website van het Nationaal Cyber Security Centrum (NCSC) is een tijdlijn terug te vinden met digitale aanvallen in relatie tot de huidige spanningen tussen Rusland en Oekraïne: Digitale aanvallen Oekraïne: een tijdlijn | Nieuwsbericht | Nationaal Cyber Security Centrum (ncsc.nl)
Vraag 5

Hoeveel van deze aanvallen liepen via Nederland?

Dit valt niet te zeggen. Dergelijke digitale aanvallen worden uitgevoerd vanuit command and control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en het aantal (pogingen tot) aanvallen.
Vraag 6

Welke risico’s loopt Nederland in het geval een cyberaanval via Nederlandse servers loopt?

Zoals aangegeven in het antwoord op vraag 5 kunnen command and control servers geografisch overal ter wereld staan, ook in Nederland. Misbruik van Nederlandse infrastructuur bij het uitvoeren van digitale aanvallen komt vaker voor. Deze vorm van misbruik kan het internationale imago van Nederland schaden en slecht zijn voor bondgenootschappelijke belangen en de integriteit van de Nederlandse ICT-infrastructuur. Ook kunnen Nederlandse organisaties geraakt worden door eventuele tegenacties, zoals het uit de lucht halen van misbruikte infrastructuur door landen die door een digitale aanval getroffen zijn. Ook kunnen bedrijven waarvan IT apparatuur onbewust deel uitmaakt van een DDoS aanval daar beschikbaarheidsproblemen door ervaren. Er kunnen verbindingsproblemen optreden en ook kan een internet provider de verbinding afsluiten.
Nederland komt alleen als doelwit in beeld als onderdeel van EU/NAVO, wanneer er escalatie op mondiaal niveau plaatsvindt. Ook als Nederland niet primair doelwit is, blijft het risico van nevenschade bestaan. Dit is bijvoorbeeld het geval wanneer gebruikte malware «wormable»2 is, met als bekendste voorbeeld NotPetya 20173. Op dit moment zijn er voor zover bekend geen incidenten op dit vlak.
Het NCSC heeft op dit moment geen indicaties dat de aanvallen gevolgen hebben gehad voor Nederlandse belangen of organisaties. Ook zijn er op dit moment nog altijd geen indicaties bekend van grootschalige of ongecontroleerde verspreiding van malware buiten Oekraïne of van andere digitale incidenten met impact op Nederlandse belangen.
Vraag 7

Wat doet Nederland om deze aanvallen te stuiten?

Om aanvallen te stoppen kan, zodra duidelijk is om welke partij het gaat, een vordering of bevel worden uitgevaardigd naar de hoster om de server van de betreffende malafide afnemer offline te brengen. In de praktijk is een andere route gebruikelijk, waarbij een «notice and take down» (NTD)-verzoek naar de betreffende hoster wordt gestuurd met de mededeling dat er binnen zijn netwerk sprake is van onrechtmatige handelingen van een of meer afnemers van diens diensten.
Het NCSC heeft primair tot taak om organisaties die deel uitmaken van de rijksoverheid en vitale aanbieders bijstand te verlenen bij digitale dreigingen en incidenten. Daarnaast heeft het NCSC ook als taak het informeren van andere organisaties over dergelijke dreigingen en incidenten betreffende de rijksoverheid en vitale aanbieders. In het kader daarvan werkt het NCSC samen met andere veiligheidspartners in binnen- en buitenland, waaronder de samenwerking in de Cyber Intel/info Cel (CIIC), waarin NCSC, AIVD, MIVD, de politie en het OM informatie over cyberdreigingen en -incidenten bijeenbrengen en medewerkers van die organisaties die informatie gezamenlijk beoordelen ten behoeve van het versterken van het landelijk situationeel beeld en het bieden van handelingsperspectief aan belanghebbende partijen.
De AIVD en de MIVD doen onderzoek naar de dreiging die uitgaat van landen met een offensief cyberprogramma gericht tegen Nederland of Nederlandse belangen. Deze landen maken gebruik van veel verschillende digitale infrastructuur, waaronder die van Nederland, en wisselen daar snel tussen. Het onderzoek van de diensten is er onder andere op gericht om misbruik van Nederlandse infrastructuur te onderkennen.
Zoals eerder gemeld, wordt gewerkt aan een oplossing voor de knelpunten in het cyberdomein die de diensten ondervinden. De Ministers van Defensie en van Binnenlandse Zaken en Koninkrijksrelaties zullen, daarbij de motie van de heer Van der Staaij indachtig, zo snel mogelijk met een wetsvoorstel komen.4
Momenteel bezien het NCSC en het Digital Trust Center (DTC) samen met de hosting sector in de Anti-Abuse Network coalitie waar het mogelijk is om in ruimere mate informatie over kwetsbaarheden te delen. Daarnaast wordt binnen de genoemde sector het Clean Networks initiatief ontwikkeld, waarin van hosters wordt gevraagd zich in te spannen om hun netwerken schoon te houden van onrechtmatigheid door zich op private informatiebronnen, zoals die van de stichting Nationale Beheersorganisatie Internet Providers (NBIP), aan te sluiten.
Met betrekking tot DDoS aanvallen zet het Ministerie van Economische Zaken en Klimaat (EZK), en in het bijzonder het DTC, voornamelijk in op preventieve maatregelen die bijdragen aan het voorkomen dat IT-apparatuur, vaak onbewust, deel kan uitmaken aan een DDoS aanval. Het tijdig installeren van beveiligingsupdates is hierbij cruciaal. Het DTC heeft het belang van updaten opgenomen in de 5 Basisprincipes van veilig digitaal ondernemen en informeert de doelgroep van het niet-vitale bedrijfsleven wanneer belangrijke updates beschikbaar zijn in relatie tot ernstige beveiligingsproblemen. Ook IoT-apparaten (Internet of Things) worden ingezet om deel uit te maken van een DDoS aanval. Door de toename van IoT-apparatuur zet het Ministerie van EZK in op updaten middels de «doe je update» campagne. Deze campagne is met name gericht op consumenten zodat zij zich ook bewust zijn van de risico’s en de noodzaak om IoT apparaten zoals routers, camera’s en printers up-to-date te houden.
Vraag 8

Loopt Nederland meer risico voor cyberaanvallen, omdat het een hubfunctie heeft voor digitaal verkeer van grote delen van Europa?

Dit is op voorhand niet te zeggen. Er zijn geen aanwijzingen dat het gebruik van infrastructuur/servers in Nederland berust op een bepaalde strategische keuze van een kwaadwillende actor. Nederland is niet het enige Europese land met een goede infrastructuur, betrouwbare verbindingen en een grote hosting-sector die dit predicaat opeist. Het is niet duidelijk welke strategische afwegingen digitale aanvallers maken om de keuze te maken voor Nederland ten opzichte van andere landen met een eveneens uitstekende ICT-infrastructuur en hubfunctie.
Zie ook het antwoord op vraag 6.
Vraag 9

Is er een link te leggen tussen deze cyberaanvallen en de digitale steun die Nederland heeft aangeboden aan Oekraïne?

Het is te voorbarig om een dergelijke link te leggen wanneer attributie uitsluitend gebaseerd lijkt te zijn op het feit dat de tijdsspanne tussen de twee gebeurtenissen beperkt is.5 Het is bijvoorbeeld niet te zeggen wie precies de servers heeft gehuurd voor de genoemde activiteiten.
Vraag 10

Zijn er, naast de cyberaanvallen op Oekraïne via Nederland, ook andere landen die periodiek worden aangevallen via Nederland?

Zoals aangegeven in het antwoord op vraag 5 en 6 worden dit soort digitale aanvallen uitgevoerd vanuit command en control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers in Nederland worden ingezet voor dergelijke malafide doeleinden en richting welke landen.
Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

15 februari 2022 - 29 maart 2022

42 dagen

Het bericht ‘Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland’.
	Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NOS, 12 februari 2022, «Criminelen gebruiken foute hostingbedrijven v…

Vraag 1

Bent u bekend met het bericht «Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland»?1

Ja.
Vraag 2

In november waarschuwde de politie al voor 70 mogelijk malafide bedrijven die serverruimte doorverhuren aan criminelen, waar komen deze malafide bedrijven vandaan? Welke acties zijn daarna ondernomen tegen deze malafide bedrijven?

De politie geeft aan dat het om buitenlandse bedrijven gaat die gebruik maken van de Nederlandse infrastructuur. Bedrijven die serverruimte doorverhuren worden «resellers» genoemd. Deze resellers huren serverruimte van een in Nederland gevestigde hostingprovider, waarna ze deze doorverhuren aan een klant. Deze klanten kunnen personen zijn die een reguliere website willen laten draaien, maar dit kunnen ook cybercriminelen zijn die de zich in Nederland bevindende server misbruiken voor strafbare feiten. Op basis van openbaar toegankelijke informatie, zoals bepaalde internetfora, heeft de politie een lijst opgesteld van resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de leden van de brancheorganisatie van hostingproviders, de Dutch Cloud Community (DCC). Aan hen is gevraagd of zij deze resellers in hun klantenbestand hebben. Het is aan deze hostingproviders om eventueel actie te ondernemen op basis van deze lijst.
Vraag 3

Welke acties hebben hostingbedrijven uitgevoerd nadat de politie deze waarschuwing heeft verstuurd? Heeft de politie contact gehouden met de hostingbedrijven om te checken of hostingbedrijven wat met deze waarschuwing hebben gedaan?

De politie heeft DCC gevraagd naar hun ervaring met deze actie. DCC heeft aangegeven dat zij en haar leden overwegend positief zijn, met name over het feit dat de politie een dergelijke lijst heeft opgesteld en als waarschuwing heeft gedeeld. De hostingproviders hebben geen mededelingen gedaan over het al dan niet handelen naar aanleiding van de lijst.
Vraag 4

Zijn de tientallen criminele activiteiten die afgelopen maanden via de netwerken van bedrijven zijn ondernomen, zoals blijkt uit het onderzoek van Pointer en Spamhaus, bekend bij de politie? Zo ja, welke acties zijn hiertegen ondernomen?

Het feit dat misbruik wordt gemaakt van de Nederlandse infrastructuur is al langere tijd bekend bij de politie. De politie richt zicht binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Daarop zijn reeds meerdere strafzaken gestart. Zoals ook in de beantwoording van Kamervragen van het lid Van Nispen2 is aangegeven, is het strafrechtelijk vervolgen van hostingproviders lastig. Het opsporen en vervolgen van buitenlandse resellers is mogelijk nog complexer indien hiervoor samenwerking nodig is met een land waarmee Nederland geen of geen goede rechtshulprelatie heeft. De politie en het OM werken daarom niet alleen aan opsporing en vervolging, maar bijvoorbeeld ook aan slachtoffernotificatie en samenwerking met private partijen om de criminele activiteiten te verstoren.
Vraag 5

Om wat voor type criminele activiteiten gaat het in deze gevallen? Kunt u een inschatting maken van de schade die is toegebracht door de criminelen?

De politie geeft aan dat de resellers verschillende typen cyberdelicten faciliteren, zoals computervredebreuk, phishing-campagnes en ransomware-aanvallen. Vanwege het ontbreken van kwantitatieve gegevens en de lage aangiftebereidheid van cybercrimedelicten is een betrouwbare inschatting van de schade niet beschikbaar.
Vraag 6

Op welke manier werken hostingbedrijven en de politie samen om dit soort praktijken te voorkomen? Kan deze samenwerking verstevigd worden? Is het op een directe, dan wel indirecte manier mogelijk om hostingbedrijven aansprakelijk te stellen voor het verhuren van serverruimte aan malafide bedrijven?

De politie is deelnemer aan het Anti Abuse Netwerk (AAN). Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Daarnaast wordt in individuele opsporingsonderzoeken waar nodig in contact getreden met hostingproviders.
In de huidige situatie zijn hostingproviders op grond van Europese regelgeving en de Nederlandse implementatie daarvan onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten, waaronder (klanten van) resellers. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commerce-richtlijn, is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijk materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) gegevens ontoegankelijk moeten maken. Een bevel om een dienst ontoegankelijk te maken is gericht op individuele inhoud en niet op de hostingprovider als zodanig. Het voorkomt niet dat een hostingprovider opnieuw (dezelfde) klanten toelaat die wederrechtelijk materiaal plaatsen op de servers van de hostingproviders.
Vraag 7

Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen? Op welke manier kunt u ervoor zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen?

Het is belangrijk om ervoor te zorgen dat het Nederlandse netwerk veilig is en niet misbruikt wordt door criminelen. Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
De hostingsector heeft zelf reeds initiatieven ontplooid om het misbruik van Nederlandse netwerken tegen te gaan, zoals het eerdergenoemde Anti-Abuse Netwerk. Daarnaast heeft de hostingsector zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact.

15 februari 2022 - 8 maart 2022

21 dagen

Het bericht ‘Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat’
	Queeny Rajkowski (VVD), Judith Tielen (VVD)
	Kuipers

Bronnen

1. Nu.nl, 26 januari 2022, «Ziekenhuizen kwetsbaar voor cyberaanval: Wac…

Vraag 1

Bent u bekend met het bericht «Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat» van 26 januari jongstleden?1

Ja.
Vraag 2

Deelt u de zorgen bij het lezen van de constatering van beveiligingsexperts dat Nederlandse ziekenhuizen nog altijd kwetsbaar zijn voor cyberaanvallen? Zo nee, wat is dan uw oordeel over deze constatering?

Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen. Informatiebeveiliging vraagt daarmee continue aandacht om de beschikbaarheid, integriteit en vertrouwelijkheid van (patiënt)informatie te waarborgen. Zorgaanbieders, zoals ziekenhuizen, moeten daar alert op zijn. Zij zijn verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen. Daarnaast worden ziekenhuizen ondersteund door Z-CERT (het Computer Emergency Response Team voor de zorg) bij (dreigende) cyberincidenten en bij het vergroten van hun digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen al grote stappen gezet op het gebied van informatiebeveiliging, waaronder ook het aantoonbaar voldoen aan de NEN 7510. Dit komt ook naar voren in het recent gepubliceerd inspectierapport van de Inspectie Gezondheidzorg en Jeugd (IGJ) bij ziekenhuizen2. Ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging niet op orde hadden, hebben na het inspectiebezoek beveiligingsmaatregelen genomen waaronder het aantoonbaar voldoen aan de NEN7510 norm.
Vraag 3

Hoeveel Nederlandse ziekenhuizen en andere zorginstellingen zijn in 2021 geraakt door cyberaanvallen, en hoeveel in 2020 en 2019? Om welk type cyberaanvallen ging het in die gevallen? In hoeveel gevallen is de continuïteit van zorg in gevaar gekomen als gevolg van een cyberaanval?

Cybercrime en het aantal cyberincidenten nemen in rap tempo toe. Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht. Wel heeft Z-CERT op mijn verzoek gemeld dat er in de afgelopen drie jaar ruim 1300 hulpverzoeken en (cyber)incidenten zijn gemeld bij Z-CERT. Met name in 2021 is het aantal meldingen fors gestegen. Dit komt mede omdat er in 2021 een grote groep nieuwe deelnemers is aangesloten. Onder andere meldden in 2021 vijf zorginstellingen te zijn geraakt door een ransomware-aanval, vier meer dan in 2020 aldus Z-CERT in haar recent gepubliceerde «Cyber Dreigingsbeeld in de zorg 2021»3. In 2019 werden 176 en in 2020 182 hulpverzoeken gemeld bij Z-CERT.
Vraag 4

Deelt u de mening dat het zorgelijk is dat beveiligingsexperts constateren dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Hoe beoordeelt u dit in het licht van het vitale karakter van zorgprocessen?

De beveiliging en beschikbaarheid van ICT in de zorg verdienen blijvend aandacht. Mijn beleid focust zich op het verhogen van bewustwording van de noodzaak tot beveiliging van de gevoelige persoonsgegevens die juist in de gezondheidszorg zo’n grote rol spelen. Ik herken mij niet in het beeld dat de zorgsector achter zou lopen op andere sectoren als het gaat om digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen en andere zorginstellingen grote stappen gezet op het gebied van informatiebeveiliging, waaronder het verhogen van cyberbewustwording, het (collectief) aansluiten bij Z-CERT en ook het aantoonbaar voldoen aan de wettelijk verplichte NEN 7510.
Vraag 5

Klopt het dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2021 al concludeerde dat de informatiebeveiliging van de meeste ziekenhuizen niet voldoet aan de gestelde eisen? Zo ja, welke consequenties zijn er voor ziekenhuizen die hier niet aan voldoen? Zijn sinds de conclusie van de Inspectie stappen gezet om de informatiebeveiliging van deze ziekenhuizen op het juiste niveau te krijgen? Zo ja, welke? Zo nee, waarom niet?

Het artikel van Nu.nl refereert aan een publicatie van de IGJ van december 2021 over het toezicht op e-health bij 22 ziekenhuizen («Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren»). De inspectiebezoeken vonden plaats in de periode tussen september 2017 en oktober 2021. Hierbij keek de inspectie onder andere naar het thema informatiebeveiliging: ziekenhuizen moeten een managementsysteem voor informatiebeveiliging hebben dat voldoet aan de wettelijk verplichte norm NEN 7510. Een onderdeel van deze norm is dat een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging aanwezig moet zijn. Bij meer dan de helft van de bezochte ziekenhuizen bleek dit op het moment van het inspectiebezoek niet het geval. De ziekenhuizen die onvoldoende konden aantonen dat zij voldeden aan de norm, kregen de opdracht van de inspectie om dit alsnog aan te tonen. Dit betekende in de praktijk dat de meeste van deze ziekenhuizen alsnog een onafhankelijke beoordeling moesten laten uitvoeren en zo nodig naar aanleiding van de uitkomsten een verbeterplan moesten doorvoeren.
De desbetreffende ziekenhuizen gaven hieraan gehoor. Bij acht ziekenhuizen heeft dit er vervolgens toe geleid dat zij een (niet wettelijk verplicht) certificaat hebben behaald voor NEN 7510. Uit de publicatie van de IGJ van december 2021 kunnen geen conclusies worden getrokken over de ziekenhuizen die niet zijn bezocht. In de publicatie van de inspectie roept de inspectie alle ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. De inspectie zal ook andere ziekenhuizen hierop in de toekomst aanspreken als bij een thematisch bezoek blijkt dat de informatiebeveiliging niet aantoonbaar voldoet aan de norm.
Vraag 6

Welke maatregelen nemen ziekenhuizen al dan niet in samenwerking met Z-CERT, om cyberaanvallen te voorkomen? In hoeverre wordt bijvoorbeeld geoefend met Z-CERT op cyberincidenten? In hoeverre wordt de Kwetsbaarheden Analyse Tool (KAT) al ingezet binnen de zorgsector om doorlopend te scannen op kwetsbaarheden?

In de afgelopen jaren hebben ziekenhuizen extra beveiligingsmaatregelen getroffen om de toenemende cyberdreiging het hoofd te bieden. De wettelijk verplichte NEN 7510 norm biedt hiervoor een goed kader. Ook zien we dat steeds meer ziekenhuizen zich laten certificeren tegen deze NEN norm. Met onder meer de publicatie van richtlijnen ter voorkoming van ransomware en met het organiseren van webinars draagt Z-CERT bij aan het vergroten van het bewustzijn en het treffen van adequate maatregelen. Z-CERT informeert en adviseert ziekenhuizen dagelijks over dreigingen en incidenten met betrekking tot hun zorginformatiesystemen. Ook helpt Z-CERT-ziekenhuizen zich voor te bereiden op (en om te gaan met) ernstige ICT-incidenten of ICT-crises. Deze inspanningen dragen bij aan het voorkomen van cyberincidenten. In samenwerking met een aantal ziekenhuizen voert Z-CERT op beperkte schaal al cyberoefeningen uit. Het voornemens is om in de komende jaren verder te investeren in het organiseren van cyberoefeningen bij ziekenhuizen en andere deelnemers van Z-CERT. Dat ondersteun ik.
De Kwetsbaarheden Analyse Tool (KAT) wordt op dit moment specifiek toegepast in het zorgdomein. Thans loopt er een project bij Z-CERT om deze dienst in te richten en te operationaliseren en deze beschikbaar te stellen aan zorginstellingen. Dit in aanvulling op andere middelen die worden ingezet om deelnemers van Z-CERT te controleren op kwetsbaarheden en proactief te waarschuwen.
Vraag 7

Deelt u de mening dat het van groot en urgent belang is dat ziekenhuizen maatregelen treffen, zeker gezien de COVID-19-crisis, om cyberaanvallen te voorkomen? Zo ja, bent u bereid om op korte termijn mét de sector en Z-CERT te werken aan maatregelen om zorginstellingen, zoals ziekenhuizen, digitaal weerbaar te maken? Op welke termijn verwacht u de Kamer hierover te kunnen informeren? Zo nee, waarom niet?

Ik vind het van belang dat zorginstellingen de aan hun toevertrouwde informatie beveiligen en beschermen. Tegelijkertijd zullen er in de digitale wereld altijd cyberrisico’s blijven. Het is zaak die te onderkennen, zoveel mogelijk te mitigeren, voortdurend te bewaken en in te grijpen bij (dreigende) verstoringen. Zorginstellingen moeten daar alert op zijn aangezien zij zelf verantwoordelijk zijn voor het op orde hebben en houden van hun informatiebeveiliging. Ik werk momenteel al samen met de sector en Z-CERT om de zorg weerbaarder te maken.
Ik ondersteun Z-CERT met het risicogestuurd uitbreiden van het aantal deelnemers. Z-CERT heeft nu ruim 200 zorginstellingen aangesloten. Dit is een verdubbeling ten opzichte van een jaar eerder. Daarnaast werk ik samen met Z-CERT om openbare diensten en producten te ontwikkelen zoals de reeds verschenen «handreiking verlopen domeinnamen» Z-CERT_Handreiking2021.pdf. Deze handreiking helpt bij het proactief en continu monitoren op kwetsbaarheden van verlopen zorgdomeinnamen.
Om bewustwording over informatiebeveiliging in de zorg te verhogen heb ik in samenwerking met Brancheorganisaties Zorg de wegwijzer «Aan de slag met Informatieveilig gedrag» ontwikkeld en deze medio 2021 beschikbaar gesteld aan het veld4. De wegwijzer helpt zorginstellingen om de informatieveiligheid te verbeteren en helpt hen ook concreet bij het voldoen aan de wettelijk verplichte NEN 7510. In mijn volgende Kamerbrief over elektronische gegevensuitwisseling in de zorg zal ik uw Kamer nader informeren over de vorderingen op het gebied van informatieveiligheid in de zorg.

11 februari 2022 - 25 maart 2022

42 dagen

AirTags
	Sylvana Simons (BIJ1)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Micky Adriaansens (minister economische zaken) (VVD)

Bronnen

1. Trouw 10-02-2022

Vraag 1

Heeft u kennisgenomen van het artikel «Apple’s AirTag blijkt surveillance-netwerk»?1

Ja.
Vraag 2

Deelt u de zorg dat vrouwen en kwetsbare groepen het gevaar lopen om ongewenst gevolgd te worden door AirTags? Zo nee, waarom niet?

In zijn algemeenheid deel ik de zorg dat technologie kan wordt misbruikt om een inbreuk te maken op de levenssfeer van iemand anders. Voor zover valt na te gaan, heeft de politie nog niet te maken gehad met incidenten waarbij een AirTag betrokken was.2 Bovendien heeft Apple op zijn website maatregelen aangekondigd tegen mogelijk misbruik van de AirTag. Uit die reactie blijkt dat Apple inmiddels aanvullende waarborgen tegen misbruik van de AirTag heeft ingebouwd.3 Enkele van die waarborgen zijn dat gebruikers tijdens de configuratie van hun AirTag een bericht zien waarin duidelijk staat dat AirTag is bedoeld voor het volgen van eigen bezittingen, dat het volgen van personen in veel landen een misdrijf is, dat AirTag zo is ontworpen dat slachtoffers hem kunnen detecteren, en dat wetshandhavingsdiensten gegevens kunnen opvragen waarmee de eigenaar van de AirTag kan worden geïdentificeerd.4
Vraag 3

Welke andere risico’s zit u nog meer bij de huidige implementatie van de AirTag voor de Nederlandse samenleving?

Zoals hiervoor uiteengezet in het antwoord op vragen 4 en 5, acht ik het juridisch kader toereikend om aan het risico op onverhoopt onrechtmatig gebruik van de AirTag en daarmee vergelijkbare toepassingen op te treden. Uiteraard houdt het kabinet de ontwikkelingen nauwlettend in de gaten.
Vraag 4

Bent u, gezien het potentieel misbruik van AirTags voor stalking, van mening dat de huidige Wet Belaging voldoet, vooral gezien het feit dat het hier gaat om een klachtdelict waardoor vervolging enkel plaats kan vinden als een slachtoffer aangifte heeft gedaan? Zo ja, kunt u dit toelichten? Zo nee, welke acties overweegt u te ondernemen om burgers beter te beschermen tegen stalking door middel van technologie zoals AirTags?

Volgens art. 285b Wetboek van Strafrecht (Sr.) maakt iemand zich schuldig aan belaging wanneer hij of zij wederrechtelijk stelselmatig opzettelijk inbreuk maakt op de persoonlijke levenssfeer van een ander, met het oogmerk diegene te dwingen iets (niet) te doen of toe te staan, dan wel angst aan te jagen. Er kan op verschillende manieren zijn voldaan aan de bestanddelen van deze strafbepaling; ook locatietracking kan hierbij meespelen. Een en ander hangt af van de feiten en omstandigheden van het geval. Ik deel de mening dan ook niet dat deze strafbepaling niet langer voldoet.
Dat belaging een klachtdelict is, maakt dit niet anders. De keuze hiervoor is gemaakt om te voorkomen dat bij vervolging wegens belaging, de privacy van het slachtoffer in het gedrang komt. Door de eis van een klacht, kan worden voorkomen dat vervolging en een rechtszaak ertoe bijdragen dat bepaalde privacygevoelige informatie over het slachtoffer ongewild in de openbaarheid worden gebracht. Ook kan zo worden voorkomen dat het slachtoffer, bijvoorbeeld tijdens een getuigenverhoor of een openbare rechtszitting, ongewild wordt geconfronteerd met de dader.5 Het klachtvereiste is gesteld omdat bij belaging het persoonlijk belang van het slachtoffer niet te worden geconfronteerd met eventuele negatieve gevolgen van een strafvervolging voorrang heeft boven het algemeen belang van strafvervolging.
Het feit dat vervolging afhankelijk wordt gesteld van een klacht van het slachtoffer, betekent overigens niet dat er geen opsporingsonderzoek mag plaatsvinden. Dat opsporingsonderzoek dient dan gericht te zijn op het informeren van potentiële aangevers en hen in staat te stellen om een klacht in te dienen.6
Vraag 5

Bent u van mening dat het bestaan van het «Zoek mijn»-netwerk in strijd is met de Algemene Verordening Gegevensbescherming? Zo ja, welke acties verbindt u aan deze conclusie? Zo nee, waarom niet?

De Algemene Verordening Gegevensbescherming (AVG) kent een uitzondering voor het verwerken van persoonsgegevens door natuurlijke personen voor louter persoonlijke en huishoudelijke doeleinden.7 Het door een natuurlijk persoon kunnen volgen van een locatie in bijvoorbeeld gezinsverband valt dan ook buiten het werkingsgebied van de AVG. Voor andere gevallen, of voor gevallen waarin de privésfeer wordt geraakt van anderen dan degene die door middel van dit systeem gegevens verwerkt, geldt dat hiervoor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel moet zijn alsook dat er een legitieme verwerkingsgrondslag voor kan worden gevonden in de AVG, bijvoorbeeld toestemming van de betrokkene. Verder geldt in dit geval de AVG wel voor Apple die de middelen verschaft voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. Ik heb dan ook geen aanleiding om aan te nemen dat de genoemde functie per definitie strijdig is met de AVG. Of in voorkomende gevallen de AVG is geschonden, is aan de Autoriteit Persoonsgegevens als toezichthouder ter beoordeling.
Vraag 6

Bent u bereid om in EU-verband te bespreken hoe het gebruik van de AirTag en soortgelijke technologieën gereguleerd kunnen worden? Zo ja, kunt u hier de termijn van aangeven? Zo nee, waarom niet?

Zie antwoord vraag 3.
Vraag 7

Op welke andere wijzen beoogt u te investeren in het voorkomen van stalking door middel van technologieën als de AirTag in de Nederlandse maatschappij?

De afgelopen jaren zetten de meest betrokken organisaties, politie, Openbaar Ministerie, Reclassering, Veilig Thuis en Slachtofferhulp Nederland steeds meer in op het zo vroegtijdig mogelijk en zo lang als nodig samenwerken om stalking te voorkomen. Het gaat hierbij om het zeker stellen van de veiligheid van slachtoffers, het inzetten van de noodzakelijke interventies om de stalking duurzaam te stoppen, het opsporen en vervolgen van plegers en het voorkomen van recidive.
De Minister van Justitie en Veiligheid heeft in de kamerbrief van 28 juni 2021 de voortgang op de aanpak stalking toegelicht.8 Met deze aanpak is afgelopen jaren, en wordt nog steeds, ingezet op vier sporen:9 betere herkenning en inschatten van risico’s;10 versterken regie;11 verscherpte strafrechtelijke aanpak, en;12 versterken slachtofferveiligheid.
Nieuwe digitale en technische toepassingen bieden stalkers steeds meer mogelijkheden. Slachtoffers van stalking moeten over die ontwikkeling goed worden geïnformeerd. Daarom is de emotionele, praktische en juridische ondersteuning die Slachtofferhulp Nederland biedt, ook specifiek voor slachtoffers van stalking belangrijk. Slachtofferhulp Nederland houdt nauwlettend maatschappelijke ontwikkelingen (zoals de zorgen over de Apple AirTag bij stalking) bij en past, indien nodig, het staande beleid aan en informeert daar alle medewerkers over. Slachtoffers kunnen via de website van Slachtofferhulp Nederland informatie vinden over stalking. Daar staan ook tips over veiligheid en bescherming.
Vraag 8

Op welke wijze beoogt u te investeren in de ondersteuning van slachtoffers van stalking door middel van technologieën als de AirTag?

Zie antwoord vraag 7.

4 februari 2022 - 16 maart 2022

40 dagen

De vacature ‘Senior beleidsmedewerker interceptie en digitale opsporing.’
	Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. Werken voor Nederland, 25 januari 2022, «Senior beleidsmedewerker int…

Vraag 1

Bent u bekend met bovenstaande vacature?1

Ja.
Vraag 2

Klopt het dat de functie onder andere het onderzoeken naar de (voor- en nadelen van) mogelijkheden om communicatie van OTT-communicatiediensten, zoals Whatsapp, Signal e.d. op een proportionele wijze aftapbaar te maken, omvat? Zo ja, kunt u deze te verrichten werkzaamheden toelichten?

Ja, dat klopt. Als onderdeel van het onderzoek dat in de vacaturetekst wordt genoemd is er een inventarisatie gaande om mogelijkheden te onderzoeken voor rechtmatige toegang tot versleutelde digitale communicatie, om vervolgens de voor- en nadelen daarvan voor alle betrokken zwaarwegende belangen te analyseren. Daardoor wordt geïnformeerde en zorgvuldige besluitvorming door het kabinet en uw Kamer mogelijk. Tijdens deze inventarisatie wordt expliciet de mogelijkheid opengehouden dat geen proportionele oplossing zich aandient, waardoor voortgang op dit traject op dat moment niet prudent is. Hieronder volgt een nadere onderbouwing.
Politie, het OM en de inlichtingen- en veiligheidsdiensten (IenV-diensten) geven al langere tijd aan dat het wijdverspreide gebruik van digitale communicatiediensten een negatieve impact heeft op de effectiviteit van de interceptiebevoegdheden. Dat komt onder meer door het volgende. Over-The-Top (OTT) communicatiediensten (OTT-communicatiediensten) worden praktisch door iedereen gebruikt. Deze OTT-communicatiediensten kennen geen wettelijke medewerkings- en aftapbaarheidsverplichtingen zoals aanbieders van openbare telecommunicatiediensten en -netwerken die wel hebben. Bovendien is er geen sprake van een ontsleutelplicht voor dergelijke aanbieders van communicatiediensten. Daarbovenop maken zij gebruik van een type versleuteling waardoor niet alleen opsporings- en IenV-diensten zijn uitgesloten van toegang tot deze communicatie, maar ook de aanbieders van de diensten zelf. Rechtmatige toegang is hierdoor niet mogelijk, ongeacht de bevoegdheden daartoe, passende juridische waarborgen of de ernst van het criminele feit of de dreiging.
De zorgen geuit door de opsporings- en IenV-diensten over de effectieve uitvoering van hun wettelijke taak neem ik serieus. Het betreft hier het vermogen van deze diensten om hun kerntaken uit te voeren: criminaliteit opsporen, verdachten voor de rechter brengen en de Nederlandse veiligheid bewaken.
Tegelijkertijd ben ik mij er zeer van bewust dat het een bijzonder complex vraagstuk is met veel betrokken vakgebieden en belangen. Ook door dit kabinet wordt de noodzaak voor goede, sterke versleuteling van digitale communicatie onderschreven alsook het belang hiervan voor cybersecurity, nationale veiligheid en de bescherming van fundamentele rechten en vrijheden. Zie hiervoor ook het antwoord op vraag vier.
Uw Kamer is bekend met de initiatieven die door het vorige kabinet met betrekking tot de interceptie van communicatie via OTT-communicatiediensten in gang zijn gezet en de motivatie daarvoor, alsook de dilemma’s die in dit vraagstuk naar voren komen en in deze beantwoording verder worden toegelicht. Naast deze nationale verkenning is in dit traject ook een initiatief op EU-niveau in gang gezet. Nederland staat niet alleen in de zoektocht naar een passende, rechtstatelijke oplossing voor dit bijzonder complexe vraagstuk. De Commissie heeft aangegeven in 2022 een «way forward» te willen voorstellen op dit dossier. Daarbij pleit ik ook structureel, mede in EU verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, opsporingsdiensten, het maatschappelijk middenveld en de wetenschap wordt gezocht. Gedurende het EU traject vindt ook afstemming plaats tussen mijn Ministerie en de I&V-diensten.
Vraag 3

Wat is volgens u het uiteindelijke doel van het onderzoeken naar de mogelijkheden om communicatie van OTT-diensten op een proportionele wijze aftapbaar te maken? Hoe verhoudt dit doel zich tot het bredere cybercrime beleid?

Zoals ik in mijn antwoord op vraag 2 heb aangegeven is het doel van de inventarisatie om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien een mogelijke oplossing voor interceptie van versleutelde communicatie via OTT-communicatiediensten wordt gevonden, dan moet men goed inschatten wat de impact is op de cybersecurity, nationale veiligheid en bescherming van fundamentele rechten en vrijheden, zoals eerbiediging van de privacy. Indien een proportionele oplossing zich niet aandient, moeten we bijvoorbeeld ook goed analyseren wat dit betekent voor de mogelijkheden van de opsporing en IenV-diensten om criminaliteit op te sporen en onze maatschappij veilig te houden.
Dit traject staat los van het cybercrime beleid. De beschermende waarde van encryptie om te voorkomen dat criminelen toegang krijgen tot persoonlijke gegevens staat niet ter discussie. Daarbij moet ook worden bedacht dat rechtmatige toegang tot versleutelde communicatie ook de veiligheid van de maatschappij en burgers kan verbeteren doordat illegale inhoud kan worden erkend, onderschept, verwijderd en slachtofferschap wordt voorkomen of geminimaliseerd. De interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit. Daarbij gelden passende juridische waarborgen: er moet toestemming worden verleend door een bevoegde autoriteit – de rechter-commissaris bij de inzet ten behoeve van de opsporing – die in concrete gevallen telkens een proportionaliteitsafweging maakt.
Ook in opsporingsonderzoeken naar misdrijven die alleen in de fysieke wereld worden gepleegd communiceren verdachten onderling of met derden over de planning of uitvoering van het misdrijf via OTT-communicatiediensten. Gegeven het belang van de interceptiebevoegdheid voor vele typen criminaliteit en de ontwikkeling in het gebruik van OTT-communicatiediensten is het WODC gevraagd om onderzoek te doen naar de impact van encryptie op de opsporing. Dit onderzoek kan helpen bij de weging van de proportionaliteit van een eventuele oplossing.
Vraag 4

Hoe kijkt u naar het gebruik van end-to-end encryptie door OTT-communicatiediensten zoals Whatsapp en Signal? Wat zijn volgens u hier de voor- en nadelen van?

Ook dit kabinet erkent het belang van de ontwikkeling, beschikbaarheid en het gebruik van encryptie. Het is van groot belang de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data te beschermen. Dat is belangrijk voor de eerbiediging van de persoonlijke levenssfeer, het vertrouwen van mensen in digitale producten en diensten en voor de Nederlandse economie in het licht van de digitale maatschappij. Dit kabinet stelt zich in het coalitieakkoord ook ten doel om privacy van burgers te verbeteren, fundamentele burgerrechten online te erkennen en veilige digitale communicatie te versterken.
In het coalitieakkoord wordt echter ook een ambitieuze agenda neergelegd voor de aanpak van ondermijnende criminaliteit, radicalisering en extremisme, cybercriminaliteit en de slagkracht van de opsporings- en IenV-diensten. Interceptie van communicatie is voor het realiseren van deze doelen van belang.
De voor- en nadelen die gelden voor de versleuteling in het algemeen gelden ook voor end-to-end versleuteling. Zoals ik in antwoord op vraag twee reeds benoemd heb, zijn door de implementatie van dit type versleuteling opsporings- en IenV-diensten uitgesloten van rechtmatige toegang tot deze communicatie via de aanbieder. Ongeacht de passende juridische waarborgen of de ernst van het criminele feit of de dreiging. Dit heeft tot gevolg dat opsporings- en IenV-diensten meer aangewezen zijn op alternatieve mogelijkheden om alsnog toegang tot de informatie te verkrijgen, zoals bijvoorbeeld de bevoegdheid tot Opname van Vertrouwelijke Communicatie (OVC) of het op afstand binnendringen in een geautomatiseerd werk.
De effectiviteit van de wet die deze laatste bevoegdheid mogelijk maakt wordt op dit moment geëvalueerd door het WODC, het rapport verwacht ik in de eerste helft van 2022. In het algemeen kan worden gesteld dat deze bevoegdheden minder schaalbaar en de effectiviteit er van beperkt voorspelbaar zijn vanwege de vereiste expertise, de kostbaarheid van de uitvoering, de capaciteit die dit vraagt en de vraag of het de opsporings- en inlichtingendiensten überhaupt lukt om toegang te krijgen en te houden tot de gewenste communicatie. Betrouwbare en voorspelbare toegang tot informatie is een belangrijk element in dit vraagstuk.
Vraag 5

Wat zijn volgens u de voor- en nadelen van het aftappen van OTT-communicatiediensten zoals Whatsapp? Kunt u deze toelichten?

Dit is de kernvraag van de inventarisatie die in gang is gezet en hangt af van de mogelijke oplossingen, indien zich een proportionele oplossing aandient. Nederland zet nu primair in op het eerdergenoemde EU-traject. In de tussentijd zal nationale gedachtevorming doorgaan om onder andere een betekenisvolle rol te spelen in dit traject. Daarbij zet ik mij in, zowel nationaal in EU-verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, het maatschappelijk middenveld en de wetenschap wordt gezocht.
Vraag 6

Op welke wijze zou volgens u überhaupt de communicatie van deze OTT-diensten op proportionele wijze aftapbaar kunnen worden gemaakt? Kunt u dit toelichten?

Dit punt is onderwerp van de inventarisatie. Ik kan hierop nog geen antwoord geven. Ik zal uw Kamer indien het onderzoek resultaten heeft opgeleverd informeren over de uitkomsten en meenemen in de weging en verdere gedachtenvorming. Dat doe ik ook met een zeer brede groep van stakeholders: academici, het maatschappelijk middenveld, OTT-communicatiediensten, opsporings- en IenV-diensten.

3 februari 2022 - 28 februari 2022

25 dagen

De verplichte MY2022 app bij de Olympische Spelen
	Ruben Brekelmans (VVD), Queeny Rajkowski (VVD), Rudmer Heerema (VVD)
	Kuipers , Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA)

Vraag 1

Kunt u verzekeren dat de verzamelde data van gebruikers van de MY2022 app niet worden gebruikt voor sociale en politieke surveillance? Zo niet, waarom niet?

De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.
Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen- en Veiligheidsdiensten.
Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s te beperken.
Vraag 2

Bent u zich ervan bewust dat de webadressen van de MY2022 app niet SSL-gecertificeerd zijn, waardoor de data van gebruikers mogelijk bereikbaar zijn voor hackers of andere malafide gebruikers?

CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd. Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een deel van de communicatie wordt überhaupt niet versleuteld.
Vraag 3

Kunt u garanderen dat de gebruikersinformatie over de MY22 app niet wordt gedeeld met derde partijen? Zo nee, kunt u aangeven met wie de data gedeeld wordt?

CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld. Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen, een navigatieservice en iFlytek.
Vraag 4

Kunt u verzekeren dat de veiligheid van Nederlandse gebruikers is gegarandeerd, indien zij zich uitlaten over de informatie die binnen de app als «politiek gevoelig» bestempeld is?

De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers. De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd «illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts weinig gebruik maken van deze chatfunctie.
Vraag 5

Kunt u erop aandringen bij het Internationaal Olympisch Comité (IOC) en Chinese autoriteiten dat de app voor de start van de Olympische Spelen voldoet aan de veiligheid- en privacy standaarden zoals omschreven in de AVG? Indien dit niet mogelijk blijkt, kunt u er dan op aandringen bij het IOC en de Chinese autoriteiten dat de app niet verplicht wordt gesteld en er alternatieven worden geboden om de noodzakelijke informatie aan te leveren? Zo nee, waarom niet?

De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid- en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze verplichting te voldoen zonder gebruik van de app.
Vraag 6

Wat is uw oordeel over het feit dat onze topsporters en hun begeleiding door de keuze voor Beijing als organisator van de Olympische Spelen een extreem hoog risico lopen om persoonlijke informatie zoals trainingsschema’s, informatie over fysiek gestel en mentale aspecten kwijt te raken aan de gastheer? Op welke wijze gaat u dit op internationaal niveau aankaarten bij het IOC?

De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.), vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel of mentale aspecten.
Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook een eigenstandige rol te spelen.
Vraag 7

Kunt u bij het IOC erop aandringen om de beperkte veiligheid- en privacy problemen van de MY2022 app te communiceren aan de gebruikers hiervan?

Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022 app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden dat de oorspronkelijke kwetsbaarheid is opgelost.
Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt kunnen worden.
Vraag 8

Kunt u aangeven welke maatregelen Nederland gaat nemen om te zorgen dat dit soort onveilige verplichte apps in de toekomst niet meer gebruikt worden bij (sport-)evenementen in China en elders?

Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie in de contacten met het land waar het evenement wordt gehouden.
De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig.
Vraag 9

Bent u het ermee eens dat de veiligheid, en dus ook de privacy, van onze topsporters, waaronder ook de data van hun eventuele familie, vrienden en andere contacten, gegarandeerd moeten worden, zodat de topsporters zich kunnen concentreren op hun sportprestaties? Zo ja, hoe gaat u dit garanderen? Welke andere risico’s lopen de topsporters op dit gebied?

Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen gaan.
Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische Spelen worden gehouden.

2 februari 2022 - 24 februari 2022

22 dagen

Het bericht 'Europese Rekenkamer: uitrol 5G te traag en te versnipperd'
	Queeny Rajkowski (VVD), Inge van Dijk (CDA)
	Micky Adriaansens (minister economische zaken) (VVD)

Bronnen

1. NOS, 24 januari 2022 (https://nos.nl/artikel/2414387-europese-rekenka…
2. Europese Rekenkamer, 24 januari 2022 (https://www.eca.europa.eu/nl/Pa…

Vraag 1

Bent u bekend met het bericht «Europese Rekenkamer: uitrol 5G te traag en te versnipperd»?1

Ja, daar ben ik bekend mee.
Vraag 2

Bent u bekend met het speciaal verslag van de Europese Rekenkamer naar de uitrol van 5G in de Europese Unie (EU)?2

Zie antwoord vraag 1.
Vraag 3

Herkent u in algemene zin de conclusies van de Europese Rekenkamer en onderschrijft u deze? Welke conclusies wel en welke conclusies niet?

In algemene zin steun ik de conclusies en aanbevelingen zoals benoemd in het rapport van de Europese Rekenkamer. Ik steun echter niet de aanbeveling die wordt gedaan in onderdeel a van Aanbeveling 1. Deze aanbeveling strekt er toe samen met de lidstaten een gemeenschappelijke omschrijving te ontwikkelen van de verwachte kwaliteit van de dienst van 5G-netwerken, zoals de prestatie-eisen die deze netwerken moeten bieden qua minimumsnelheid en maximumlatentietijd.
Zoals in de Nota Mobiele Communicatie is aangegeven, is het de doelstelling van het kabinet om te streven naar kwalitatief hoogwaardige mobiele dienstverlening die een grote diversiteit aan vraag kan bedienen en die altijd en overal beschikbaar is tegen concurrerende tarieven.3 In dit kader is van belang wat daarin is aangegeven over het kunnen bedienen van een grote diversiteit aan vraag. Naarmate meer en meer ondernemingen mobiele communicatie een integraal onderdeel van hun product of dienstverlening maken, worden de eisen die aan mobiele communicatie worden gesteld steeds meer divers. Om economie en samenleving te kunnen laten profiteren van de mogelijkheden die mobiele communicatie creëert is van belang dat de vraag van uiteenlopende ondernemingen en andere gebruikers wordt bediend.4 Het stellen van uniforme eisen aan de kwaliteit van alle 5G-netwerken laat onvoldoende ruimte aan mobiele netwerkaanbieders om hun netwerken en dienstverlening toe te spitsen op de eisen van hun klanten. Het heeft ook als risico dat de eisen slechts een beperkt aantal ondernemingen en gebruikers ten goede komt, ten nadele van anderen.
Ten aanzien van aanbeveling 2 en 3 wil ik verder benadrukken dat in overleg met de Europese Commissie en andere lidstaten zal moeten worden beoordeeld of er behoefte is aan verdere opvolging of dat dit binnen bestaande trajecten kan worden opgepakt. Hierin zal rekening worden gehouden met de nationale bevoegdheden op het terrein van nationale veiligheid. Op korte termijn zal de Commissie hierover het gesprek met de lidstaten en het EU-agentschap voor cybersecurity ENISA aangaan via de zogenaamde NIS Cooperation Group. De Nederlandse inzet in dit gesprek is en blijft nauwe Europese samenwerking.
Vraag 4

Voorziet u net als de auditors een «digitale kloof», vanwege de verschillen in kwaliteit van 5G-diensten tussen lidstaten? Deelt u hun mening dat een gecoördineerde aanpak inzake de veiligheid van 5G voor de gehele EU van strategisch belang is? Wat zou volgens u moeten gebeuren om een digitale kloof te voorkomen en een gecoördineerde aanpak te bevorderen?

Nee, ik voorzie geen «digitale kloof» zoals in het verslag gesteld. 5G-netwerken werken op basis van apparatuur die voldoet aan bepaalde standaarden. Deze standaarden maken een bepaalde kwaliteit mogelijk door features te ondersteunen die leveranciers vervolgens kunnen verwerken in de ontwikkeling van hun apparatuur. Het is vervolgens aan de mobiele netwerkoperators om hun netwerk op basis van deze features in te stellen en te optimaliseren.
Inzake de veiligheid en integriteit van de 5G-netwerken steun ik conform de moties Weverling c.s.5 en Van den Berg c.s.6 een gezamenlijke Europese aanpak voor de veiligheid van de 5G-telecommunicatiewerken. Een Europese aanpak kan bijdragen aan de effectiviteit van de beveiligingsmaatregelen. De Commissie zal naar aanleiding van het verslag van de Europese Rekenkamer beoordelen of er behoefte is aan verdere opvolging, bijvoorbeeld met betrekking tot bepaalde aspecten van de EU 5G security toolbox.Nederland staat hier in principe positief tegenover en zal hierbij een actieve rol innemen. Zoals ik hierboven aangeef, zal Nederland blijven inzetten op nauwe Europese samenwerking, waarbij rekening zal worden gehouden met de nationale bevoegdheden inzake nationale veiligheid.
Vraag 5

Bent u tevreden met het huidige uitvoeringstempo van de uitrol van 5G in Nederland, met 2025 als deadline voor 5G in alle stedelijke gebieden en op alle belangrijke transportroutes, of vindt u dat dit te laag is, zoals ook uit het verslag van de Europese Rekenkamer blijkt, waardoor Nederland achterop raakt? In hoeverre verwacht u dat de uitrol van 5G buiten stedelijke gebieden ook vertraging zal oplopen?

De uitrol van 5G-netwerken in Nederland gaat voorspoedig. Ook buiten de stedelijke gebieden. Dit blijkt onder meer uit de dekkingskaarten van de drie mobiele netwerkaanbieders en de Digital European Society Index. Hierbij past uiteraard wel de kanttekening dat beschikbaarheid van de 3,5 GHz-band van belang is. Niettemin kan met de 5G-netwerken die reeds zijn uitgerold worden voldaan aan de genoemde doelstelling voor 2025. Het is de verwachting dat de uitrol van 5G de komende jaren zal doorzetten, en dat daarbij grotendeels gebruik zal worden gemaakt van de bestaande netwerkopstelpunten waarmee de drie mobiele netwerken gezamenlijk vrijwel heel Nederland van dekking voorzien. Zo ook de belangrijke transportroutes.
Vraag 6

Welke acties gaat u ondernemen om tot een versnelde uitrol van 5G te komen, wetende dat de onlangs ingestelde adviescommissie pas dit voorjaar haar advies uitbrengt, waarna nog politieke besluitvorming, een wijziging van het Nationaal Frequentieplan, eventueel bezwaar en beroep daartegen en vaststelling van de veilingregeling volgen, waardoor de vertraging nog verder kan oplopen? Kunt u aangeven wat de vervolgstappen en bijbehorende deadlines zijn voor de rest van het traject, tot en met uitgifte van het 5G-spectrum, inclusief planning en maatregelen om die planning ook daadwerkelijk te halen?

De ingestelde adviescommissie is gevraagd te adviseren hoe ik op een verantwoorde wijze kan komen tot het zo spoedig mogelijk ter beschikking stellen van de 3,5 GHz-band voor mobiele communicatie in heel Nederland, op een wijze die ook het nood-, spoed- en veiligheidsverkeer dat in de 3,5 GHz-band wordt verzorgd, waarborgt. Het streven is dat uiterlijk 1 mei 2022 het advies gereed is teneinde uiterlijk 1 oktober 2022 een nieuw besluit over het wijzigen van het Nationaal FrequentiePlan te kunnen nemen. De exacte datum van ingebruikname van de 3,5 GHz-band hangt echter af van de inhoud van het advies van de adviescommissie en daaraan is ook de verdere planning van de veiling gekoppeld. Ik kan nu niet vooruitlopen op het advies van de adviescommissie. Ik zal zodra ik het advies heb ontvangen, uw Kamer over het advies en over de vervolgstappen en nadere planning informeren. Het blijft uiteraard de inzet om zo snel mogelijk de frequentieband voor mobiele communicatie in gebruik te laten nemen.
Vraag 7

Van welke Europese middelen, initiatieven, richtsnoeren en/of financiering, maakt Nederland gebruik in zijn 5G-strategie en hoe worden deze ingezet? Zijn er nog Europese mogelijkheden die niet benut zijn?

De Europese Rekenkamer noemt in haar rapport de Europese Investeringsbank (EIB) als grootste verstrekker van EU-financiering voor 5G-gerelateerde projecten. Voor zover bekend maakt één Nederlandse telecomaanbieder gebruik van dit fonds voor de uitrol van 5G.
Voor onderzoeks- en innovatieprojecten op het gebied van 5G maken Nederlandse bedrijven en kennisinstellingen gebruik van EU-onderzoeksfondsen. Een voorbeeld is het 5G-Blueprint project dat wordt gecoördineerd door het Ministerie van Infrastructuur en Waterstaat7. Ook binnen het onderzoeksprogramma Horizon Europe voor de periode 2021–2027 liggen er mogelijkheden. Verder zijn enkele 5G-proeftuinen in Nederland mede gefinancierd uit het Europees Fonds voor regionale ontwikkeling (EFRO).
Daarnaast ontstaan er mogelijkheden binnen de financieringsfaciliteit voor Europese verbindingen, de Connecting Europe Facility. Deze faciliteit ondersteunt ook de uitrol van 5G langs grensoverschrijdende transportwegen en ten behoeve van lokale gemeenschappen, daar waar investeringen in de markt niet vanzelf tot stand komen. Gedurende de periode 2021–2027 kunnen op basis van jaarlijkse oproepen door de Europese Commissie projectvoorstellen voor medefinanciering worden ingediend. Uit contacten met de sector blijkt vooralsnog beperkte interesse.
Vraag 8

Wat is uw reactie op de zorg van de auditors dat (persoonlijke data van) 5G-gebruikers in de EU niet veilig zijn, bijvoorbeeld omdat zij bij bezoek aan een ander EU-land onderworpen zijn aan buitenlandse wetgeving en controlecentra in niet-EU-landen staan? Wat kan de EU hiertegen doen?

Partijen moeten wanneer zij in de EU producten of diensten aanbieden voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de Algemene Verordening Gegevensbescherming (AVG) biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Het is primair aan de toezichthouders op de AVG in de Europese lidstaten om erop toe te zien dat er passende waarborgen zijn getroffen.
Vraag 9

Deelt u de constatering van de auditors dat lidstaten de niet-bindende maatregelen uit de EU-toolbox voor 5G-cyberbeveiliging verschillend toepassen en anders omgaan met (apparatuur van) leveranciers met een hoog risico? Zijn Nederlandse 5G-gebruikers hierdoor extra kwetsbaar, als zij een andere EU-lidstaat bezoeken? Bent u bereid om bij de eerstvolgende gelegenheid deze kwestie aan te kaarten bij uw Europese collega’s teneinde tot oplossingen en/of waarborgen te komen?

Nationale veiligheid is een nationale bevoegdheid. Wegens het grensoverschrijdende karakter van cybersecurity is EU samenwerking echter noodzakelijk. Daarom is voor de bescherming van de veiligheid en integriteit van mobiele telecomnetwerken gekozen voor een tussenvorm van een EU-aanbeveling, gecombineerd met nauwe samenwerking tussen de lidstaten voor de identificatie van risico’s en risicobeperkende maatregelen. De EU 5G security toolbox is een flexibel, op risico’s gebaseerd instrument om 5G-cyberveiligingsuitdagingen tijdig en efficiënt aan te pakken. Hierbij wordt rekening gehouden met de uiteenlopende nationale situaties van lidstaten, zoals de desbetreffende marktstructuur, cyberbeveiligingscapaciteiten en het dreigingsbeeld. De implementatie van de toolbox verschilt daarom per lidstaat, ieder land maakt hierin een zelfstandige afweging en hanteert eigen nationaal vastgestelde afwegingskaders. Binnen de EU wordt op regelmatige basis de voortgang van de implementatie van nationale maatregelen besproken en is er mogelijkheid om informatie uit te wisselen over risicoanalyses en oplossingsrichtingen. Nederland neemt actief deel aan deze besprekingen. Hierin staan we open voor eventuele verbetersuggesties, waarin vervolgens wel rekening gehouden dient te worden met nationale bevoegdheden inzake nationale veiligheid.
Vraag 10

Klopt het dat er onduidelijkheid bestaat over compensatie voor hoge vervangingskosten door telecomoperators of dat er in dat geval sprake is van staatssteun en of de mededingingsregels van de EU dit toestaan? Wanneer zal hierover duidelijkheid zijn? Zijn Nederlandse telecomoperators gecompenseerd voor de hoge vervangingskosten die zij hebben moeten maken in het kader van een veilige uitrol van 5G? Indien ja, voor welk bedrag?

Wat betreft nadeelcompensatie geldt dat voor het vergoeden van nadeel ik gehouden ben aan het nadeelcompensatierecht. Uitgangspunt is dat eenieder die nadeel lijdt als gevolg van de rechtmatige uitvoering van een publiekrechtelijke taak of bevoegdheid, dat nadeel in beginsel zelf dient te dragen. Alleen onevenredige schade die het normaal ondernemersrisico overstijgt, wordt vergoed. Er zijn nog geen aanvragen voor nadeelcompensatie ontvangen van de telecomaanbieders en ik heb dus ook nog niet ter zake kunnen besluiten. Als er een aanvraag ingediend wordt, zal deze worden beoordeeld in overeenstemming met het nadeelcompensatierecht.
Vraag 11

Wanneer publiceert de Europese Commissie haar onderzoek naar de economische schade bij een niet veilig en niet uniform 5G-netwerk in de EU? Is hierin ook aandacht voor de economische schade per land of per sector?

In het speciaal verslag doet de Europese Rekenkamer onder andere de aanbeveling die ziet op het in kaart brengen «wat de gevolgen zijn voor de eengemaakte markt wanneer de ene lidstaat zijn 5G-netwerken bouwt met apparatuur van een leverancier die in een andere lidstaat als leverancier met een hoog risico wordt beschouwd». De Commissie heeft in hun reactie op het speciaal verslag deze aanbeveling aanvaard. Op korte termijn zal de Commissie met de lidstaten in gesprek gaan en de precieze vervolgacties vaststellen, waarin rekening zal worden gehouden met nationale bevoegdheden.
Vraag 12

Klopt het dat er parallel aan het bovenstaande een discussie loopt tussen het Ministerie van Economische Zaken en Klimaat en de zogenaamde «lokale vergunninghouders», die tot 2026 «passende bescherming» zouden moeten krijgen? Kunt u toelichten wat hier precies speelt? Is het juist dat hierdoor een belangrijk deel van het 5G-spectrum tot 2026 mogelijk niet in gebruik kan worden genomen of slechts onder restricties en met hoge kosten? Bent in gesprek met de lokale vergunninghouders en mobiele operators om tot oplossingen te komen? Indien niet, wilt u een overleg alsnog zo spoedig mogelijk initiëren?

In de 3,5 GHz band is op dit moment in Nederland verspreid onder de lijn Amsterdam-Zwolle een aantal lokale vergunninghouders actief met een vergunning tot 1 september 2026. Hierbij moet gedacht worden aan vergunninghouders die draadloos breedband aanbieden in het buitengebied en aan lokale netwerken ten behoeve van containeroverslag in bijvoorbeeld de Rotterdamse haven. Deze lokale vergunninghouders bevinden zich nu nog verspreid over de gehele 3,5 GHz-band, maar zullen worden gemigreerd naar het in de toekomst «lokaal» bestemde deel van de frequentieband.
Het gaat hierbij dus om lokale vergunninghouders die bestaande rechten hebben aangaande gebruik in de 3,5 GHz-band tot 2026. Als uitgangspunt geldt daarom dat de toekomstige houders van landelijke vergunningen «passende bescherming» dienen te bieden aan deze lokale vergunninghouders met een vergunning tot 1 september 2026. Hiermee wordt bedoeld dat de landelijke mobiele telecomnetwerken geen storing mogen veroorzaken op de lokale netwerken. De restricties die hiervan het gevolg zijn, kunnen in mijn ogen van beperkte aard en lokaal zijn (in de buurt van de lokale netwerken). Bovendien zijn ze tijdelijk, namelijk tot 1 september 2026. Voor nieuw uit te geven lokale vergunningen zal vanaf het begin het omgekeerde uitgangspunt gelden, waarbij nieuw uit te geven lokale vergunningen geen storing mogen veroorzaken op de landelijke mobiele vergunninghouders. Ik ben inderdaad voornemens om met deze partijen gezamenlijk in gesprek te gaan op korte termijn, omdat zowel bestaande en toekomstige lokale vergunninghouders als ook potentiële landelijke vergunninghouders belang hebben bij afspraken die invulling geven aan deze uitgangspunten.

26 januari 2022 - 24 maart 2022

57 dagen

Het bericht 'Chinese douanescanners Schiphol en Rotterdamse haven onder vuur: 'Dit is onbegrijpelijk''
	Mustafa Amhaouch (CDA), Inge van Dijk (CDA), Hilde Palland (CDA)
	Micky Adriaansens (minister economische zaken) (VVD), Liesje Schreinemacher (minister zonder portefeuille buitenlandse zaken) (VVD), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. RTL Nieuws, 22 januari 2022, «Chinese douanescanners Schiphol en Rott…
2. POLITICO, 5 mei 2010, «Call for higher duty on Chinese cargo scanners…
3. Global News, 18 november 2020, «$ 6.8 million Nuctech deal rejected a…
4. The Wall Street Journal, 28 juni 2020, «U.S. Presses Europe to Uproot…

Vraag 1

Bent u bekend met het bericht «Chinese douanescanners Schiphol en Rotterdamse haven onder vuur: «Dit is onbegrijpelijk»»? Wat is hierop uw reactie?1

Ja, wij zijn bekend met dit bericht. Wij verwijzen u naar de antwoorden van 19 april 2021 van de Minister van Justitie en Veiligheid en de Staatsecretaris van Financiën op de Kamervragen die hierover op 3 februari 2021, 4 februari 2021 en 15 februari 2021 zijn gesteld door, respectievelijk, de leden Yesilgöz-Zegerius en Lodders (VVD), Kuiken (PvdA) en Buitenweg (GroenLinks).2
Vraag 2

Wat vindt u van de situatie dat 26 van de 27 EU-lidstaten apparaten hebben geïnstalleerd van het Chinese bedrijf Nuctech, waarmee zij data kunnen verzamelen en die onderdeel zijn van de grensbewaking van vrijwel de gehele EU? Bent u het ermee eens dat dit zorgwekkend is?

Elke lidstaat maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staande inkoopbeleid is dat er per casus wordt bezien of er risico’s zijn voor de nationale veiligheid en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke veiligheidsrisico’s in verband met het gebruik van buitenlandse toeleveranciers in de scan- en detectieprocessen van de Douane zijn op dit moment onderwerp van onderzoek. In het antwoord op vraag 8 en 9 wordt daar nader op ingegaan. Inzichten uit andere landen worden waar relevant meegenomen in dit onderzoek.
Vraag 3

Aan welke nationale en Europese eisen voor producten en diensten op het gebied van veiligheid en/of informatiedeling moeten deze systemen voldoen en voldoet de Nuctech-apparatuur hieraan? Welke instantie doet de certificering en de controle?

Apparatuur wordt door Douane aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van nationale aanbestedingswetgeving. In dat verband wordt getoetst of op een inschrijver wettelijke uitsluitingsgronden van toepassing zijn. Onderdeel daarvan is dat de leverancier bij het Ministerie van JenV een Gedragsverklaring aanbesteden (GVA) aanvraagt waaruit blijkt dat er geen bezwaren bestaan tegen het gunnen van overheidsopdrachten aan de inschrijvende partij. De leverancier verstrekt die GVA vervolgens aan Douane. Daarnaast maakt Douane sinds 2021 bij aanbestedingen gebruik van het instrumentarium om – voorafgaand aan de aanbesteding – risico’s voor nationale veiligheid bij inkoop en aanbesteding te adresseren. Dit is toegepast in twee actuele aanbestedingstrajecten en heeft niet geleid tot het oordeel dat er sprake is van aan aanbesteding verbonden risico’s voor de nationale veiligheid. Dit instrumentarium wordt toegelicht in het antwoord op de vragen 8 en 9.
Ook kunnen er afhankelijk van het soort apparatuur andere voorschriften gelden waaraan moet worden voldaan. Zo moet voor alle scanapparatuur die Douane aanschaft een vergunning in het kader van de Kernenergiewet worden aangevraagd bij de Autoriteit Nucleaire Veiligheid en Stralingsbescherming. In de situatie waarin de apparatuur moet worden beschermd door een gebouw, dient een bouwvergunning te worden aangevraagd. Bij de aanschaf van voertuigen dient een keuring door de RDW te worden afgegeven. Als er niet aan de eisen (kan) wordt voldaan, of als vergunningen niet worden verleend, wordt niet overgegaan tot gunning van de opdracht. Deze procedure geldt in relatie tot alle leveranciers, dus ook voor Nuctech.
Vraag 4

Kunt u bevestigen dat Nuctech banden heeft met de Chinese overheid?

Zoals aangegeven in de antwoorden op Kamervragen van Buitenweg (GroenLinks)3 kan in algemene zin worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»4. Specifiek zien we dat het Chinese staatsbedrijf China National Nuclear Corporation (CNNC) een aandeel heeft van 21% in de voornaamste aandeelhouder van Nuctech (Tongfang Co. Ltd., met een aandeel van 76%). Het CNCC heeft daarmee dus indirect ca. 16% aan aandelen in Nuctech.
Vraag 5

Kunt u bevestigen dat Nuctech zich bij aanbestedingen bedient van lage biedingen, goedkope onderhoudscontracten en gunstige (staats)leningen?

Nee, dat kunnen wij niet bevestigen. Aanbestedingen van Douane worden binnen de kaders van nationale aanbestedingswetgeving gegund op basis van een combinatie van prijs en kwaliteit, waarbij sinds 2021 het instrumentarium om risico’s voor nationale veiligheid bij inkoop en aanbesteding te adresseren wordt toegepast (zie ook de toelichting in het antwoord op vraag 8 en 9). In aanbestedingstrajecten is Nuctech in de meeste gevallen de aanbieder die de beste kwaliteit levert voor de meest aantrekkelijke prijs. Douane heeft geen inzicht in de basis voor een prijsinschrijving. U wordt hiervoor ook verwezen naar het antwoord op vraag 6.
Momenteel vinden onderhandelingen plaats over het Europese voorstel voor de Verordening buitenlandse subsidies.5 Dit voorstel biedt mogelijkheden om in te grijpen indien er sprake is van overheidssteun uit derde landen die de concurrentie op de interne markt verstoort. Het voorziet onder meer in een meldplicht voor subsidies bij inschrijving op een aanbesteding, indien de geraamde waarde van de aanbesteding boven de nog vast te stellen meldingsdrempel uitkomt. Vervolgens kan deze subsidie vooraf door de Commissie onderzocht worden. Met deze verordening wordt het daarmee in de toekomst mogelijk om een verstorende subsidie bij inschrijving op een aanbesteding te signaleren en aan te pakken.
Vraag 6

Zijn de aanbiedingen van Nuctech bij aanbestedingen in Nederland getoetst op abnormaal lage aanbieding ex artikel 2.116 van de Aanbestedingswet? Indien ja, wat was de uitkomst daarbij? Indien nee, waarom was daar geen aanleiding toe? In hoeverre zijn hier strategische afwegingen gemaakt?

Bij inkomende aanbiedingen op aanbestedingen wordt bekeken of er aanleiding bestaat voor het oordeel dat het prijsdeel niet in verhouding staat tot de te verrichten werken, diensten of leveringen. Daarbij wordt vooral gekeken naar de verhouding tussen de uitvraag en de prijsinschrijving daarop. Wanneer bij een eerste beoordeling het vermoeden ontstaat dat voor de ingeschreven prijs het materiaal niet of nauwelijks geleverd kan worden of dat de prijsopbouw onduidelijk is, geldt de verplichting tot het doen van nader prijsonderzoek conform de procedure voor het afhandelen van abnormaal lage inschrijvingen, zoals bedoeld in artikel 2.116 van de Aanbestedingswet 2012. De prijsaanbiedingen van Nuctech hebben tot op heden geen aanleiding gegeven voor het oordeel dat die abnormaal laag zou zijn als bedoeld in de Aanbestedingswet 2012.
Vraag 7

Bent u bekend met het feit dat Nuctech in het verleden al eens door de Europese Commissie is bestraft voor dumping?2

Ja, het kabinet is bekend met de antidumpingmaatregelen die in de periode 2010 tot 2015 van toepassing waren.
Vraag 8

Onderkent u het risico dat, ondanks het feit dat Nuctech aangeeft dat de scanners die in Nederland worden gebruikt «negen van de tien keer» zelfstandig werkend opereren en geen onderdeel vormen van een netwerk, apparatuur – zeker naar de toekomst toe – kan worden aangepast, zeker met alle ontwikkelingen rondom artificiële intelligentie (AI) en het «Internet of Things»?

Het kabinet kan hier geen garanties over geven. Douane besteedt structureel, onafhankelijk welke leverancier scanapparatuur levert, aandacht aan de bescherming en beveiliging van gegevens. Zo zijn de centrale netwerken voor scan en detectie gescheiden van het netwerk in gebruik bij Douane. Er wordt geen informatie over de controle of de bevindingen aan de scanbeelden toegevoegd. Een scan genereert geen andere informatie dan enkel een scanbeeld van de inhoud van een te scannen object.
Zoals eerder is aangegeven in de bovenbedoelde beantwoording van Kamervragen over Nuctech, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Volgens dit beleid dient bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden te worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning van dit beleid is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Dit instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Bij de aanbesteding van de huidige Nuctech scanners is het instrumentarium niet toegepast omdat het op dat moment nog niet geïmplementeerd was. Sinds 2021 past Douane dit instrumentarium in het kader van alle aanbestedingen echter wel toe.
Tevens heeft Douane een externe audit laten uitvoeren op de informatiebeveiliging rond scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Het onderzoek is in september 2021 afgerond en in november 2021 – vertrouwelijk – aan uw Kamer aangeboden.7 Het onderzoek verschaft inzicht in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. De aanbevelingen uit het onderzoek worden door de Douane opgepakt.
Daarnaast wordt op dit moment door een externe partij in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. Dit vervolgonderzoek richt zich op de vraag welke onderdelen van de scan- en detectieinfrastructuur kwetsbaar zijn vanwege risico’s voor de nationale veiligheid. Daarbij wordt gekeken naar mogelijke dreigingen vanuit statelijke actoren. De toenmalig Staatssecretaris van Financiën heeft de onderzoekende partij verzocht om bij het lopende onderzoek naar genoemde risico’s de vraag te betrekken welke risico’s de Douane bij de scan- en detectieprocessen loopt bij mogelijk misbruik van scan- en detectiesystemen door niet-statelijke (criminele) actoren.
Vraag 9

Welke garanties kunt u (laten) afgeven dat de Chinese overheid geen enkele toegang heeft tot de Nederlandse scanners of tot de data van die scanners?

Zie antwoord vraag 8.
Vraag 10

Bent u ervan op de hoogte dat Canada heeft afgezien van de aankoop van scanners van Nuctech voor haar ambassades, na het laten uitvoeren van een veiligheidsscan, en dat ook de Verenigde Staten risico’s zien in samenwerking met Nuctech en bondgenoten oproept geen zaken met Nuctech te doen4? Waarom hebt u het voorbeeld c.q. de oproep van deze twee bondgenoten niet gevolgd?3 4

Daar zijn wij van op de hoogte. Zoals aangegeven in het antwoord op vraag 2, maakt Nederland een zelfstandige afweging. Afhankelijk van de uitkomsten van het hierboven genoemde vervolgonderzoek en de uitkomst van de toepassing van het nationale veiligheidsinstrumentarium bij nieuwe aanbestedingen kan worden besloten tot aanvullende maatregelen.
Vraag 11

Wat is uw reactie op cybersecurity expert Ronald Prins, die aangeeft dat de Chinese overheid geen toegang tot de apparatuur via «achterdeurtjes» nodig heeft en «ze zich helemaal wezenloos hacken»?

Digitale spionage is een belangrijke dreiging voor de nationale veiligheid, zoals onder andere beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)10. Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland. Daarbij beschrijft onder andere het Cybersecurity Beeld Nederland (CSBN)11 dat is geconstateerd dat een van de gebruikte technieken van statelijke actoren het misbruiken van producten van toeleveranciers is, waaronder het inbouwen van «achterdeurtjes» in software, als springplank naar doelwitten binnen de vitale infrastructuur. De AIVD heeft eerder gewezen op de risico’s verbonden aan onvoldoende beveiligingsmaatregelen met betrekking tot toeleveranciers12. Het is daarom van belang dat organisaties zich bewust zijn van deze risico’s en daar waar nodig maatregelen tegen nemen.
Veel spionageactiviteiten zijn momenteel al strafbaar volgens de Nederlandse wet. Maar ontwikkelingen, zoals de komst van nieuwe en steeds assertievere spelers op het wereldtoneel en de opkomst van digitale spionage, zijn aanleiding geweest om opnieuw te kijken naar de bestaande instrumenten om op te treden tegen spionage. Dit leidde ertoe dat op 28 februari jl. – als aanvulling op het bestaande instrumentarium – het wetsvoorstel uitbreiding strafbaarheid spionage in consultatie is gegaan die een nieuwe bepaling aan het Wetboek van Strafrecht toevoegt. Op grond van die bepaling wordt het verrichten van handelingen ten behoeve van een buitenlandse mogendheid strafbaar indien daardoor zwaarwegende Nederlandse belangen worden geschaad. Omdat spionageactiviteiten steeds vaker digitaal plaatsvinden, wordt met het wetsvoorstel eveneens de strafmaat van een aantal computerdelicten verhoogd wanneer deze zijn gepleegd ten behoeve van een buitenlandse mogendheid.
Vraag 12

Deel u onze mening dat we niet naïef moeten zijn in de mogelijkheden die we hiermee bieden voor onder andere dataverzameling door de Chinese overheid en voor bijvoorbeeld spionage?

Het is van groot belang dat we spionage- en beïnvloedingsactiviteiten van statelijke actoren tegengaan. Deze activiteiten kunnen onze nationale veiligheidsbelangen aantasten en daarmee impact hebben op het functioneren van de Nederlandse maatschappij. Daar moeten we inderdaad niet naïef in zijn. Om de weerbaarheid tegen deze dreiging te vergroten werken wij samen met partijen binnen en buiten de overheid aan de aanpak van statelijke dreigingen. Onderdeel van deze aanpak is dat zowel op nationaal als op EU-niveau maatregelen worden genomen om de weerbaarheid van de vitale infrastructuur te versterken. In het Dreigingsbeeld Statelijke Actoren en de kabinetsreactie hierop wordt ingegaan op deze dreiging en de maatregelen die we hiertegen nemen13.
Vraag 13

Wat zijn de juridische mogelijkheden om de deal met Nuctech te stoppen en/of terug te draaien? Kan Nederland dit zelf of moet dit via de Europese Commissie?

De apparatuur van Nuctech is reeds geleverd en wordt door Douane ingezet. Het opzeggen van de overeenkomst met Nuctech kan de overheid in principe eenzijdig doen. Het contract stelt daar nadere specifieke voorwaarden aan. Het eenzijdig opzeggen van de overeenkomst zonder een (in het contract genoemde) gegronde reden zal waarschijnlijk leiden tot onder meer een financiële claim van de opdrachtnemer wegens gederfde inkomsten of gedane investeringen.
Vraag 14

Vindt u ook wij dat veiligheidsapparatuur in belangrijke, vitale sectoren zoveel mogelijk zou moeten worden gemaakt door Europese bedrijven? Indien ja, welke acties kan/gaat Nederland ondernemen? Bent u bekend met het feit dat er ook Nederlandse bedrijven zijn, onder andere startups (bijvoorbeeld Dynaxion), die een scansysteem ontwikkelen dat veel nauwkeuriger zou zijn dan de huidige x-ray systemen en daarmee ook nog steviger kan bijdragen aan het tegengaan van drugs gerelateerde ondermijning? Hoe geeft u invulling aan het principe dat investeringen met belastinggeld bij voorkeur ten goede komen aan (kennisontwikkeling, innovatie en werkgelegenheid bij) bedrijven in Nederland of Europa?

Een open economie en vrijhandel dragen sterk bij aan het Nederlandse verdienvermogen. Nederland heeft veel baat bij de kansen en mogelijkheden die open markten bieden. Toegang tot internationale markten zorgt er bovendien voor dat Nederland gebruik kan maken van hoogwaardige materialen, technologie en kennis die in het buitenland – waaronder in China – wordt ontwikkeld. Ook voor de vitale infrastructuur is het wenselijk dat gebruik wordt gemaakt van kwalitatief hoogwaardige producten en diensten. Nederland blijft dan ook op verantwoorde wijze gebruik maken van de voordelen van de internationale markt voor veiligheidsapparatuur, door per situatie de risico’s voor de nationale veiligheid in kaart te brengen en dat te laten meewegen in de selectie van de betreffende aanbieder.
Desondanks kunnen er redenen zijn om bepaalde producten en technologieën in Nederland of in Europa te willen kunnen ontwikkelen en beschikbaar te maken. Dit kan van belang zijn om de weerbaarheid van Nederland en de EU te vergroten, of om de EU het vereiste handelingsvermogen te geven om de eigen veiligheidsbelangen te vrijwaren. Dit kan via verschillende maatregelen: van handelsverdragen met gelijkgezinde landen, tot het direct stimuleren van de eigen industrie. Hierbij verwijzen wij ook graag naar de brief aan uw Kamer over onderzoek naar strategische afhankelijkheden en kwetsbaarheden in Nederland, waar dieper ingegaan wordt op de beleidsopties om onze weerbaarheid te versterken.14
Dynaxion is bekend bij de Douane. Douane heeft in de aanbestedingsprocedure iedere geschikte partij in de gelegenheid gesteld mee te dingen naar de opdracht. Die werd gegund op basis van de procedure als beschreven in het antwoord op vraag 5.
Vraag 15

Op welke wijze wilt u bij dit soort aanbestedingen een gelijk speelveld borgen en hoezeer zijn instrumenten als het Europese «International Procurement Instrument» (IPI) daarvoor voldoende?

Het is van groot belang dat op de Europese interne markt eerlijke concurrentie kan plaatsvinden tussen bedrijven in het kader van aanbestedingen door overheidsdiensten. De Europese aanbestedingsrichtlijnen bieden thans al mogelijkheden om deze problematiek te adresseren. Deze richtlijnen zijn in Nederland geïmplementeerd in de Aanbestedingswet 2012. Op basis van artikel 2.116 van deze wet – hieraan wordt in vraag 6 al gerefereerd – moeten aanbestedende diensten bij een inschrijving die abnormaal laag lijkt, nader onderzoek doen door de betreffende onderneming te vragen om uitleg over hoe de prijs tot stand is gekomen. Wanneer een inschrijver het lage niveau van de voorgestelde prijs niet goed kan onderbouwen met bewijsmateriaal, kan de aanbestedende dienst deze inschrijving ter zijde leggen. Abnormaal lage inschrijvingen als gevolg van niet-naleving van verplichtingen op het gebied van milieu, sociaal- en arbeidsrecht moeten door de aanbestedende dienst ter zijde worden gelegd. Dit geldt voor alle inschrijvingen, ongeacht het land van herkomst van de inschrijver. Dit draagt bij aan een gelijk speelveld voor ondernemers. Een andere manier om voor een gelijker speelveld te zorgen, is door het stellen van kwalitatieve gunningscriteria, zoals milieucriteria. Bovendien zijn Nederlandse – en andere Europese – aanbestedende diensten niet verplicht inschrijvingen toe te laten uit landen die niet aangesloten zijn bij de Government Procurement Agreement (zogenaamde «non-GPA landen»).
Naast deze bestaande mogelijkheden, zijn er twee Europese wetsvoorstellen in ontwikkeling die zich richten op een gelijk speelveld, zodat zowel binnen de Europese interne markt als daarbuiten Europese en niet-Europese ondernemingen onder vergelijkbare voorwaarden met elkaar kunnen concurreren. Het Internationaal Aanbestedingsinstrument (IPI) heeft als doel om wederkerigheid op de markt voor overheidsopdrachten af te dwingen, zodat EU-bedrijven betere toegang krijgen tot aanbestedingen in derde landen. Momenteel vinden hierover triloogonderhandelingen plaats tussen de Raad, het Europees parlement en de Europese Commissie. De inzet van het Franse voorzitterschap is om onderhandelingen gedurende zijn EU-voorzitterschap af te ronden. Het voorstel voor de Verordening buitenlandse subsidies heeft tot doel om concurrentieverstoringen op de interne markt als gevolg van buitenlandse subsidies beter aan te pakken (zie ook het BNC-fiche, Kamerstuk 22 112, nr. 3133). Momenteel vinden de onderhandelingen plaats in de betreffende Raadswerkgroep. Het Franse voorzitterschap streeft ernaar om in juni in de Raad tot een gemeenschappelijk standpunt te komen, waarna de triloogonderhandelingen kunnen beginnen. Deze voorstellen vormen belangrijke instrumenten voor het creëren een mondiaal gelijker speelveld voor Europese bedrijven.

14 januari 2022 - 23 februari 2022

40 dagen

Het artikel ‘Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden’
	Sylvana Simons (BIJ1)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NRC, 5 januari 2022, «Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden».

Vraag 1

Heeft u kennis genomen van het artikel «Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden» waarin staat beschreven dat de Nederlandse politie met proefproject Athene op grote schaal onrechtmatig data verzamelde van asielzoekers?1

Ja.
Vraag 2

Hoe reageert u op de stelling van criminoloog Maarten Bolhuis in het artikel dat Athene het risico van etnisch profileren in de hand werkte omdat er voor het daadwerkelijk analyseren van al deze data risico-indicatoren ontwikkeld dienen te worden?

Het project Athene is destijds gestart met als doel het verbeteren van de kwaliteit van de informatie om de identiteit van een individuele asielzoeker vast te kunnen stellen en in een vroeg stadium signalen van terrorisme en mensenhandel en -smokkel beter te onderkennen.
Gegevensdragers van asielzoekers worden altijd eerst handmatig gecontroleerd. Vervolgens wordt op basis van deze handmatige controle bij bijvoorbeeld «verdachte informatie» besloten of een volledige uitlezing gewenst is. In deze specifieke kwestie werd als «verdachte informatie» gezien het in bezit hebben van foto’s van meerdere verschillende identiteitspapieren of beelden, contactgegevens en locatiegegevens die betrokkenheid bij een gewapende strijd dan wel mensenhandel en -smokkel doen vermoeden. Etniciteit werd niet gebruikt als risico-indicator. Project Athene maakte het mogelijk om de uitgelezen gegevens met opsporingsinformatie met betrekking tot mensenhandel en terrorisme geautomatiseerd te vergelijken.
Vraag 3

Bent u het eens met de stelling in het artikel dat het project niet alleen privacy van asielzoekers op grote schaal heeft geschonden, maar daarnaast ook uiterst inefficiënt is in het opsporen van potentiële misdadigers en terroristen? En bent u het eens dat dit soort dataverzamelingsprojecten bij asielzoekers te allen tijden voorkomen moeten worden? Kunt u dit verder toelichten?

Het is van belang dat de politie de data die zijn vastgelegd op gegevensdragers kan controleren als onderdeel van het identificatie- en registratieproces. Gegevensdragers kunnen informatie bevatten die relevant is voor het vaststellen van de identiteit en nationaliteit van een asielzoeker. Het inzien van gegevensdragers is echter niet alleen van belang voor de beoordeling van een asielaanvraag maar ook ter bestrijding van mensenhandel en -smokkel en terrorisme. De Inspectie van Justitie en Veiligheid onderschreef dit belang ook in haar rapport uit 2016 dat met uw Kamer is gedeeld.2 De handmatige controle van gegevensdragers blijft daarom ook onderdeel van het identificatie- en registratieproces. De geautomatiseerde verstrekking van opsporingsgegevens aan de vreemdelingenpolitie voor vreemdelingrechtelijke taken is stopgezet, omdat een wettelijke grondslag in de Wet politiegegevens (Wpg) ontbreekt.
In 2021 zijn twintig signalen vanuit de vreemdelingenpolitie ten behoeve van een mogelijk strafrechtelijke onderzoek verstrekt. Deze signalen hebben niet geleid tot het starten van een strafrechtelijk onderzoek. Wel is hierdoor mogelijk de informatiepositie van de opsporing binnen de politie versterkt.
Vraag 4

Welke maatregelen heeft u getroffen om de gemaakte fouten in Athene bij de politie te corrigeren? Zijn de gegevens gewist? Worden disciplinerende maatregelen opgelegd?

Het project is stopgezet en alle door AVIM eerder ontvangen opsporingsinformatie in het kader van het project Athene is vernietigd. Er is geen aanleiding om disciplinaire maatregelen op te leggen.
Vraag 5

Op welke wijze worden of zijn gedupeerde asielzoekers op de hoogte gesteld en gecompenseerd voor de onrechtmatige verzameling en verwerking van hun gegevens?

In artikel 4 van de Kwalificatierichtlijn wordt – kort gezegd – bepaald dat van de aanvrager mag worden verlangd dat hij alle elementen ter staving van het verzoek om internationale bescherming zo spoedig mogelijk indient.3 Deze plicht om alle relevante informatie beschikbaar te stellen is neergelegd in artikel 31, tweede en derde lid, van de Vreemdelingenwet 2000. Voorts bestaat op grond van artikel 55, tweede lid, van die wet de bevoegdheid om digitale gegevensdragers in te zien en uit te lezen. Bij aanvang van het asielproces wordt de vreemdeling geïnformeerd over de verplichting om met de bevoegde autoriteiten samen te werken. Bij de asielzoeker is derhalve bekend dat het afgeven van de telefoon dient tot nader onderzoek naar de inhoud daarvan.
De geautomatiseerde vergelijking heeft voor zover bekend niet tot nadelige effecten in de zin van aantoonbare (immateriële) schade geleid zodat er geen compenserende maatregelen zijn getroffen.
Vraag 6

Gaat u openheid geven van de in het Athene gebruikte zoekmodellen en eventueel gebruikte profielen, in het kader van transparantie van algoritmes in gebruik bij de overheid? Zo ja, wanneer en hoe? Zo nee, waarom niet?

Project Athene volgde de hieronder beschreven werkwijze. Indien na een handmatige uitlezing van de telefoon aanleiding bestond om de inhoud van de telefoon diepgaander te onderzoeken, dan werden de telefoongegevens in het systeem Athene geplaatst. In het systeem werden de telefoongegevens van de vreemdeling aan de hand van bepaalde indicatoren (zoals bijvoorbeeld locaties en telefoonnummers) vergeleken met de aan AVIM verstrekte informatie uit de themaregisters contraterrorisme en mensenhandel/mensensmokkel. Indien een gegeven uit de telefoon van de vreemdeling overeenkomsten vertoonde met informatie uit de themaregisters leverde dit een «hit» op. Deze hit is derhalve het resultaat van de vergelijking. Deze hit werd vervolgens handmatig opgezocht in de telefoon en nader geduid met de originele data van de telefoon. Vervolgens werd een proces-verbaal opgemaakt waarmee het betreffende gegeven aan de opsporing kon worden verstrekt. Project Athene kende dus geen zelflerende, voorspellende of besluitvormende functie.
Vraag 7

Welke middelen gaat u inzetten om onrechtmatige verwerking van gegevens tegen te gaan bij asielzoekers?

Gegevensverwerking van asielzoekers in het kader van het identificatie- en registratieproces moet voldoen aan de Vreemdelingenwet, dat onder het regime van de Algemene Verordening Gegevensbescherming (AVG) valt. Dat betekent dat wanneer persoonsgegevens verwerkt worden, een Data Protection Impact Assessment (DPIA) opgesteld dient te worden. Het doel van een DPIA is om bij de verwerking van persoonsgegevens een zo goed en duidelijk mogelijk beeld te hebben wat de risico’s zijn bij het verwerken van desbetreffende persoonsgegevens en welke risico mitigerende maatregelen genomen worden om die risico’s zoveel mogelijk te verminderen. Elke organisatie binnen de asielketen heeft een privacyfunctionaris die toezicht houdt op de naleving van de AVG. Als de gegevensverwerkingen (bijvoorbeeld indien meer persoonsgegevens dan voorheen worden verwerkt) of de effecten daarvan veranderen, dient de DPIA te worden geactualiseerd. De European Data Protection Board stelt als good practice om een DPIA iedere drie jaar te evalueren.
Vraag 8

Welke middelen gaat u inzetten die transparantie, mensenrechten en privacy bevorderen bij het gebruik van algoritmen en dataverwerking door de politie en het ministerie in brede zin?

Voor een zorgvuldige inzet van algoritmen zijn de «Richtlijnen voor het toepassen van algoritmen door overheden en publieksvoorlichting over data-analyses» opgesteld.4 In maart jl. zijn deze geüpdatet. De politie gebruikt verder het «Kwaliteitskader big data» welke specifieke vragen bevat die zijn geënt op juridische, maatschappelijke en ethische aspecten welke voortkomen uit geldende wet- en regelgeving, alsmede belangrijke waarden.5 De politie handelt conform deze kaders. Daarnaast heeft het College voor de Rechten van de Mens het juridische kader over het gebruik van etniciteit en nationaliteit helder in beeld gebracht;6 is er de handreiking met systeemprincipes voor niet discriminerende algoritmes – die in opdracht van het Ministerie van Binnenlandse Zaken is gemaakt;7 en is er een Impact Assessment Mensenrechten en Algoritmes ontwikkeld.8
Ten aanzien van transparantie over algoritmen nog het volgende. Op 19 januari 2021 heeft de Tweede Kamer de motie Klaver c.s. aangenomen waarin de regering wordt verzocht een algoritmeregister op te zetten waarin beschreven wordt welke algoritmen de overheid gebruikt, voor welk doel en op basis van welke datasets. Op 28 oktober jl. heeft de Tweede Kamer de motie Dassen aangenomen, waarin het kabinet gevraagd wordt om dit algoritmeregister verplicht te stellen. De Staatssecretaris van BZK heeft aangegeven dat zij begin 2022 met een brief aan de Tweede Kamer hierover komt.9

24 december 2021 - 10 maart 2022

76 dagen

De aanleg van glasvezel in het Westland.
	Inge van Dijk (CDA)
	Stef Blok (VVD)

Bronnen

1. Algemeen Dagblad, 24 maart 2021, «Snel internet toch weer in beeld».

Vraag 1

Bent u bekend met het bericht «Snel internet toch weer in beeld»?1

Ja.
Vraag 2

Deelt u de mening dat het voor zowel particulieren als bedrijven, zoals in de glastuinbouwsector, van groot belang is dat zij ook in het buitengebied kunnen beschikken over glasvezel, vanwege de toenemende afhankelijkheid van digitalisering en van snelle, betrouwbare internetverbindingen voor bijvoorbeeld thuiswerken en online zakendoen?

Ik deel de mening dat het voor zowel particulieren als bedrijven in de buitengebieden van Nederland van belang is dat zij, met het oog op de toenemende digitalisering, kunnen beschikken over een snelle en betrouwbare internetverbinding. Dat kan een glasvezelverbinding zijn, maar ook andere technieken kunnen hiervoor geschikt zijn.
Vraag 3

Wat is de huidige stand van zaken met betrekking tot de aanleg van glasvezel in het Westland? Kunt u de ontwikkelingen schetsen vanaf het moment dat aanbieder Delta Fiber aangaf zich te willen terugtrekken uit het samenwerkingsverband met de gemeente Westland (december 2020)?

Voor de beantwoording van deze vragen heb ik contact gezocht met Delta Fiber en de gemeente Westland.
In december 2020 heeft Delta Fiber aan de bewoners in het buitengebied van Westland laten weten dat de eerder aangekondigde aanleg van glasvezel in het gebied niet doorgaat. Dit als gevolg van te hoge aanlegkosten. Volgens Delta Fiber is er daardoor geen sluitende business case te maken. De hoge aanlegkosten zijn het gevolg van de complexiteit van het gebied, dat zich kenmerkt door veel waterkeringen en dijken en smalle bermen. Hierdoor zijn er veel extra ingrepen nodig om het netwerk aan te leggen, zoals boringen onder waterwegen en het vrezen van sleuven in asfalt. Daarnaast is er afstemming nodig met veel eigenaren van privégrond waar doorheen gegraven moet worden. Voornoemde factoren maken de uitvoering complex en tijdrovend en daardoor kostbaar. Er is door Delta Fiber naar alternatieve aanlegroutes gekeken, maar ook die bleken complex en te kostbaar. Voor zover mij bekend, spelen er geen andere factoren mee die de aanleg van glasvezel door Delta Fiber in de weg staan.
Gelijktijdig met het besluit om geen glasvezel aan te leggen, heeft Delta Fiber laten weten het bestaande coaxnetwerk in het gebied op te waarderen naar de zogenaamde DOCSIS 3.1 standaard. Hiertoe wordt alle apparatuur in het netwerk en bij de eindgebruiker vernieuwd, waardoor de stabiliteit en de snelheid van het netwerk fors verbetert. Hierdoor krijgen eindgebruikers de beschikking over een internetsnelheid van ten minste 200 Megabit per seconde (Mbps) en is opwaardering mogelijk naar 1 Gigabit per seconde (Gbps). Op dit moment is 85% van werkzaamheden voltooid en verwacht wordt dat aan het einde van dit kwartaal de opwaardering grotendeels is afgerond.
Daarnaast heeft Delta Fiber specifiek voor de kern Heenweg en de bedrijventerreinen in Westland gekeken of de aanleg van glasvezel alsnog mogelijk is. Voor Heenweg en de grotere bedrijventerreinen bleek er wel een business case te maken en daar is of wordt gestart met de aanleg van glasvezel. Voor de kleinere bedrijventerreinen is Delta Fiber nog aan het inventariseren of er een sluitende business case mogelijk is.
Vraag 4

Is het juist dat hoge kosten, als gevolg van de complexiteit van het gebied (met veel dijken, smalle bermen en sloten) de aanleg van glasvezel in het Westland in de weg staat? In hoeverre spelen nog andere factoren mee?

Zie antwoord vraag 3.
Vraag 5

Deelt u de mening dat digitalisering, waaronder het kunnen beschikken over snel internet, een maatschappelijk belang is, wat overheidsingrijpen rechtvaardigt indien sprake is van marktfalen?

Ja, ik deel de mening dat het kunnen beschikken over snel internet een maatschappelijk belang is, waarbij in het geval van aantoonbaar marktfalen overheidsingrijpen gerechtvaardigd is. Van marktfalen is bijvoorbeeld sprake wanneer een snelle breedbandvoorziening in een gebied ontbreekt, alsook de bereidheid van de markt om een dergelijke voorziening alsnog op eigen initiatief en risico te realiseren. Verder geldt dat overheidssteun voor breedbandinfrastructuur alleen geoorloofd is, als voldaan wordt aan Europese staatssteunregels. Daarmee moet oneigenlijke marktverstoring worden voorkomen. Kortweg schrijven deze regels voor dat steun alleen is toegestaan in gebieden waar er op dit moment of binnen 3 jaar geen snel vast breedbandnetwerk voorhanden is2. Met een snel vast netwerk wordt bedoeld, een netwerk dat op betrouwbare wijze downloadsnelheden van ten minste 100 Mbps kan aanbieden.
Vraag 6

Wat kunt u voor de inwoners en ondernemers in het Westland en van andere moeilijk te verglazen gebieden in Nederland, waar niet tot een sluitende business case kan worden gekomen, betekenen om de aanleg van glasvezel daar alsnog mogelijk te maken? Bent u bereid hiertoe contact op te nemen met de betreffende gemeentes?

De bewegingsruimte voor overheidsingrijpen wordt begrensd door Europese staatssteunregels. Gelet op de situatie in het buitengebied van Westland, waar met de opwaardering van het coaxnetwerk van Delta Fiber een snel vast breedbandnetwerk van ten minste 200 Mbps beschikbaar komt, is mijn beeld dat overheidsingrijpen hier niet gepast is. Die mogelijkheid is er eventueel wel voor buitengebiedbewoners in het Westland en de rest van Nederland, die niet over een snelle vaste internetverbinding (ten minste 100 Mbps) kunnen beschikken. N.a.v. de motie Van Dijk c.s.3 wordt onderzocht hoe groot deze groep landelijk is en welke technische oplossingen (incl. kosten) en handelingsperspectieven voorhanden zijn. Over de resultaten van het onderzoek die ik uw Kamer naar verwachting nog dit kwartaal zal sturen, zal ik ook in contact treden met provincies en de VNG.
Vraag 7

Welke nationale en Europese mogelijkheden zijn er voor investeringen in glasvezel, met name in moeilijk te verglazen gebieden? Hoe maakt Nederland hier gebruik van? Welke rol kunnen de middelen uit het Recovery and Resilience Facility (RRF) hierbij spelen?

In de brief aan de Tweede Kamer van 17 mei 20214 is n.a.v. de motie Bromet c.s.5 toegelicht dat er afgezien van de middelen uit het RRF op dit moment geen concrete EU-financieringsmogelijkheden zijn voor de uitrol van snel internet in moeilijk te ontsluiten buitengebieden in Nederland. In het coalitieakkoord is afgesproken dat het Nederlandse herstelplan zal bestaan uit reeds begrote en gedekte uitgaven. De Minister van Financiën zal uw Kamer informeren over het Nederlandse herstelplan.
Vraag 8

Welke aanbevelingen geeft u aan het nieuwe kabinet mee om invulling te geven aan de inzet Nederland wordt het digitale knooppunt van Europa en krijgt robuust, supersnel en veilig internet in alle delen van het land. uit het onlangs gepresenteerde coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst»?

In het coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst» van 15 december jl. is de ambitie opgenomen dat Nederland het digitale knooppunt van Europa wordt en snel internet in alle delen van het land krijgt. De concrete uitwerking daarvan wat betreft de (on)beschikbaarheid van snel internet in de buitengebieden vindt momenteel plaats. Hierbij zal het externe onderzoek naar de technische opties en kosten voor snel internet voor de moeilijk gelegen adressen in de buitengebieden worden betrokken. Ik verwacht dat uw Kamer nog in dit kwartaal kan worden geïnformeerd over de uitkomsten van het lopende onderzoek en de vervolgstappen.

24 december 2021 - 16 februari 2022

54 dagen

De plannen voor het hyperscale datacenter van Facebookmoederbedrijf Meta in Zeewolde en andere datacenters
	Eva van Esch (PvdD), Lammert van Raan (PvdD)
	Kajsa Ollongren (minister defensie) (D66), Stef Blok (VVD), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Raymond Knops (CDA)

Bronnen

1. https://www.eerstekamer.nl/motiedossier/35925_xiv_h_motie_koffeman_pv…
2. Energeia, «Politieke keuze voor lage belastingen en nettarieven trekt…
3. «(X)XL-verdozing: Minder, compacter, geconcentreerder, multifunctione…
4. NOS, «Kabinet: nog plannen voor 20 tot 25 datacenters», 24 december 2…
5. Idem
6. De Stentor, «Land van Ons doet bod op perceel beoogd datacenter Zeewo…
7. Podcast NRC Vandaag, 22 december 2021

Vraag 1

Hoe gaat u uitvoering geven aan de aangenomen motie Koffeman (Partij voor de Dieren) (Kamerstuk 35 925 XIV, H) die de regering vraagt om de verkoop van grond voor (hyperscale) datacenters op te schorten?1

De in de motie genoemde verkoop van Rijksgronden is actueel in de casus Zeewolde. Naar aanleiding van het gevestigde voorkeursrecht, in het kader van de Wet voorkeursrecht gemeenten, moet het Rijk bij verkoop de gronden aanbieden aan de gemeente. Als grondeigenaar heeft de Staatsecretaris van BZK, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, voorwaarden gesteld voor de verkoop aan de gemeente Zeewolde. Deze voorwaarden liggen in het verlengde van keuzes in NOVI, zijn gebaseerd op een advies van het College van Rijksadviseurs (CRa) en betreffen maximale energiezuinigheid van servers, maximale opwekking van zonne-energie op daken en gevels van het datacenter, minimaal gebruik van water voor koeling en het gebruik van restwarmte voor een warmtenet. Op het moment dat Zeewolde hier aangepaste plannen voor indient zullen deze eerst worden getoetst en daarna beoordeeld.
Voor andere locaties is relevant dat het kabinet – zoals aangekondigd in het coalitieakkoord – naar aanleiding van het onevenredige beslag op duurzame energie in verhouding tot de economische en maatschappelijke meerwaarde, de landelijke regie voor hyperscale datacenters zal aanscherpen en ook de toelatingscriteria voor de vergunningverlening. Deze aanscherpingen zullen mogelijk ook doorwerken in de verkoop van Rijksgronden.
Vraag 2

Bent u bereid om ook andere partijen dan het Rijksvastgoedbedrijf te vragen (tijdelijk) geen grond te verkopen voor de aanleg van nieuwe datacenters?

Op dit moment ga ik dat niet doen. Andere partijen maken eigen keuzes. Het kabinet geeft in dat verband met de keuzes in de NOVI en de in het coalitieakkoord aangekondigde aanscherping van beleid al een signaal af over zijn voorkeur over waar datacenters zich kunnen vestigen.
Vraag 3

Waarom leek het u verstandig de afgelopen jaren een industrie naar Nederland te lokken die a) veel energie verbruikt en b) veel ruimte nodig heeft, terwijl Nederland a) een tekort heeft aan duurzame energie en b) een gebrek heeft aan ruimte om te bouwen?

Voor het beleid rond het aantrekken van datacenters naar Nederland verwijs ik u naar de antwoorden op vragen 2 en 3 van de vragen van het lid Van Dijk (PvdA) over het bericht «De rode loper voor datacenters» (Aanhangsel Handelingen, vergaderjaar, 2021–2022, nr. 1728).
Vraag 4

Waarom voelen datacenters zich zo sterk aangetrokken tot Nederland? En op welke wijze is er (financieel/fiscaal) beleid gemaakt om datacenters extra te verleiden naar Nederland te komen? Kunt u in uw antwoord ook ingaan op de rol van de energiebelasting en netwerktariefkosten?2

Wereldwijd is er sprake van toenemende digitalisering van economie en maatschappij daarmee groeit de sector. Datacenters kiezen hun vestigingsplaats onder andere op basis van de betrouwbaarheid en mogelijkheid van aansluiting op het elektriciteitsnet en toegankelijkheid tot de internetkabels die Europa met de rest van de wereld verbindt. Ook zijn een stabiel politiek en gematigd klimaat belangrijk. Nederland scoort hoog op al deze punten en is daarom een centrale plek geworden voor datacenters in Europa. Amsterdam is een groot internetknooppunt mede vanwege zeer snelle en goede dataverbindingen naar het buitenland.
Er is geen specifiek beleid op het gebied van energiebelasting of netwerktarieven voor datacenters. De energiebelasting wordt geheven op basis van de hoeveelheid gebruikte elektriciteit en de nettarieven worden gebaseerd op het capaciteitsbelslag dat gebruikers leggen op het elektriciteitsnet en het afnamepatroon.
Vraag 5

Kunt u bevestigen dat Nederland al decennia notoir slecht scoort in Europa op het gebied van duurzame energie?

Het aandeel duurzame energie in Nederland was in 2020 11,5%. Via een statistische overdracht met Denemarken voldeed Nederland aan het Europese doel van 14% in 2020. Het PBL constateert dat het doel uit het Energieakkoord van 16% in 2023 in beeld blijft. Nederland neemt een achterstandspositie in ten opzichte van andere landen in Europa. Dit komt onder andere door ons hoge aandeel energie-intensieve industrie, het relatief lage aandeel biomassa in onze warmtevoorziening en het ontbreken van hoogteverschillen waardoor waterkracht niet mogelijk is. Met de extra investeringen van € 7 miljard uit de Miljoenennota 2021 en het pakket van extra maatregelen uit het coalitieakkoord zet het kabinet in op het snel inhalen van deze achterstand.
Vraag 6

Kunt u bevestigen dat in de Nationale Omgevingsvisie valt te lezen dat datacenters zich kunnen vestigen op locaties waar veel aanbod is van duurzame energie? Betekent het gegeven dat er nergens in Nederland voldoende duurzame energie is daarmee ook dat er geen ruimte is voor nieuwe datacenters?

De NOVI geeft aan dat datacenters zich daar kunnen vestigen waar (onder andere) op een duurzame manier in de energievraag kan worden voorzien via huidige of toekomstige energienetwerken. Voor hyperscale datacenters noemt de NOVI daarnaast dat vestiging kan waar veel aanbod van hernieuwbare energie is. Dit is het geval aan de randen van Nederland, zoals op bestaande locaties Eemshaven en Middenmeer. Hyperscale datacenters vestigen zich dan ook bij voorkeur daar.
De NOVI is een zelfbindend instrument waarin de rijksoverheid voor datacenters uit oogpunt van de kwaliteit voor de leefomgeving voorkeuren uitspreekt voor vestigingslocaties. De uiteindelijke afweging over het vestigen van datacenters is op dit moment daarom een afweging van het bedrijf zelf en de decentrale overheid. Zoals aangegeven in het antwoord op vraag 1 werkt het kabinet de komende periode uit hoe te komen tot een aangescherpte regie op hyperscale datacenters.
Vraag 7

Wat is het effect van het aantrekken van dit soort – absoluut gezien – energieslurpers op het draagvlak voor de energietransitie?

Zie het antwoord onder vraag 4 van de beantwoording van de Kamervragen van het lid Leijten (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1726).
Vraag 8

Wat is het effect van de komst van datacenters op de haalbaarheid van de energiedoelen? Kunt u in uw reactie niet alleen ingaan op de extra vraag naar energie die datacenters met zich meebrengen, maar vooral ook op het risico dat het kabinet zijn energiedoelen niet haalt als de vraag naar energie toeneemt?

In algemene zin kan gesteld worden dat naarmate het energieverbruik in Nederland toeneemt, de opgave groter wordt voor het behalen van de Nederlandse doelstellingen op het gebied van duurzame energieopwekking. Zie daarvoor ook het antwoord onder vraag 14 van de beantwoording van de Kamervragen van de leden Van Dijk, Nijboer, Thijssen (allen PvdA) en Kröger (GroenLinks) over «De rode loper voor datacenter Zeewolde» (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1727).
Het is nu nog niet te zeggen wat dit betekent voor het halen van de energiedoelen. Hiervoor is immers de implementatie van de Fit for 55 voorstellen van de Europese Commissie van belang en de uitwerking van de maatregelen uit het coalitieakkoord. Jaarlijks zal via de Klimaat- en Energieverkenning en de Klimaatnota de voortgang gemonitord worden en worden zonodig extra maatregelen getroffen, waarbij het kabinet zich richt op een hogere opgave dan 55% reductie van CO2 in 2030.
Vraag 9

Welke rol spelen de lage energiebelasting en netwerktariefkosten die Nederland aanbiedt in de businessplannen van dit soort bedrijven?

Ik heb geen zicht op de precieze achterliggende kostenstructuur van datacenters maar ik heb niet de indruk dat de kosten voor energie of infrastructuur van doorslaggevend belang zijn bij een afweging om zich in Nederland te vestigen. Een goede internet infrastructuur en stabiel vestigingsklimaat zijn dat in veel grotere mate.
Vraag 10

Hoe zijn de netwerktariefkosten verdeeld over consumenten, het midden- en kleinbedrijf, en grootverbruikers (zoals datacenters en hyperscale datacenters)? Klopt het dat grootverbruikers relatief veel minder betalen en consumenten relatief veel meer? Kunt u een overzicht geven waaruit duidelijk wordt wie wat betaalt?

De tarieven die afnemers betalen voor het gebruik van het elektriciteitsnet dienen gebaseerd te zijn op de werkelijke kosten. Daarnaast zijn belangrijke uitgangspunten voor de nettarieven dat deze niet mogen discrimineren en dat ze transparant moeten zijn. Deze randvoorwaarden zijn vastgelegd in Europese regelgeving.
Het bovenstaande komt er in de praktijk op neer dat de netkosten worden verdeeld aan de hand van verdeelsleutels die een verband leggen tussen het gebruik van het elektriciteitsnet en de veronderstelde kosten die met dat gebruik gepaard gaan. Hierbij worden de kosten verdeeld over de gebruikers op basis van waar een aansluiting zich in de topologie van het elektriciteitsnet bevindt (het zgn. netvlak) omdat dit maatgevend is in hoeverre de rest van het elektriciteitsnet gebruikt wordt en andere tariefdragers zoals het maximale beschikbare vermogen, het gecontracteerde vermogen en het verbruik. Het elektriciteitsnet kent 7 typen netvlakken waar partijen op worden aangesloten variërend van een aansluiting van de grote industrie op het extra hoogspanningsnet tot een aansluiting op het laagspanningsnet waar zowel woningen als kleine bedrijven op zijn aangesloten. Voor aangeslotenen op het laagspanningsnet (kleinverbruikers) geldt dat het nettarief enkel afhankelijk is van de fysieke capaciteit van de aansluiting en dat er één nettarief geldt voor alle typen elektriciteitsaansluitingen die vaak worden gebruikt door huishoudens. Er wordt dus verondersteld dat alle huishoudens hun aansluiting op een vergelijkbare manier gebruiken. De bevoegdheid om de verdeelsleutels vast te stellen ligt bij de onafhankelijke toezichthouder, dit is de Autoriteit Consument en Markt (hierna ACM). De ACM moet bij vaststellen van de verdeelsleutels uitgaan van de eerder genoemde randvoorwaarden.
Het klopt dat in de Elektriciteitswet 1998 sinds 2013 een specifieke passage is opgenomen voor grootverbruikers met een bijzonder vlak afnamepatroon. Deze afnemers krijgen een gereduceerd nettarief wanneer zij een voldoende hoog elektriciteitsverbruik en een voldoende vlak afname patroon hebben. De gedachte achter deze passage was destijds dat deze gebruikers een bijdragen leveren aan het stabiel houden van het elektriciteitsnet (Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 2209). De regeling gaat niet worden overgenomen in het voorgenomen wetsvoorstel Energiewet omdat uit Europese jurisprudentie is gebleken dat het niet aan de nationale wetgever is om dit soort regels te stellen. De ACM heeft aangekondigd te gaan onderzoeken of het blijven toepassen van deze regeling wenselijk is.
Ik kan geen nationaal overzicht geven van de verdeling van de netkosten elektriciteit over verschillende groepen van gebruikers. Er wordt nationaal niet bijgehouden welke aansluiting door welk type bedrijf wordt gebruikt omdat dit niet relevant is voor de (regionale) netbeheerder. Op de website van de ACM worden alle tarievenbesluiten gepubliceerd. Daarbij is ook per regionale netbeheerder een overzicht te vinden van alle tarieven die worden gehanteerd en hoe vaak deze tarieven ongeveer in rekening worden gebracht.
Zie bijvoorbeeld voor netbeheerder Liander.https://www.acm.nl/nl/publicaties/tarievenbesluit-liander-elektriciteit-2022.
Vraag 11

Klopt het dat met de Wijziging van de Energiewet 1998 in 2013 grootverbruikers financieel nog verder worden beloond met lage netwerktariefkosten? Wie draaien er dan voor die kosten op?

Zie antwoord vraag 10.
Vraag 12

Waarom wordt er in Nederland niet betaald naar de mate waarin een verbruiker het net belast? Is dat eerlijk/rechtvaardig naar uw mening?

De tarieven van de netbeheerders zijn kosten georiënteerd. De kosten worden voornamelijk veroorzaakt door de beschikbare capaciteit die netbeheerder moeten aanleggen en onderhouden om aangesloten van transportcapaciteit te voorzien. Een op kosten gebaseerd tarief vindt ik eerlijk en rechtvaardig. Het is aan ACM om als onafhankelijk toezichthouder invulling te geven aan een juiste kostenverdeling.
Vraag 13

Hoe staat het met het voornemen om een norm voor de energiebesparing in te stellen voor datacenters?

Veel datacenters vallen, zeker na het aflopen van het energiebesparingsconvenant MJA3, onder de energiebesparingsplicht (Kamerstuk 32 813, nr. 675). Zij moeten alle energiebesparende maatregelen met een vijf jaar terugverdientijd uitvoeren. Energiebesparende maatregelen zijn vastgelegd in de Erkende Maatregelenlijst (EML Commerciële Datacenters). Datacenters die een milieuvergunning nodig hebben en/of onder het EU Emissiehandelssysteem (ETS) vallen kennen nog geen energiebesparingsplicht, al kunnen bij niet EU-ETS datacenters wel eisen aan energiebesparing in de vergunning gesteld worden door het decentrale bevoegd gezag. Vanaf 2023 zal de energiebesparingsplicht ook voor deze datacenters gaan gelden. De juridische uitwerking van de actualisatie van de energiebesparingsplicht is onlangs geconsulteerd en ik verwacht deze medio 2022 aan uw Kamer voor te kunnen leggen.
Vraag 14

Klopt het dat reguliere datacenters in Nederland al 550.000m2 in beslag namen? Klopt het dat de twee hyperscale datacenters nog eens 213.000m2 in beslag namen? Kunt u een actualisatie van die cijfers geven aangezien de laatste cijfers uit 2018 lijken te komen?3

Het CRa-rapport (X)XL-verdozing vermeldt dat in 2018 de commerciële multi-tenant, «reguliere», datacentra bruto (inclusief aanvullende voorzieningen als kantoorruimte) ongeveer 55 ha. in gebruik hebben. Google (Groningen) en Microsoft (Middenmeer) voegden daar 213.000 m2 aan toe. Deze cijfers ontleende het CRa aan de cijfers van de Dutch Datacenter Association (DDA).
De DDA laat jaarlijks onderzoek doen naar de activiteiten van de commerciële co-locatie datacenters in Nederland. Hieruit blijkt voor het peiljaar 2020 een netto ruimtegebruik (datavloer) voor deze datacenters van 378.000 m2 (37,98 ha) en een bruto ruimtegebruik (datavloer incl. kantoorruimte) van 688.000 m2 (68,8 ha). Ook aan deze cijfers dienen de totalen niet-commerciële datacenters en hyperscale datacenters te worden toegevoegd. Het totaal bruto in gebruik zijnde oppervlak van de in Nederland gevestigde datacenters bedraagt dan per 2020 naar schatting 240 ha. Dit getal komt overeen met ongeveer 0,007% van het Nederlands landoppervlak en 0,2% van het areaal bedrijventerrein in Nederland.
Vraag 15

Klopt het dat de sector (en daarmee ook het ruimtegebruik) de afgelopen tien jaar gemiddeld met 10% is gegroeid?

Het CRa meldt in het rapport (X)XL-verdozing dat het gebruik van de cloud als opslagmedium in de afgelopen tien jaren met gemiddeld 10% toenam.
Hierdoor groeide ook het ruimtegebruik. Volgens opgave van de sector zelf is het netto ruimtegebruik door commerciële co-locatie datacenters over de periode 2016–2020 jaarlijks met ruim 10% gemiddeld per jaar gegroeid. Dit is exclusief de groei van de (2) hyperscale bedrijven in Nederland. Uit internationale publicaties blijkt vooral de verwachting van een sterke groei in het segment van de hyperscales.
Vraag 16

Kunt u aangeven wat de verwachtte groei is in ruimtegebruik, aangezien u stelt dat de sector over tien jaar twintig keer de omvang kan hebben die het in 2020 had?

De Staatssecretaris van EZK meldde in haar brief van 16 december jl. dat niet bekend is hoe de Nederlandse behoefte aan datacentercapaciteit zich tot 2030 precies zal ontwikkelen. In het algemeen wordt wereldwijd tot 2030 een sterke stijging van het dataverkeer verwacht, mogelijk tot 20 maal de omvang van het dataverkeer in 2020. Stijging van het dataverkeer betekent niet automatisch een recht evenredige stijging van de groei van de sector in Nederland en het ruimtegebruik.
Over de groei van de sector in Nederland bestaan uiteenlopende schattingen, verband houdend met vele onzekerheden en aannames hieromtrent. Indien de jaarlijkse groei van (minimaal) 10% ruimtegebruik doorzet, zal het ruimtegebruik in 2030 2,6 keer de omvang van die in 2020 hebben. Als we kijken naar het energieverbruik (thans 3,2 TWh), groeit dat volgens schattingen van de Stuurgroep Extra Opgave in 2030 tot maximaal 15 TWh en zou de sector over 10 jaar maximaal vijf keer zo groot zijn. Het is daarmee aannemelijk dat het ruimtegebruik in ieder geval minder hard groeit dan de wereldwijde groei van de sector. Indien het meerlaags bouwen van datacenters doorzet, zoals in de Metropool Regio Amsterdam al op enkele locaties plaatsvindt, groeit het ruimtegebruik nog minder hard.
Vraag 17

Waar in Nederland denkt u dat die ruimte te vinden is? Vindt u het wenselijk dat schaarse ruimte die nodig is voor natuurontwikkeling en woningbouw om iedereen een dak boven het hoofd te kunnen bieden in beslag wordt genomen door datacenters?

De NOVI geeft voor datacenters aan dat ruimte gezocht kan worden waar op een duurzame manier in de energievraag kan worden voorzien via huidige of toekomstige energienetwerken, levering van restwarmte aan een warmtenet mogelijk is en waar voldaan kan worden aan eisen van de markt zelf aan digitale connectiviteit. Voor hyperscale datacenters stelt de NOVI daarnaast dat vestiging kan waar veel aanbod van hernieuwbare energie is, waar aansluiting op het elektriciteitsnetwerk kan worden geboden en waar ruimte minder schaars is. Dit is het geval aan de randen van Nederland, zoals op bestaande locaties Eemshaven en Middenmeer.
Voor de concrete locatiekeuze in deze gebieden is de absolute omvang van de benodigde ruimte niet het probleem, wel het gegeven dat ruimte schaars is in Nederland en lokaal meerdere functies dezelfde grond kunnen claimen. Dan zijn goede afwegingen belangrijk. Voor deze afweging, door medeoverheden, geeft de NOVI afwegingsprincipes mee: combinaties van functies gaan voor enkelvoudige functies, kenmerken en identiteit van een gebied staan centraal en afwentelen dient te worden voorkomen.
De komende maanden werkt het kabinet uit hoe de in het coalitieakkoord aangekondigde aangescherpte regie vorm zal krijgen. Het kabinet zal de Kamer hier in het voorjaar over informeren.
Vraag 18

Kunt u aangeven waar de 20 tot 25 datacenters die in aantocht zijn, geplaatst zullen worden? Is er al contact, formeel of informeel, om te bekijken waar deze zullen komen en wie is daarbij betrokken?4 Welke functies hebben de mogelijke locaties waar momenteel aan wordt gedacht?

Deze gegevens zijn bij ons niet bekend. Gemeenten zijn verantwoordelijk voor de ruimtelijke inpassing. Bedrijven zullen daar contact mee leggen voor het indienen van een vergunningaanvraag. Voor het verkrijgen van een aansluiting van het net onderhouden bedrijven contacten met de netbeheerders. Specifieke informatie over het type datacenter en de locaties zijn bedrijfsvertrouwelijk en kunnen door de netbeheerders niet worden overgedragen aan het Rijk.
Vraag 19

Waarom wordt geschermd met werkgelegenheidseffecten terwijl reeds bekend is dat, bezien per m2, een datacenter een van de functies is die het minste werkgelegenheid biedt?5

Ten aanzien van de werkgelegenheidseffecten en effecten van datacenters op de digitalisering verwijs ik u naar de beantwoording op vraag 7 van de vragen van het lid Van Dijk (PvdA) over het bericht «De rode loper voor datacenters» (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1728).
Vraag 20

Welke activiteiten vinden plaats op, of welke functie heeft de grond, die momenteel in handen is van het Rijksvastgoedbedrijf (RVB), maar die in de toekomst mogelijk verkocht wordt aan Meta (moederbedrijf van Facebook)?

De rijksgronden zijn momenteel in pacht en erfpacht uitgegeven voor agrarisch gebruik. De gemeenteraad van Zeewolde heeft op 5 november 2020 besloten om artikel 5 van de Wet voorkeursrecht gemeenten (Wvg) toe te passen voor de beoogde percelen voor het datacenter, waaronder de rijksgronden. De gemeente Zeewolde heeft de mogelijkheid om vervolgens een onteigeningsprocedure op te starten.
Door de vestiging van het voorkeursrecht moet het Rijksvastgoedbedrijf (RVB) de rijksgronden bij eventuele verkoop eerst aan de gemeente aanbieden. Indien de rijksgronden verkocht worden dan worden deze aan de gemeente Zeewolde verkocht.
Vraag 21

Klopt het dat er een milieueffectrapportage zal worden vereist voor de oprichting van het datacenter in Zeewolde?

De gemeente Zeewolde heeft voor het vaststellen van het bestemmingsplan Trekkersveld IV voor de vestiging van een groot datacenter een milieueffectrapportage opgesteld. Op 12 oktober 2021 bracht de Commissie m.e.r. haar definitieve advies uit en concludeerde dat het rapport nu volledig de mogelijke gevolgen van een datacenter voor de omgeving beschrijft. Daarmee biedt het in de ogen van de Commissie een goede basis voor de besluitvorming over het project.
Op 16 december jl. stelde de gemeenteraad van Zeewolde dit bestemmingsplan vast.
Vraag 22

Erkent u dat de grond in Flevoland zeer jong is en bekend staat als de meest vruchtbare grond van Nederland en wellicht zelfs van Europa, waardoor het uiterst geschikt is voor biologische, plantaardige voedselproductie?6 Waarom kiest u ervoor om deze grond op te geven voor de bouw van een datacenter?

In Flevoland bevinden zich gronden die zeer geschikt zijn voor grondgebonden landbouw, zo ook in Zeewolde (zie ook Cra advies: Leren van een datacenter in Zeewolde. Advies over een hyperscale datacenter op gronden van het Rijk; http://www.collegevanrijksadviseurs.nl/adviezen-publicaties/publicatie/2021/08/31/advies-datacentrum-zeewolde).
Het datacenter is deels gepland op rijksgronden, die verpacht zijn of in erfpacht uitgegeven voor agrarisch gebruik. De gemeente Zeewolde verzocht het RVB daarom mee te werken aan verkoop van deze gronden. In lijn met de Nationale Omgevingsvisie (NOVI) wil het Rijk bijdragen aan meerdere (maatschappelijke) doelen, met daarbij oog voor multifunctioneel ruimtegebruik. Daarom zijn op basis van bovengenoemd advies van het CRa voorwaarden gesteld aan deze verkoop van rijksgronden. Deze voorwaarden gaan over energiegebruik, zonnepanelen op daken en gevels, watergebruik en omgaan met restwarmte. Het is aan de gemeente wanneer zij naar aanleiding van deze voorwaarden bij het RVB aangepaste plannen indient. Op dat moment wordt getoetst of deze voldoen. Pas daarna vindt definitieve beoordeling plaats. Het besluit over overdracht van gronden is nog niet aan de orde en er is nog geen begin gemaakt met een verkoopproces (zie TK brief 16 december 2021–0000659094). Wel heeft de gemeenteraad van Zeewolde op 16 december jl. ingestemd met het bestemmingsplan voor Trekkersveld IV; het bedrijventerrein voor Meta.
Bij de in het coalitieakkoord aangekondigde aanscherping van de beleidskaders zal het maatschappelijk belang van goede landbouwgrond worden meegewogen. Onderhavige casus laat bovendien zien dat in toekomstige situaties een integrale afweging eerder dient plaats te vinden. Het lopende Nationaal Programma Landelijk Gebied (NPLG), waarin onder meer structurerende keuzes worden voorbereid, kan hierin een belangrijke rol spelen en zoals in het coalitieakkoord staat vermeld zal er ook bezien worden wat het toekomstperspectief van de landbouw is in de verschillende gebieden (zie ook Motie-Boswijk – Kamerstuk 33 037, nr. 402 en Verzamelbrief LNV 23 november 2021 BPZ / 21287096).
Vraag 23

Is er al een plan waar het water (drink-, oppervlakte-, of grondwater) vandaan gaat komen om het datacenter in te koelen? Zo nee, wanneer zal dit duidelijk worden? Zo ja, waar zal het water vandaan komen en wat is momenteel de functie van dat water?

Op 10 augustus 2021 heeft de Staatssecretaris van BZK per brief voorwaarden gedeeld met de gemeente Zeewolde. Een van deze voorwaarden heeft betrekking op het watergebruik van het datacenter en luidt als volgt: «Voor het koelen van het datacenter wordt gebruik gemaakt van intelligente koeloplossingen, waarin drinkwatergebruik tot een minimum is beperkt en waarbij primair hemelwater wordt opgeslagen en ingezet. De koeloplossingen dienen ook in de jaren na ingebruikname te voldoen aan de actuele stand van de techniek, volgens de dan geldende norm voor efficiënte datacenters.»
Zeewolde heeft nog geen aangepast plan ingediend voor deze en de andere voorwaarden. Het Rijk zal als Zeewolde hiervoor informatie aanlevert deze eerst laten toetsen door TNO en daarna beoordelen.
Vraag 24

Hoeveel water is er maximaal en minimaal nodig voor de koeling van het datacenter?

De gemeente Zeewolde heeft informatie op haar website gepubliceerd over het waterverbruik van het datacenter7. Uit deze informatie blijkt dat alleen wanneer de buitentemperatuur te hoog is en/of de buitenlucht te droog is, water wordt gebruikt. De maximale watervraag bedraagt 270 m3/uur en de minimale watervraag is 0 m3/uur. De maximale watervraag zal 4 à 5 dagen per jaar optreden. Het water zal worden ingenomen van de Hoge Vaart. Het datacenter moet voor de waterinname een vergunning aanvragen bij het waterschap Zuiderzeeland.
Vraag 25

Klopt het dat het drinkwaterbedrijf een aansluitplicht heeft wanneer het datacenter daarom vraagt, ook al betreft het levering van drinkwaterkwaliteit voor koeling?

Er is geen aansluitplicht voor levering van water van drinkwaterkwaliteit als dit voor koeling wordt gebruikt. Drinkwater is «water bestemd of mede bestemd om te drinken, te koken of voedsel te bereiden dan wel voor andere huishoudelijke doeleinden, met uitzondering van warm tapwater, dat door middel van leidingen ter beschikking wordt gesteld aan consumenten of andere afnemers.» (artikel 1 Drinkwaterwet). Bij gebruik voor koeling is sprake van levering van «ander water» wat buiten de wettelijke leveringsplicht van het waterbedrijf valt. De afweging of een datacenter aangesloten moet worden op het leidingwaternet voor levering van «ander water» ligt uiteindelijk bij het drinkwaterbedrijf. Hierbij wordt opgemerkt dat het drinkwaterbedrijf vanuit de Drinkwaterwet een verantwoordelijkheid heeft die primair gericht is op de levering van drinkwater voor consumptie en sanitaire doeleinden aan consumenten (dus niet op levering van koelwater aan bedrijven). Een drinkwaterbedrijf kan de gevraagde aansluiting of levering weigeren op basis van zijn algemene voorwaarden.
Vraag 26

Zal het koelwater worden geloosd? Zo ja, waar? En is er sprake van het gebruik van additieven in het koelwater? Kunt u aangeven op welke wijze eisen gesteld zouden kunnen worden aan koelsystemen?

De gemeente Zeewolde geeft op haar website aan dat het gebruikte koelwater zal worden geloosd op de Hoge Vaart42. Het datacenter moet voor deze lozing een vergunning aanvragen bij het waterschap Zuiderzeeland. De gemeente geeft tevens aan dat het op dit moment nog niet bekend is welke stoffen worden gebruikt om ingenomen water te zuiveren bij gebruik als koelwater. Voor wat betreft de beoordeling van mogelijke additieven die worden toegevoegd aan koelwater, verwijs ik naar het antwoord op eerdere Kamervragen door van Raan en van Esch d.d. 1 april 2021 over watergebruik bij datacenters8.
Voor wat betreft het stellen van eisen aan het koelsysteem, verwijs ik naar het antwoord op vraag 23.
Vraag 27

Wat is het effect van de recente uitspraak van de Hoge Raad die oordeelde dat de overheid percelen niet exclusief aan één partij mag verkopen?

De uitspraak van de Hoge Raad heeft betrekking op de verkoop door een overheidslichaam van onroerende zaken. De uitspraak stelt dat (potentiële) gegadigden aan de hand van objectieve, toetsbare en redelijke selectiecriteria ruimte moet worden geboden om mee te dingen.
Deze uitspraak heeft geen gevolgen voor de verkoop door het RVB van Rijksgronden ten behoeve van het datacenter van Meta. Op deze gronden had de gemeente Zeewolde al een Wet voorkeursrecht gemeente gevestigd. Indien het Rijk deze gronden verkoopt zal zij deze eerst aan de gemeente moeten aanbieden.
Vraag 28

Klopt het dat Facebook (of Meta) druk heeft uitgeoefend om een locatie geregeld te krijgen?

Nee, dit klopt niet. Ik verwijs u verder naar de beantwoording op vragen 8 en 9 van de vragen van het lid Leijten (SP) over het bericht «Het Rijk regelde onder druk van Facebook voorrang op het stroomnet» (Aanhangsel handelingen, vergaderjaar 2021–2022, nr. 1726).
Vraag 29

Klopt het dat uw voorganger Minister Wiebes destijds een brief «bestelde» bij de gemeente Zeewolde en de provincie Flevoland, waarin ze moesten vragen om een datacenter om daarmee te kunnen pretenderen dat hier lokaal vraag naar was?7 Wat vindt u van die gang van zaken?

Dit klopt niet. De Minister van EZK heeft zich destijds alleen gericht op de vraag of een bijzondere wijze van aansluiting van het datacenter op het hoogspanningsnet past binnen het wettelijke kader van de Elektriciteitswet, en geconcludeerd dat dit het geval is. Omdat de locatie schuurt met de voorkeursrichtingen uit de NOVI, maar daar niet mee in strijd is, heeft de Minister van EZK destijds een brief gevraagd aan de gemeente en provincie of zij achter de komst van het datacenter staan. Dit is toegelicht door de Minister van Economische Zaken en Klimaat in het Vragenuur van 7 december 2021.
Vraag 30

Wat is, naar uw mening, de betekenis van de erkenning in het coalitieakkoord dat hyperscale datacentra een onevenredig groot beslag leggen op de beschikbare duurzame energie en beschikbare ruimte in verhouding tot de maatschappelijke en/of economische meerwaarde?

Het kabinet zal de keuzes in de NOVI over datacenters aanscherpen. Daarnaast wordt uitgewerkt met welke sturing meer regie zal worden gevoerd in het realiseren van deze keuzes en de toelatingscriteria bij de vergunningverlening.
Het kabinet informeert dit voorjaar de Kamer over de voortgang in deze aanscherpingen.
Vraag 31

Betekent dit dat de komst van hyperscale datacenters momenteel ten koste gaat van de brede welvaart? Betekent dit ook dat het kabinet hyperscale datacenters gaat weren?

De impact van hyperscale datacenters verschilt per datacenter. In algemene zin komt de passage in het coalitieakkoord over hyperscale datacenters voort uit een afweging rondom de brede welvaart. In lijn met het coalitieakkoord zal dit kabinet de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters aanscherpen. De Minister voor Volkshuisvesting en Ruimtelijke Ordening zal de Kamer hier dit voorjaar samen met de Minister van Economische Zaken en Klimaat en de Minister voor Klimaat en Energie over informeren.
Het kabinet is niet in het algemeen «tegen» hyperscale datacenters en zal deze dus ook niet «weren». Vanwege de lokaal mogelijk grote impact door het omvangrijke ruimtebeslag en grote elektriciteitsgebruik is wel meer regie nodig op waar deze datacenters zich vestigen en de inrichting van locaties.
Vraag 32

Wat is, naar uw mening, de betekenis van de erkenning in het coalitieakkoord dat verdozing moet worden tegengegaan? Wat is het effect daarvan op de visie voor datacenters?

In het coalitieakkoord kondigt het kabinet aan zich in te zetten voor het voorkomen van verrommeling en verdozing van onze leefomgeving.
Hyperscale datacenters zijn ook «dozen». De betekenis van deze uitspraak in het coalitieakkoord voor deze datacenters is daarom dat ook voor deze datacenters bij de keuze van vestigingslocaties verrommeling van het landschap wordt tegengegaan, zoals dat ook voor andere «dozen» geldt.
Het bij deze keuze van vestigingslocaties toepassen van het in antwoord op vraag 17 genoemde afwegingsprincipe «kenmerken en identiteit van een gebied staan centraal» is hierbij ondersteunend. Volgens het CRa beslaan de grote dozen momenteel 14.600 ha. Aangezien het huidig ruimtegebruik van datacenters 239 ha beslaat, leveren de datacenters slechts een klein aandeel (1,6%) aan de verdozing van Nederland. Lokaal kan de impact vanwege de omvang van hyperscale datacenters echter groot zijn (zie ook het antwoord op vraag 31).
Vraag 33

Heeft het stukje over hyperscale datacenters in het coalitieakkoord betrekking op de mogelijke komst van de 20 tot 25 datacenters? Zo nee, waarom niet? Zo ja, hoe gaat u voorkomen dat ze toch naar Nederland komen?

De Staatssecretaris van EZK meldt in haar brief over datacenters op 16 december jl. op basis van informatie van TenneT dat er rond 20 á 25 projecten lopen voor de vestiging en uitbreiding van datacenters in Nederland. Deze lopen uiteen in grootte, bevinden zich in verschillende fases van voorbereiding en zitten op verschillende plaatsen in het land. Of en hoeveel hyperscale datacenters hier tussen zitten is niet bekend.
Zoals genoemd in het antwoord op vraag 31 wil het kabinet hyperscale datacenters in algemene zin niet weren. Het kabinet wil wel dat deze bedrijven het landschap niet verrommelen door zich op de juiste locaties te vestigen en voorkomen dat het stroomgebruik andere ontwikkelingen van nationaal belang belemmert.
Vraag 34

Wat wordt er precies bedoeld met deze zin in het coalitieakkoord over hyperscale datacenters: «Daarom scherpen we de landelijke regie en de toelatingscriteria bij de vergunningverlening hiervoor aan»?

Zie het antwoord op vraag 30.
Vraag 35

Op welke manieren kunt u datacenters nog meer weren? Welk effect zou het stoppen met de verlaagde energiebelasting en netwerktariefkosten hebben op de aantrekkingskracht die Nederland uitoefent op datacenters? Welke activiteiten vinden plaats op, of welke functie heeft de grond, die momenteel in handen is van het RVB, maar die mogelijk verkocht wordt aan Meta?

Hoewel ik geen zicht heb op de onderliggende kostenstructuur van datacenters heb ik niet het beeld dat deze bedrijven zich in Nederland vestigen vanwege de wijze waarop energiebelasting of netwerktarieven zijn vormgegeven. Hierin spelen een betrouwbare infrastructuur en stabiel vestigingsklimaat een vele grotere rol. Het verhogen van de energiebelasting zou ook niet alleen datacenters raken maar alle grootverbruikers. Netwerktarieven zijn in lijn met Europese kaders kosten georiënteerd en ACM houd daar als onafhankelijk instantie toezicht op.
De rijksgronden die op het beoogde bedrijventerrein voor Meta liggen worden momenteel in pacht en erfpacht uitgegeven voor agrarisch gebruik (zie ook het antwoord op vraag 20).
Vraag 36

Is u bekend waarom in het coalitieakkoord alleen gesproken wordt over hyperscale datacenters? Is naar uw mening één grote ruimte en energieverbruiker wezenlijk anders dan drie wat kleinere die netto dezelfde ruimte en energie verbruiken?

De reden waarom alleen over hyperscale datacenters word gesproken is dat gelet op hun relatief grote omvang en energiegebruik deze ook grotere impact hebben op de leefomgeving en andere ontwikkelingen dan meerdere kleinere datacenters. Daar komt bij dat hyperscale datacenters een beperktere bijdrage leveren aan de digitalisering en werkgelegenheid in Nederland dan kleinere co-locatie datacenters en niet per se in Nederland gevestigd hoeven te worden (zie ook het antwoord op vraag 19).
Vraag 37

Op welke wijze gaat het kabinet in de toekomst om met het vraagstuk van welke bedrijvigheid men wil aantrekken, aangezien het niet logisch is om in een land met schaarse grond en een tekort aan duurzame energie industrieën aan te trekken die ruimte- en energie-intensief zijn?

Buitenlandse bedrijven leveren een belangrijke bijdrage aan de ambities van dit kabinet, bijvoorbeeld in de vorm van werkgelegenheid, innovatie en toegevoegde waarde van onze economie. Op 17 april 2020 is uw Kamer geïnformeerd over het acquisitiebeleid.10 Daarin is aangegeven dat het kabinet in het acquisitiebeleid sterker wil focussen op juist die buitenlandse bedrijven die ook bijdragen aan versterking van innovatie-ecosystemen en de verduurzaming en digitalisering van onze economie.
De Netherlands Foreign Investment Agency (NFIA), de uitvoeringsorganisatie van EZK die verantwoordelijk is voor het aantrekken van buitenlandse bedrijven naar Nederland, geeft invulling aan dit acquisitiebeleid. Bij het aantrekken van buitenlandse bedrijven werkt de NFIA intensief samen met de verschillende regionale partijen. Samen vormen zij het Invest in Holland netwerk. Deze samenwerking is ook logisch omdat een bedrijf immers altijd in een bepaalde regio zal moeten landen. Deze samenwerking zorgt er ook voor dat rekening kan worden gehouden met eventuele schaarste van grond of duurzame energie in de afweging of een potentiële vestiging van een buitenlandse bedrijf wenselijk is. Uiteindelijk is deze afweging aan de regio zelf, waarbij de NOVI uit oogpunt van de kwaliteit van de fysieke leefomgeving wel voorkeuren aangeeft voor waar deze bedrijven zich vestigen.
Vraag 38

Deelt u de mening dat het niet langer verstandig is om telkens maar nieuwe industrieën aan te trekken en bestaande industrieën in de benen te houden, zonder een visie over welke industrie past bij een duurzame samenleving en wat het betekent voor de brede welvaart?

Doelstelling van dit Kabinet is om te zorgen dat bedrijven, zowel bedrijven die hier reeds zijn gevestigd als nieuwe, bijdragen aan de brede welvaart in Nederland. Het gaat dan om bedrijven die o.a. bijdragen in de vorm van verdienvermogen, duurzame werkgelegenheid, strategische autonomie maar zeker ook de maatschappelijke uitdagingen waar we voor staan zoals de verduurzamingstransitie. Het Kabinet werkt momenteel haar industrievisie nader uit, onder andere over de invulling van de groene industriepolitiek zoals omschreven in het Coalitieakkoord Deze industriebrief zal naar verwachting in het tweede kwartaal van dit jaar verschijnen.

22 december 2021 - 11 maart 2022

79 dagen

Het gebruik van algoritmes door decentrale overheden
	Renske Leijten
	Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. Argos, «In het vizier van het Rotterdamse bijstandsfraude-algoritme?»…
2. Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1093
3. NOS, «Bijstandszaak» Wijdemeren staat niet op zichzelf: «Zakgeld kind…
4. DeDrontenaar, «Camera’s in gemeentehuis gaan aan bij risico op verbaa…

Vraag 1

Kunt u aangeven aan welke regels en voorwaarden algoritmes moeten voldoen als deze gebruikt worden door decentrale overheden en andere overheidsinstanties?1

De overheid is gebonden aan mensenrechten en wetgeving zoals de Algemene verordening gegevensbescherming (AVG), de Algemene wet gelijke behandeling en Algemene wet bestuursrecht. De overheid is verder gebonden aan domeinspecifieke wetgeving zoals die op het terrein van de sociale zekerheid. De inzet van algoritmen, maar ook van andere technologieën, moet in lijn zijn met de geldende wetten en regels. De Europese Commissie werkt daarnaast aan nieuwe wetgeving voor de toepassing van AI-systemen. Belangrijk is dat de technologie zelf op een behoorlijke manier werkt, zodat mensenrechtenschendingen door die technologie worden voorkomen. In elke fase van de levenscyclus (ontwerpen, bouwen, testen, gebruiken en monitoren) van AI-systemen moet daarom aandacht zijn voor de mensenrechten. De AI-verordening biedt daartoe mogelijkheden. Toepassingen met onaanvaardbare risico’s voor de mensenrechten zijn verboden. Aan hoog-risico toepassingen worden eisen gesteld die er voor moeten zorgen dat systemen veilig zijn en mensenrechten respecteren: er worden bijvoorbeeld eisen gesteld aan de data, de accuraatheid van het systeem, de mogelijkheid van menselijk toezicht en cybersecurity. Met een ex ante conformiteitsbeoordeling moeten aanbieders van zulke hoog-risico toepassingen aantonen dat het AI-systeem werkt volgens de regels. Voor AI-systemen die bedoeld zijn om interactie te hebben met natuurlijke personen of content genereren, zoals bots of deepfakes, gaan transparantieverplichtingen gelden. Ook de tijdelijke AI-commissie van de Raad van Europa (CAHAI) werkt aan een juridisch raamwerk voor AI.
Om wetten en regels beter toepasbaar te maken zijn er diverse instrumenten ontwikkeld, zoals de Handreiking non-discriminatie by design om bias en non-discriminatie vroegtijdig te herkennen, een Impactassessment Mensenrechten en Algoritmen (IAMA) die risico’s voor mensenrechten in kaart brengt en mitigeert, en een Code Goed Digitaal Bestuur met beginselen die richting geven aan een verantwoorde inzet van technologie. Het gebruik hiervan is op vrijwillige basis; wel laat ik door de ADR onderzoeken hoe de impact en het gebruik van de handreiking kunnen worden vergroot.
Tot slot zijn adequaat toezicht en controle van belang. De toezichthouders hebben een kader ontwikkeld om beter onderzoek te doen naar algoritmen. En dit kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmewaakhond die is ondergebracht bij de Autoriteit Persoonsgegevens (AP).
Vraag 2

Voldoet volgens u het gebruikte algoritme in de gemeente Rotterdam aan deze voorwaarden? Zo ja, waarom?

Ik begrijp dat u vraagt naar mijn mening over de rechtmatigheid van het gebruik van het algoritme in Rotterdam. Het is echter niet aan mij om daarover te oordelen. Het is belangrijk dat overheden zich aan de regels houden, ook als zij algoritmen inzetten bij het uitoefenen van hun taken. In dit geval is de gemeente Rotterdam daar zelf voor verantwoordelijk. De ex ante conformiteitsbeoordeling, zoals die wordt voorgesteld in de AI-verordening, kan organisaties helpen om aan de voorkant al te ontdekken of aan de verplichtingen wordt voldaan. De hiervoor genoemde instrumenten kunnen er ook aan bijdragen om aan de voorkant al goede keuzes te maken. Uiteindelijk is het aan de Autoriteit Persoonsgegevens om te bezien of het specifieke algoritme op het punt van de verwerking van persoonsgegevens voldoet aan de eisen van de AVG en aan de rechter om te oordelen of het gebruik van het algoritme in overeenstemming met de geldende regelgeving is. Voor intern toezicht dient een privacyfunctionaris om een oordeel gevraagd te worden als persoonsgegevens worden verwerkt; dat kan bij algoritmen het geval zijn. De Staatssecretaris van Koninkrijksrelaties en Digitalisering werkt aan de verbetering van het toezicht. In de iStrategie Rijk wordt daarom voorgesteld dat CIO’s ook toezicht gaan houden op algoritmen. Daarnaast is de ADR gevraagd inzicht te geven in de kwaliteit van de beheersing van de algoritmen door onderzoek te doen naar de wijze waarop de organisaties de kwaliteit en verantwoorde inzet van hun algoritmen op dit moment borgen. Op basis van deze inzichten en aanbevelingen kunnen er op stelselniveau verbeteringen worden doorgevoerd. Tot slot is er ook extern toezicht uitgevoerd door toezichthouders die toezicht houden op een specifiek domein. De toezichthouders hebben een kader ontwikkeld om beter onderzoek te doen naar algoritmen. De Algemene Rekenkamer komt medio mei met een rapport waar mogelijk ook lessen getrokken kunnen worden m.b.t. toezicht op algoritmen.
In het kader van het eigen onderzoek van de gemeente heeft de Rotterdamse Rekenkamer in haar rapport over het ethisch gebruik van algoritmen enkele aandachtspunten geformuleerd. Daaruit vloeide voort dat de transparantie van het gebruik van algoritmen verbeterd diende te worden. Zoals in de eerdere beantwoording van vragen over het gebruik van algoritmen door de gemeente Rotterdam2 is aangegeven, vergt het transparantievereiste uit de AVG (artikel 5, eerste lid, onder a) dat persoonsgegevens worden verwerkt op een wijze die voor de betrokkenen transparant is. De gemeente Rotterdam heeft inmiddels in het kader van transparantie een eerste aanzet gedaan tot een algoritmeregister en dit opgenomen op de website van de gemeente.3 Onder het punt «uitkeringsonrechtmatigheid» staat informatie over het hier aan de orde zijnde algoritme.
Verder heeft gemeente Rotterdam laten weten dat bij het ontwikkelen van het model kritisch wordt gekeken naar de bruikbaarheid en het niet-discriminerende karakter van variabelen en kenmerken. Uit het rapport van de Rekenkamer Rotterdam is gebleken dat de vastlegging van deze toetsing zou moeten worden verbeterd. De gemeente Rotterdam geeft aan op dit punt momenteel stappen te zetten, onder meer door het verstevigen van de governance rondom algoritmen met een grote impact of gevoeligheid (hoog-risico algoritmen). Op verzoek van de Staatssecretaris van Koninkrijksrelaties en Digitalisering doet het Rathenau Instituut op dit moment onderzoek naar de werkprocessen, functies, expertise en hulpmiddelen die organisaties kunnen helpen om bij de ontwikkeling en inzet van algoritmen te werken in lijn met onze grondrechten. De lessen uit dat onderzoek kunnen ook behulpzaam zijn voor gemeenten; de Staatssecretaris gaat daarover graag met hen in gesprek.
Vraag 3

Bent u bereid onderzoek te doen naar de vraag in welke gemeenten en provincies soortgelijke algoritmes worden gebruikt, en met welk doel? Zo nee, waarom niet?

Er vinden steeds meer inventarisaties plaats van het gebruik van AI en algoritmen door overheden. De Algemene Rekenkamer heeft begin 2021 onderzoek gedaan naar algoritmen die door het Rijk worden ingezet.4 Het onderzoek van de Algemene Rekenkamer levert inzichten op van de typen algoritmen die worden ingezet en de zorgen en twijfels die er nog bestaan. Graag verwijs ik ook naar een TNO-publicatie van mei vorig jaar5, waarin diverse toepassingen van AI in de publieke dienstverlening zijn onderzocht. Hier zaten ook voorbeelden bij uit het sociaal domein.
Gelet op hun eigen verantwoordelijkheid voor het naleven van de regelgeving is het de eigen verantwoordelijkheid van provincies en gemeenten om waar nodig onderzoek te laten doen, via de provinciale staten of gedeputeerde staten en gemeenteraad of B&W.6 Daarnaast kunnen ook toezichthouders zoals de Autoriteit Persoonsgegevens (AP) of onafhankelijke instanties met controlerende en toezichthoudende taken, zoals lokale rekenkamers, besluiten om onderzoek te doen. Er vindt dus al met al veel onderzoek plaats en er zijn mogelijkheden om onderzoek te laten doen. De Staatssecretaris van Koninkrijksrelaties en Digitalisering wil stimuleren dat overheden meer inzicht bieden in de werking en de impact van algoritmen die zij inzetten. Daarbij wordt voortgebouwd op de kennis en ervaringen die gemeenten opgedaan hebben met experimenten rond algoritmeregisters, waaronder ook de gemeente Rotterdam, die haar eerste algoritmen heeft opgenomen en de bedoeling is dat dit verder wordt uitgebreid. Met het opzetten en uitvoeren van een verplicht algoritmeregister voor overheden wordt uitvoering gegeven aan de wens van uw Kamer. Op dit moment wordt onderzocht op welke manier dit juridisch en beleidsmatig vorm kan worden gegeven. Uw kamer wordt dit voorjaar verder geïnformeerd, en het is daarom niet gelukt om de kamer zoals eerder toegezegd door mijn voorganger eind januari hierover te informeren.
Vraag 4

Welke bedrijven of instanties ontwikkelen dergelijke algoritmes voor overheidsinstanties en worden deze ontwikkelaars actief aanbevolen door bijvoorbeeld de VNG, de landelijke overheid of door andere belanghebbenden? Zo ja, welke ontwikkelaars zijn dit?

Er zijn geen lijsten bekend met aanbieders bij het Rijk of de VNG, of leveranciers die aanbevolen worden. Bekende aanbieders zijn onder andere Deloitte, Capgemini en Accenture. De laatste was bij Rotterdam betrokken. Grotere overheidsorganisaties – met name de uitvoeringsorganisaties – beschikken vaker dan kleine organisaties over de capaciteit om algoritmen zelf te ontwikkelen.
Vraag 5

Op welke manieren wordt er door gemeenten of andere overheden getoetst of het gebruik van een dergelijk algoritme de meest proportionele maatregel is ten aanzien van andere maatregelen? Is een dergelijke toetsing verplicht? Zo nee, waarom niet?

Een verwerking van persoonsgegevens moet altijd voldoen aan de eisen van de AVG. Eén van die eisen is dat een verwerking proportioneel is. Een middel om dit in kaart te brengen is de data protection impact assessment (DPIA). De Autoriteit Persoonsgegevens heeft een lijst opgesteld wanneer het verplicht is om een DPIA te doen. Daaronder valt ook het doen van heimelijk onderzoek, dat wil zeggen grootschalige of stelselmatige verwerkingen van persoonsgegevens waarbij informatie wordt verzameld met onderzoek, zonder de betrokkene daarvan vooraf op de hoogte te stellen. Ook bij grootschalige of stelselmatige verwerkingen van persoonsgegevens voor fraudebestrijding is een DPIA verplicht. Een DPIA moet in ieder geval een beoordeling van de noodzaak en proportionaliteit van de verwerkingen bevatten. Daarbij hoort dus de vraag of er een minder ingrijpend middel beschikbaar is dan een algoritme. Ook worden in een DPIA de privacyrisico’s voor betrokkenen in kaart gebracht. Vragen die daarbij worden beantwoord, zijn bijvoorbeeld welke data in een algoritme gaat en of die van goede kwaliteit en betrouwbaar is, of de werking van het algoritme uitgelegd en zo nodig gecorrigeerd kan worden en of er risico is op discriminatie door gebruik van het algoritme. Als er risico’s worden gesignaleerd, wordt in kaart gebracht welke maatregelen genomen worden om die risico’s aan te pakken zodat de gebruiker van het algoritme aan de AVG voldoet. Als risico’s niet voldoende beperkt kunnen worden, is het verplicht om voorafgaand aan de verwerking met de AP te overleggen.
De gemeente Rotterdam heeft aangegeven dat het algoritme als een efficiënte manier wordt gezien om te bepalen welke uitkeringsgerechtigden het beste voor een rechtmatigheidsonderzoek kunnen worden uitgenodigd. Gelet op het grote aantal uitkeringsgerechtigden heeft de gemeente Rotterdam vastgesteld dat het onhaalbaar om de rechtmatige uitkeringsverstrekking binnen een tijdsbestek van 1 of 2 jaar te onderzoeken voor de volledige uitkeringspopulatie. Daarbij geeft de gemeente Rotterdam aan dat door gebruikmaking van het algoritme, bij een deel van de uitkeringsgerechtigden administratieve lasten worden voorkomen. Uitkeringsgerechtigden waarvoor de kans dat de uitkering niet meer aansluit op de feitelijke situatie van de uitkeringsgerechtigde minder groot wordt geschat, zullen ook minder snel worden uitgenodigd voor een rechtmatigheidsonderzoek. Daarnaast benadrukt de gemeente Rotterdam dat het algoritme slechts ondersteunt bij de selectie van uitkeringsgerechtigden die voor een rechtmatigheidsonderzoek worden uitgenodigd. Het feitelijke onderzoek naar de rechtmatige verstrekking van bijstand wordt altijd door een medewerker uitgevoerd. Het toepassen van een (algoritmische) selectiemethode kan grote risico’s met zich meebrengen. Het leidt onvermijdelijk tot het maken van een onderscheid. Het is belangrijk om te zorgen en erop toe te zien dat zulk onderscheid niet leidt tot discriminatie (verboden in artikel 1 Grondwet). Het College voor de Rechten van de Mens heeft eind vorig jaar een mensenrechtelijk toetsingskader gepresenteerd over discriminatie door risicoprofielen dat hierbij kan helpen.
Vraag 6

Vindt u het begrijpelijk dat mensen met een uitkering zich automatisch verdacht voelen als ze lezen dat gemeenten gesprekken met bijstandsgerechtigden standaard filmen, verregaande algoritmes ingezet worden om uitkeringsfraude op te sporen, en drones en camera’s worden gebruikt om mensen thuis te controleren op bijstandsfraude? Zo nee, waarom niet?2 3

Mensen die recht hebben op een uitkering moeten die krijgen. Het is belangrijk dat er gecontroleerd wordt op de rechtmatigheid van de toekenning. Deze controle moet echter wel gedaan worden met oog voor de mens achter de uitkering, zoals door de Staatssecretaris van Sociale Zaken en Werkgelegenheid aangegeven in diens brief van 23 november 2021.9 Daarbij moet gebruik worden gemaakt van passende instrumenten. Het standaard filmen van gesprekken zal, zoals is toegelicht in de antwoorden op de vragen van de leden Leijten en Van Kent (SP) over «een gemeente die gesprekken over uitkeringen filmt» van 14 december 2021, alleen in heel bijzondere gevallen acceptabel zijn. Dit geldt des te meer voor situaties waarin er sprake zou zijn van het volgen van burgers. Dergelijke handhavingsinstrumenten maken een inbreuk op de privacy en tot de inzet daartoe kan slechts worden besloten indien wordt voldaan aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit en er een verwerkingsgrondslag voor aanwezig is. De AVG biedt daarvoor het toetsingskader.
Vraag 7

In de beantwoording van eerdere schriftelijke vragen zegt u: «De camera had geen invloed op het gesprek of de strekking van het gesprek en het al dan niet verstrekken van de uitkering.», kunt u bevestigen dat mensen die weigerden deel te nemen aan een gesprek omdat zij gefilmd werden, om die reden een uitkering is ontzegd of is verminderd? Zo nee, waarom niet?

Weigeren van het betreden van een spreekkamer met cameratoezicht is geen grond om een uitkering te ontzeggen dan wel te verlagen. De gemeente Dronten heeft desgevraagd bevestigd dat hier ook geen sprake van is geweest.
Vraag 8

In diezelfde beantwoording stelt u dat er geen onderscheid gemaakt werd naar de aard van het gesprek of de doelgroep waarbij camera’s werden ingezet, terwijl de gemeente in antwoord op vragen aangeeft dat dit bij gesprekken gebeurde «waarbij een verhoogd risico bestaat op fysiek of verbaal geweld». Wat waren daar de selectiecriteria voor, los van eerdere geweldsincidenten die hebben plaatsgevonden met een individu? Vindt u deze selectiecriteria passend?4

De gemeente Dronten heeft desgevraagd bevestigd dat er geen onderscheid gemaakt werd naar de aard van het gesprek of de doelgroep waarbij camera’s werden ingezet.
Vraag 9

Is er een verplichting voor gemeenten en andere (decentrale) overheden om mensen op de hoogte te stellen dat zij onderwerp zijn van een fraudeonderzoek op basis van een resultaat van een algoritme? Zo nee, waarom niet?

Ik begrijp dat u vraagt naar een algoritme dat selecteert welke personen nader zullen worden onderzocht. In algemene zin is een gemeente of andere overheid niet verplicht om individuen vooraf op de hoogte te stellen dat zij onderwerp zijn van een onderzoek. Het kabinet hecht wel aan zo veel mogelijk transparantie rondom het gebruik van algoritmen en investeert het onder meer in het opzetten van een algoritmeregister. Zoals hiervoor opgenomen, heeft de gemeente Rotterdam recentelijk zo’n register online gezet. Hierin zijn de eerste algoritmen opgenomen en de bedoeling is dat dit verder wordt uitgebreid. Verder is van belang dat als de input van een algoritme leidt tot de beslissing om vervolgonderzoek te doen, binnen dat vervolgonderzoek de betrokkene moet worden gehoord. Daarbij moet de betrokkene worden geïnformeerd dat het onderzoek het resultaat is van een algoritme en moet worden toegelicht hoe het algoritme werkt zodat een betrokkene daarop kan reageren en eventuele onjuistheden kan tegenspreken.
Vraag 10

In hoeverre zijn mensen vrij om te weigeren dat zij zonder individuele aanleiding worden gefilmd, zonder dat dit nadelige gevolgen heeft voor de aanvraag van een uitkering of andere voorziening?

Het weigeren van het betreden van een spreekkamer met cameratoezicht is, zoals ook bij de beantwoording van vraag 7 is aangegeven, geen grond om een uitkering te ontzeggen dan wel te verlagen.
Vraag 11

Wanneer vindt u het gerechtvaardigd dat gemeenten of andere decentrale overheden algoritmes gebruiken gebaseerd op kenmerken als woonplaats, leeftijd, geslacht, levensovertuiging, burgerlijke staat of etnische achtergrond?

Artikel 1 van de Grondwet verbiedt discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht of op welke grond dan ook. Niet elk verschil in behandeling op kenmerken als woonplaats, leeftijd, geslacht, levensovertuiging, burgerlijke staat of etnische achtergrond is discriminatie. In sommige gevallen kan onderscheid toch gerechtvaardigd zijn. Deze objectieve rechtvaardiging moet echter wel voldoen aan een strenge toets. Aan het onderscheid moet een legitieme doelstelling ten grondslag liggen en het middel dat is ingezet moet geschikt zijn om het doel te bereiken. Daarnaast moet het middel proportioneel zijn en moeten er geen minder ingrijpende middelen ter beschikking staan om hetzelfde doel te bereiken. Rechtvaardiging is dus niet de norm, maar uitzondering in een specifieke situatie waarin voldaan is aan alle genoemde eisen. In mijn brief van 14 december 2021 heb ik meer specifiek ten aanzien van het kenmerk etnische achtergrond aangegeven dat onderscheid op deze grond niet, of slechts in uitzonderlijke situaties, gebruikt mag worden en alleen als er zeer zwaarwegende redenen ter rechtvaardiging van het onderscheid zijn.11

21 december 2021 - 2 februari 2022

43 dagen

Het bericht ‘Banken en overheden zetten software af uit angst voor hacks’.
	Queeny Rajkowski (VVD)
	Ferdinand Grapperhaus (CDA)

Bronnen

1. Financieel Dagblad, «Banken en overheden zetten software af uit angst voor hacks» (fd.nl/tech-en-innovatie/1423222/banken-en-overheden-zetten-software-af-uit-angst-voor-hacks-knl1ca56jOoK)

Vraag 1

Bent u bekend met het bericht «Banken en overheden zetten software af uit angst voor hacks»?1

Ja.
Vraag 2

Kunt u een inschatting maken wat tot nu toe de schade is als gevolg van het lek bij Apache log4j? Wat is de schatting voor de komende weken?

Tot nu toe heeft het Nationaal Cybersecurity Centrum (NCSC) geen signalen ontvangen van grootschalige uitval of schade bij rijksoverheidsorganisaties of vitale aanbieders. Het NCSC acht het waarschijnlijk dat incidenten, waaruit schade kan ontstaan, over een langere tijdsperiode kunnen gaan plaatsvinden.
Vraag 3

Hoeveel gevallen zijn er al bekend waarbij criminele hackers Nederlandse organisaties aanvallen als gevolg van het lek bij Apache log4j? Met welk doel worden de betreffende organisaties aangevallen? Om welke organisaties gaat het en wat zijn de gevolgen van deze hacks?

Op dit moment is kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland bij het NCSC bekend. Het doel van de aanvallen is veelal financieel gewin. Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren; de Log4J kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen.
De politie heeft tot op heden geen aangiften binnengekregen van aanvallen met betrekking tot deze kwetsbaarheid.
Vraag 4

In hoeverre zijn organisaties en (vitale) bedrijven die mogelijk gebruik maken van Apache log4j van dit lek op de hoogte? Wat is de rol van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hierin? Hebben zij een regierol hier? Zo ja, wat hebben zij tot nu toe gedaan om de risico’s van dit grootschalige lek te mitigeren? Hoe is de IT-informatiesessie van 15 december jl. bevallen?

Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties zo veel als mogelijk proactief gewaarschuwd. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek is geïnformeerd. Daarnaast heeft het NCSC genoemde partijen meerdere doelgroepberichten met aanvullende duiding en handelingsperspectieven verzonden. In deze zin is dus door het NCSC in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform, dat momenteel wereldwijd het meest compleet is, wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Het Digital Trust Center (DTC) zet bij ernstige kwetsbaarheden al haar kanalen in om het niet- vitale bedrijfsleven te informeren en waarschuwen. Ook bij de Log4J kwetsbaarheid was dit het geval.
Als reactie op deze kwetsbaarheid heeft het DTC berichtgeving over Log4J inclusief handelingsperspectief breed gedeeld via de website van het DTC, DTC sociale media kanalen en de DTC community. Ook werd berichtgeving direct gedeeld met DTC samenwerkingsverbanden zodat deze de beschikbare informatie konden verspreiden bij hun achterban (de regio, sector of branche die ze vertegenwoordigen).
Het Cyber Security Incident Response Team voor digitale diensten (CSIRT-DSP) heeft een actieve rol gespeeld door het informeren van digitale dienstverleners binnen hun doelgroep over de Log4J kwetsbaarheid.
Op 15 december hebben NCSC, DTC en CSIRT-DSP gezamenlijk een informatiesessie voor IT-specialisten georganiseerd met als doel meer informatie te delen over de Log4J kwetsbaarheid, te adviseren over mogelijke acties, en vragen over de Log4J kwetsbaarheid direct te beantwoorden. Hier deden ongeveer 4000 deelnemers aan mee.
Vraag 5

In hoeverre zijn organisaties ervan op de hoogte dat er een update van Apache log4j beschikbaar is en dat ze deze update moeten uitvoeren? Hoe vaak is deze update uitgevoerd door organisaties? Welke maatregelen worden getroffen om ook de kleinere bedrijven in te lichten over het doen van deze update?

Zoals in antwoord op vraag 3 aangegeven zijn organisaties vanuit het NCSC en het DTC geïnformeerd over de kwetsbaarheid in Apache Log4J, evenals over de daartoe mogelijke beveiligingsmaatregelen, waaronder het uitvoeren van updates.
De betreffende kwetsbaarheid zit in software die vaak is ingebouwd in andere producten. De aard van de Log4J-kwetsbaarheid maakt het daarmee complex om zicht te krijgen op de mate waarin updates zijn uitgevoerd. Elke organisatie blijft zelf primair verantwoordelijk voor het uitvoeren van updates en maatregelen.
Vele organisaties in Nederland maken gebruik van software waar Log4J in verwerkt zit. Zij kunnen daarom afhankelijk zijn van updates van hun softwareleverancier die op hun beurt de Apache Log4J updates dienen te verwerken in hun software. Daarnaast hebben genoemde organisaties regelmatig een externe IT-dienstverlener die bijvoorbeeld het gebruik van software binnen de organisatie beheert. Dit houdt in dat organisaties niet altijd zelf nodige updates uitvoeren of weten voor welke gebruikte software dat nodig is.
Het NCSC en DTC hebben daarom hun doelgroepen geadviseerd contact op te nemen met hun IT-dienstverlener om te bevestigen dat de juiste updates uitgevoerd worden of andere maatregelen genomen zijn.
Vraag 6

Welke overheidsorganisaties maken gebruik van Apache Log4j? Zijn er al overheidsorganisaties aangevallen door criminele hackers? Welke maatregelen neemt u om de kans zo klein mogelijk te maken dat criminele hackers succesvolle aanvallen op cruciale overheidsorganisaties kunnen uitvoeren en hen digitaal kunnen gijzelen?

Log4J is een softwaremodule die wereldwijd in velerlei software wordt gebruikt, waaronder bij de overheid. Er bestaat geen centraal overzicht van welke softwareproducten Log4J gebruiken binnen de overheid. Iedere overheidsorganisatie is primair verantwoordelijk voor zijn eigen netwerken, systemen en softwareproducten die worden gebruikt. Overheidsorganisaties scannen en inventariseren ook hun maatwerktoepassingen. Er zijn in dit verband wel overheidsbreed kaders afgesproken met eisen waaraan iedere organisatie moet voldoen, waaronder de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat onder andere dat organisaties bij ernstige kwetsbaarheden binnen een week maatregelen moeten treffen. Daarnaast is het verplicht om de informatie-verwerkende omgeving te monitoren om onder meer aanvallen van criminele hackers te detecteren. Hiervoor zijn binnen de overheid Security Operations Centers (SOC’s) en IT- organisaties actief. Zij hebben ook de beschikking over indicatoren die misbruik op basis van de Log4J kwetsbaarheid detecteren.
Na de ontdekking van de Log4J-kwetsbaarheid heeft BZK een crisisteam opgestart en zorg gedragen voor afstemming in het vervolg hierop met de departementen en de koepels/Computer Emergency Response Teams (CERT’s) van de medeoverheden. Het crisisteam heeft er in dat verband op aangedrongen dat de benodigde maatregelen behorende bij deze kwetsbaarheid en het door het NCSC ontwikkelde stappenplan werden opgevolgd en er doorlopend onderzoek plaatsvond op mogelijk misbruik. De komende tijd zullen overheidsorganisaties extra alert blijven op aanwijzingen van mogelijk misbruik.
Op dit moment zijn er geen signalen dat overheidsorganisaties naar aanleiding van de Log4J kwetsbaarheid succesvol zijn aangevallen.
Vraag 7

Bekend is dat meerdere gemeentes hun systemen gedeeltelijk hebben afgesloten? Om hoeveel gemeentes gaat dit? Wat doen deze systemen en hoe lang gaan ze afgesloten blijven? Welke gevolgen heeft het voor de gemeentes als ze hun systemen tijdelijk gedeeltelijk moeten afsluiten?

De Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) houden geen overzicht bij van maatregelen van individuele gemeenten. Iedere situatie en iedere afweging is namelijk anders. De afwegingen om systemen gedeeltelijk/tijdelijk uit te zetten zijn door de gemeenten zelf gemaakt. Gemeenten volgen bij deze afweging het handelingskader van de IBD, zoals vermeld op hun website:2
Dat is in sommige gevallen gebeurd en gemeenten zijn hierover transparant geweest via eigen mediakanalen naar inwoners.
Bij de afweging om systemen gedeeltelijk/tijdelijk uit te schakelen wegen aspecten mee zoals de mate waarin de systemen kwetsbaar of kritisch zijn voor de bedrijfsvoering, of direct aan het internet gekoppeld zijn (internet facing), in relatie tot continuïteit van dienstverlening. Tijdens de feestdagen van eind vorige maand is dit ook gebeurd, op momenten waarop de dienstverlening dit toeliet, zodat in deze beperkt bezette periode het aanwezige personeel niet intensief hoefde te monitoren.
Vraag 8

Naast gemeentes hebben ook organisaties in de vitale sectoren zoals banken hun systemen gedeeltelijk afgesloten. Welke gevolgen heeft dit voor de vitale sectoren? In hoeverre wordt er via het NCSC ondersteuning geboden en samengewerkt met vitale sectoren zoals de banken- en telecomsector om de schade van dit lek te beperken?

De gevolgen van het nemen van preventieve maatregelen, zoals het gedeeltelijk afsluiten van systemen is afhankelijk van de sector of organisatie. Het NCSC heeft gelet op de ernst van de kwetsbaarheid geadviseerd waar updaten niet mogelijk is, te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is. Het (gedeeltelijk) afsluiten van een systeem is een eigen afweging van elke organisatie.
Het NCSC heeft ten behoeve van vitale aanbieders, alsook organisaties die deel uitmaken van de rijksoverheid, de wettelijke taak te informeren en adviseren over digitale dreigingen en incidenten en bijstand te verlenen bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen.
Vraag 9

Hoe wordt in andere landen omgegaan met dit lek? Werkt u samen met andere landen om oplossingen te vinden voor dit lek? Kunnen lessen getrokken worden uit hoe in het buitenland om wordt gegaan met dit lek?

Het beeld van het NCSC met betrekking tot deze kwetsbaarheid wordt gedeeld met nationale CSIRT’s van EU-lidstaten. Het CSIRT-netwerk, bedoeld in de EU Netwerk en Informatiebeveiligingsrichtlijn (NIB), is ook opgeschaald geweest tot alert cooperation mode op initiatief en advies van het NCSC. Dit houdt in dat er, naast het regulier delen van informatie, regelmatig overleggen tussen de CSIRTs van alle EU-lidstaten plaatsvinden om het beeld over de kwetsbaarheid actiever te kunnen delen.
Het door het NCSC opgezette en gecoördineerde publieke informatieplatform is door vele internationale partijen gebruikt om informatie over deze kwetsbaarheid te delen. Dit zien wij als een zeer geslaagde samenwerking met buitenlandse partners.
Vraag 10

Welke gevolgen heeft dit lek voor het gebruik maken van Apache log4j door de overheid? Zijn er betere alternatieven waar naar gekeken kan worden?

In geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4J, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4J. De kwetsbaarheden in Log4J zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger. Het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing. Wel is er structurele aandacht nodig voor dergelijke problematiek en de Onderzoeksraad voor Veiligheid (OVV) heeft in het rapport «Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix» daarvoor diverse adviezen gegeven. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.
Vraag 11

Deelt u de mening dat het NCSC en DTC proactief lijken te communiceren? Op welke verschillende manieren proberen zij organisaties te bereiken en van informatie te voorzien? Wat kan het NCSC en DTC nog beter doen om meer mensen te bereiken, in begrijpelijke taal en welke informatie zou er nog meer gedeeld kunnen worden?

Zoals in het antwoord op vraag 4 en 5 staat vermeld staan het NCSC en het DTC hierover in nauw contact met hun respectievelijke doelgroepen en met elkaar. Eén van de grote uitdagingen bij het stimuleren van organisaties om maatregelen te nemen is het vinden van de juiste balans tussen inhoudelijk technisch advies en praktisch handelingsperspectief.
Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties dan ook zo veel als mogelijk proactief gewaarschuwd én beveiligingsadviezen verzonden. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek in die zin is geïnformeerd. Daarnaast heeft het NCSC meerdere doelgroepberichten met aanvullende duiding verzonden.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Hiermee is door het NCSC dus in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Ook het DTC streeft ernaar waar mogelijk proactief handelsperspectief te bieden voor haar doelgroep. Deze informatie wordt breed gedeeld via de DTC website, sociale media kanalen en de DTC community. Daarnaast deelt DTC beschikbare informatie ook direct met de DTC samenwerkingsverbanden, die het vervolgens binnen hun regio, sector of branche verder verspreiden. Uitgangspunt is dat het gegeven handelsperspectief voor de kleinere en minder cybervolwassen doelgroep ook te begrijpen is. Het DTC werkt op dit moment, met medewerking van het NCSC, aan een verdiepend informatieproduct voor de doelgroep van het DTC met ditzelfde uitgangspunt.
Bedrijven die geen deel uitmaken van een samenwerkingsverband maar wel de berichtgeving willen ontvangen worden door het DTC proactief uitgenodigd om zich aan te melden bij de DTC-community waar de informatie ook wordt gedeeld.3
Vraag 12

Deelt u de mening dat het afkondigen van een code rood, zoals het Duitse Ministerie van Binnenlandse Zaken heeft gedaan, een interessante manier kan zijn om de urgentie van deze kwetsbaarheid aan te geven, er aandacht voor te vragen en de handelingsbereidheid bij organisaties te vergroten? Zo nee, waarom niet?

In de Nederlandse context worden organisaties ook, maar op een andere manier, geattendeerd op digitale dreigingen.
Naar aanleiding van een geconstateerde dreiging wordt in de eerste plaats door het Nationaal Cyber Security Centrum een beveiligingsadvies verspreid ten behoeve van organisaties in de eigen doelgroep (vitale aanbieders, rijksoverheidsorganisaties) en schakelorganisaties zoals het DTC. Daarnaast wordt ook een algemeen beveiligingsadvies gepubliceerd op de NCSC-website. De beveiligingsadviezen worden ingeschaald op (1) de kans dat een kwetsbaarheid wordt misbruikt en (2) de ernst van de schade die optreedt wanneer een kwetsbaarheid misbruikt wordt. Bij Log4J is een High/High advies gepubliceerd.4
Vraag 13

Het Belgische Ministerie van Defensie lijkt aangevallen te zijn via de log4j-kwetsbaarheid; Deelt u de mening dat deze kerstperiode voor criminelen en statelijke actoren een uitgelezen kans zou kunnen zijn om de rijksoverheid en vitale sectoren aan te vallen? Zo nee, waarom niet? Zo ja, welke voorbereidingen worden getroffen? Staan er extra cyberteams paraat en zijn alle systemen gecheckt? Is het helder wie bij een crisis de leiding neemt en hoe cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden? Zo nee, waarom niet? Zo ja, welke rol speelt het Defensie Cyber Commando?

Uit eerdere aanvallen in verband met andere kwetsbaarheden is gebleken dat vakantieperiodes of feestdagen vaker worden misbruikt door cybercriminelen. Een lagere bezettingsgraad kan betekenen dat organisaties mogelijk minder alert zijn of dat middelen voor herstel beperkt zijn in vergelijking met andere periodes.
Op 10 december jl. heeft het NCSC het eerste algemene beveiligingsadvies voor deze kwetsbaarheid op haar website gepubliceerd. Het NCSC waarschuwt daarin voor potentieel grote schade en adviseert organisaties daarom zich voor te bereiden op een mogelijke aanval. Daarbij is aangegeven dat het zeer waarschijnlijk is dat in de komende weken digitale (ransomware)aanvallen en datalekken plaatsvinden. Het NCSC heeft op 16 december het Nationaal Respons Netwerk (NRN) geactiveerd om aanvullende incident respons capaciteit gereed te hebben voor het kunnen verlenen van bijstand.
Vanaf het bekend worden van de kwetsbaarheid heeft het NCSC de situatie doorlopend gemonitord, adviezen geactualiseerd en nauw contact onderhouden met Rijksorganisaties, vitale aanbieders en cybersecuritypartners in binnen- en buitenland. Ook het DTC communiceert de meest actuele informatie en handelingsperspectieven naar haar doelgroep.
Daarnaast kan er ook aanleiding bestaan om de nationale crisisstructuur te activeren bij een dreiging van (zeer) grote omvang. Deze nationale opschaling wordt in de praktijk gecoördineerd door het Nationaal Crisis Centrum van de NCTV. Dit is ook zo beschreven in het Nationaal Crisisplan Digitaal (NCP-D).
De wijze waarop cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden en samenwerken staat ook in het NCP-D beschreven. Ditzelfde plan wordt ook gebruikt om met elkaar cybercrisis te oefenen. Ook de rol van het Defensie Cybercommando (DCC) is te vinden in dit plan.
De rol van het DCC was minimaal in deze casus. Zoals ook in de Kamerbrief Tegenmaatregelen ransomware-aanvallen van 6 okt 2021 uiteengezet door de Minister van Buitenlandse Zaken speelt het DCC de rol van het laatste digitale instrument, waarbij in een eerdere fase inzet van andere overheidsinstanties of minder vergaande instrumenten niet afdoende is gebleken.5 Ook kan het DCC op verzoek de desbetreffende teams versterken met kennis en expertise van cyberoperators. Dat laatste is niet nodig gebleken. Wel heeft het Defensie Cyber Security Centrum (DCSC) cyberexperts geleverd uit het NRN aan het NCSC om te ondersteunen bij deze crisis. Aangezien deze casus meer toezag op cybersecurity – wat het vakgebied en de verantwoordelijkheid is van het DCSC binnen Defensie. Hiertoe is in de Log4J casus de nationale crisisstructuur tweemaal bijeengekomen op het niveau van een Interdepartementaal Afstemmingsoverleg (IAO).

20 december 2021 - 31 januari 2022

42 dagen

Het rapport Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix
	Barbara Kathmann (PvdA)
	Ferdinand Grapperhaus (CDA), Raymond Knops (CDA), Stef Blok (VVD)

Bronnen

1. Onderzoeksraad voor Veiligheid, 16 december 2021, Fundamenteel ingrij…

Vraag 1

Bent u bekend met het rapport van de Onderzoeksraad voor Veiligheid en het bericht Fundamenteel ingrijpen is nodig voor Nederlandse digitale veiligheid?1

Het kabinet is bekend met het rapport van de Onderzoeksraad voor Veiligheid OVV «Kwetsbaar door software – lessen naar aanleiding van beveiligingslekken door software van Citrix» en het bijbehorende bericht van de OVV. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.2
Vraag 2

Bent u het eens met de stelling dat de veiligheid van software allereerst de verantwoordelijkheid is van de softwarefabrikant en dat deze fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren? Zo nee, waarom niet? Zo ja, wat gaat u doen om te zorgen dat deze verantwoordelijkheid in de praktijk feitelijk bij softwarefabrikanten komt te liggen?

Zoals aangegeven in de Nederlandse Cybersecurity Agenda en de Roadmap Digitaal Veilige Hard- en Software zijn organisaties in de eerste plaats zelf verantwoordelijk voor cybersecurity. Voor softwarefabrikanten geldt dat zij primair verantwoordelijk zijn voor de digitale veiligheid van de door hen aangeboden producten en diensten. Daarnaast kunnen afnemers van ICT-producten en diensten (consumenten en organisaties) de vraag naar digitaal veilige ICT-producten en diensten stimuleren. Dit stimuleert aanbieders om te investeren in de digitale veiligheid van hun ICT-producten en diensten. De overheid staat voor de publieke belangen, stimuleert marktpartijen om hun eigen verantwoordelijkheid te nemen en is zelf ook een afnemer van ICT-producten en diensten. Zoals de OVV aangeeft zijn alle partijen van elkaar afhankelijk om de digitale veiligheid in de samenleving en economie te borgen. De afgelopen kabinetsperiode is met een samenhangend pakket aan maatregelen in de Roadmap Digitaal Veilige Hard- en Software ingezet op het verhogen van het digitale veiligheidsniveau van ICT-producten en diensten. Over de jaarlijkse voortgang van de Roadmap Digitaal Veilige Hard- en Software bent u geïnformeerd door de Minister van Economische Zaken en Klimaat op 30 november 2021.3 Voorbeelden van maatregelen uit deze roadmap zijn de inzet van EZK voor de begin dit jaar gerealiseerde Europese cybersecurity markttoegangseisen voor draadloos verbonden apparaten onder de Radio Equipement Directive, de ontwikkeling van Europese cybersecurity certificering voor ICT-producten, diensten en processen onder de Cyber Security Act, een non-paper over de in ontwikkeling zijnde Cyber Resilience Act als horizontale Europese regulering voor de cybersecurity van ICT-producten en diensten en de door BZK en EZK ontwikkelde cybersecurity inkoopeisen voor alle overheidsorganisaties. De Roadmap Digitaal Veilige Hard- en Software is onderdeel van de rijksbrede Nederlandse Cybersecurity Agenda. Over de jaarlijkse voortgang van de Nederlandse Cybersecurity Agenda bent u voor het laatst geïnformeerd op 28 juni 2021.4
Daarnaast wordt momenteel gewerkt aan het ontwikkelen van een integrale Nederlandse Cybersecuritystrategie waarin met name ook de ambities uit het coalitieakkoord nader worden uitgewerkt. Deze strategie wordt zodra gereed met uw Kamer gedeeld. De digitale veiligheid van ICT-producten en diensten zal hier integraal onderdeel van zijn. Ook zal uiteraard worden bezien op welke wijze het kabinet de verschillende aanbevelingen van de OVV kan meenemen ten behoeve van de ontwikkeling van deze strategie en het verder versterken van het cybersecuritystelsel in Nederland en Europa.
Vraag 3

Hoe gaat u invulling geven aan het advies om een voortrekkersrol te nemen voor Nederlandse organisaties en consumenten om gezamenlijk veiligheidseisen te formuleren en af te dwingen bij softwarefabrikanten?

Zoals aangegeven bij vraag 1 is het kabinet het OVV-rapport zorgvuldig aan het bestuderen en zal het voor de zomer hierop een kabinetsreactie geven. Het rapport van de OVV laat zien dat cybersecurity een complex vraagstuk is en de aanbevelingen van de OVV in samenhang moeten worden bezien. Er is niet één afzonderlijke maatregel die de digitale veiligheid kan realiseren. Bij de besluitvorming over de opvolging van deze aanbeveling zal het bestaande instrumentarium in volle breedte in ogenschouw moeten worden genomen.
Een voorbeeld hiervan is de Baseline Informatiebeveiliging Overheid (BIO), die van kracht is op de aanschaf van ICT-producten en diensten door de overheid. De BIO schrijft voor dat overheidsorganisaties ook bij inkoop op basis van risicomanagement bepalen aan welke veiligheidseisen bijvoorbeeld ICT-producten en -diensten moeten voldoen. Om hen daarbij te helpen, hebben de Ministeries van BZK en EZK gezamenlijk een inkoophulpmiddel ontwikkeld, de zogenaamde ICO-wizard.5 De overheid is een grote afnemer van ICT-producten en diensten en kan als grote marktpartij de vraag in de markt stimuleren naar digitaal veilige ICT-producten en diensten.
Vraag 4

Wat gaat u ondernemen om bij softwarefabrikanten af te dwingen dat ze meer investeren in structurele en toetsbare oplossingen voor veiligheidsproblemen in software, in plaats van dat softwarefabrikanten de softwaregebruikers overladen met patches en updates?

Europese samenwerking op dit terrein is van groot belang. Een voorbeeld van een van de huidige maatregelen is de inzet op de ontwikkeling van Europese cybersecuritycertificeringschema’s onder de Cyber Security Act. De Cyber Security Act is het Europese raamwerk waarbinnen cybersecuritycertificeringsschema’s worden ontwikkeld voor verschillende categorieën ICT-producten, diensten en processen. Nederland zet hierbij in op de ontwikkeling van een certificeringschema voor softwarebeveiliging. Ook voor deze vraag geldt dat het kabinet de aanbevelingen op dit vlak nog nader zal bestuderen en daarop zal ingaan in de eerdergenoemde kabinetsreactie.
Vraag 5

Hoe gaat u opvolging geven aan het advies om softwarefabrikanten aansprakelijk te stellen voor de gevolgen van softwarekwetsbaarheden?

Zoals aangegeven bij vraag 1 is het kabinet het OVV-rapport zorgvuldig aan het bestuderen. Het wettelijk vastleggen van de verantwoordelijkheid van fabrikanten voor veilige software en hun aansprakelijkheid voor de gevolgen van eventuele kwetsbaarheden zal op Europees niveau geregeld moeten worden. De OVV heeft deze aanbeveling dan ook gericht aan de Europese Commissie. Eventuele inzet in lijn met deze aanbeveling vanuit het kabinet zou dan ook gericht zijn op het beïnvloeden van besluitvorming hierover op Europees niveau.
Vraag 6

Hoe gaat u invulling geven aan de aanbeveling van de Onderzoeksraad voor Veiligheid om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product?

Zoals aangegeven in de beantwoording op vraag 5 is deze aanbeveling van de OVV gericht aan de Europese Commissie. Vanwege het grensoverschrijdende karakter van de markt voor ICT-producten en – diensten ligt het in algemene zin voor de hand om dergelijke eisen op te leggen in internationaal en Europees verband. Gedurende de afgelopen periode heeft Nederland zich op basis van de Roadmap Digitaal Veilige Hard- en Software sterk gemaakt voor Europese maatregelen zoals cybersecurity certificering van ICT-producten, diensten en processen onder de Cyber Security Act en wettelijke cybersecurityeisen voor Europese markttoegang voor verbonden apparaten onder de Radio Equipment Directive.
Ook gaat Nederland actief het gesprek aan met de Europese Commissie over de ontwikkeling van horizontale regulering voor de cybersecurity van ICT-producten en diensten via de Cyber Resilience Act. Hiervoor is een non-paper opgesteld en aangeboden aan Uw Kamer op 14 december 2021.6

14 december 2021 - 10 februari 2022

58 dagen

Digitale veiligheid
	Renske Leijten
	Raymond Knops (CDA), Ferdinand Grapperhaus (CDA), Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. Follow the Money, 11 december 2021, «Wetenschappers waarschuwen voor …
2. NOS, 11 december 2021, «Cyberwaakhond waarschuwt voor gevaarlijk bev…

Vraag 1

Kunt u een stand van zaken geven over de ontwikkeling van een Europese digitale identiteit en de Nederlandse inzet daaromtrent?1

De Europese Commissie heeft op 3 juni 2021 een wetsvoorstel ingediend voor een «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet. De Commissie deed ook een aanbeveling voor een met de lidstaten te ontwikkelen «Toolbox».2
De Minister van Buitenlandse Zaken informeerde Uw Kamer op 9 juli 2021 over de positie van het kabinet in dit dossier in het BNC-fiche.3 De kern van dit fiche is dat het voorstel van de Commissie inhoudelijk aansluit op het Nederlandse beleid voor elektronische identificatie en uitwisseling van gegevens. Het Nederlandse beleid heeft tot doel dat alle ingezetenen en bedrijven in Nederland en in andere Europese landen op een veilige, betrouwbare, toegankelijke en gebruiksvriendelijke manier digitaal transacties kunnen verrichten in het publieke en in het private domein. Een verdere toelichting op het Europese digitale identiteit raamwerk is eerder gegeven in de Kamerbrief voortgangsrapportage domein toegang.4
Vraag 2

Kunt u een stand van zaken geven over de ontwikkeling van Nederlandse digitale identiteiten, zoals de eID?

Op 12 oktober 2021 is uw Kamer uitgebreid geïnformeerd over de voortgang op het domein digitale toegang.5 In deze brief wordt uitgebreid ingegaan op het gehele domein van de digitale toegang waar zowel de doorontwikkeling van DigiD, het publieke inlogmiddel voor burgers, als eHerkenning, het private stelsel van inlogmiddelen voor bedrijven) onder valt. Het domein Toegang heeft in de kern twee doelen. Allereerst (persoonlijke) toegang verlenen tot een goede, efficiënte digitale dienstverlening voor burgers en bedrijven. En ten tweede de betrouwbaarheid van de private en publieke inlogmiddelen garanderen, zodat persoonsgegevens zo goed mogelijk beschermd zijn.
In de genoemde brief over het domein toegang zijn eveneens de ontwikkelingen op het domein digitale identiteit meegenomen. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.6 Hierin wordt uitgebreid ingegaan op de taken en verantwoordelijkheden die de overheid invult met betrekking tot de digitale identiteit en de digitale infrastructuur.
Vraag 3

Kunt u helder uiteenzetten in welke mate en hoe de data die gekoppeld is aan een eID decentraal wordt opgeslagen en in welke mate en hoe dit centraal wordt opgeslagen? Zo nee, waarom niet?

Bij de inrichting van het eID-stelsel worden om in te loggen bij overheden geen andere attributen (persoonsgegevens) verwerkt dan het burgerservicenummer; dat wil zeggen niet op andere plekken dan waar dit nu reeds plaatsvindt. Bij de implementatie van eID is overigens een centrale, maar ook een decentrale opzet, of een combinatie van beide mogelijk. In alle situaties is de kern dat er een adequate privacybescherming wordt gerealiseerd. Daarbij dienen alle beginselen uit de AVG worden meegenomen.
Vraag 4

Begrijpt u de kritiek van experts, die aangeven dat hoewel mensen eigenaar lijken te zijn van hun eigen data, maar dat dit principe ondermijnd wordt door verdienmodellen van verschillende deelnemers en aanbieders van digitale identiteiten? Zo nee, waarom niet? Zo ja, wat zijn de waarborgen waardoor deze prikkels worden weggenomen?

Ik deel de achterliggende zorg. Ik ben het met de experts eens dat persoonsgegevens van burgers geen handelswaar zijn en dat verdienmodellen van aanbieders daarop ook niet gebaseerd mogen zijn. Ik ben van mening dat daarvoor ook afdoende waarborgen getroffen zijn en worden. Zowel in de revisie van de bestaande eIDAS verordening tot vorming van een Europees digitale identiteit raamwerk, als in de voorstellen voor de Wet Digitale Overheid, is opgenomen dat gebruiks- en gebruikersgegevens en eventuele andere categorieën persoonsgegevens niet gebruikt mogen worden voor andere doeleinden dan de veilige uitgifte van inlogmiddelen en het inloggen met deze middelen.7 De data van mensen dienen dus niet het verdienmodel van een aanbieder van een digitaal identiteitsmiddel, omdat dit onder de voorgestelde wetgeving niet wordt toegestaan.
Vraag 5

Waarom is er bij de ontwikkeling van de eID/SSI (Self-Sovereign Identity) gekozen voor blockchaintechnologie? Begrijpt u de kritiek van wetenschappers dat dit kwetsbaar en kostbaar is, onder andere omdat data, ook als deze niet juist is, niet verwijderd kan worden? Kunt u uw antwoord toelichten?

Het artikel waaraan u refereert beschrijft één experiment en geen breed maatschappelijk geïmplementeerde toepassing. De genoemde pilot wordt momenteel niet aan burgers aangeboden. Het Nederlandse eID voor burgers is DigiD. Hierbij wordt de door u genoemde technologie niet gebruikt.
De mate waarin distributed ledger technologie (blockchain) in de toekomstige Europese en Nederlandse digitale identiteit infrastructuur gebruikt wordt staat nog niet vast. Ik kijk hier zeer kritisch naar, niet alleen vanuit het oogpunt van privacy, maar ook vanuit duurzaamheid. Het maatschappelijke doel staat in het Nederlandse beleid voorop, niet de ondersteunende technologie. De overheid blijft graag in open dialoog en onderzoekt diverse technologische initiatieven die kunnen bijdragen aan een betrouwbare digitale identiteit infrastructuur, zeker waar het gaat om het borgen van de autonomie en privacy van Nederlandse burgers. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties tracht hierbij zo min mogelijk voorbarige conclusies te trekken, maar probeert te leren door te experimenteren.
Vraag 6

Kunt u ingaan op de zorgen over hoe de gekozen techniek mensen ernstig kan benadelen, omdat zij aan een systeem vastzitten en daar alleen afstand van kunnen nemen met grote persoonlijke consequenties? Hoe denkt u dit te voorkomen?

Ik ben bekend met deze technologie en de kritiek hierop. We onderzoeken, bijvoorbeeld in het kader van het European Blockchain Partnership, diverse mogelijkheden om distributed ledgers (blockchains) te gebruiken zonder daarop persoonsgegevens op te slaan. Dit heeft mijn voorkeur. Zoals in het antwoord op de vorige vraag is aangegeven, staat de mate waarin distributed ledger technologie (blockchain) in de toekomstige Europese en Nederlandse digitale identiteit infrastructuur gebruikt wordt, nog niet vast. Het maatschappelijke doel staat in het Nederlandse beleid voorop, niet de ondersteunende technologie.
Vraag 7

Hoeveel lobbycontacten zijn er geweest tussen de overheid en het platform ID2020? Kunt u een overzicht verstrekken?

In het opstellen van de Nederlandse lijn in het werken aan het Europese digitale identiteit raamwerk zijn geen contacten geweest met medewerkers van het platform ID2020.
Vraag 8

Kunt u ingaan op de zorgen van wetenschappers dat de coronapandemie door bedrijven en politici wordt gebruikt of misbruikt om een digitale identiteitskaart(ID) in te voeren? Kunt u uw antwoord toelichten?

De Nederlandse digitale identiteitskaart bestaat op dit moment niet. De wet op de identificatieplicht laat dit niet toe. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.8
Vraag 9

In hoeverre vindt u het ethisch verantwoord dat bedrijven of beleidsmakers een gezondheidscrisis gebruiken om een digitale identiteit aan te prijzen, waardoor zij meer winst kunnen maken of meer invloed kunnen vergaren door dataverzameling?

Er is door de overheid geen gezondheidscrisis gebruikt om meer winst te maken of invloed te vergaren door datavergaring. De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen stappen vergt. In de visiebrief digitale identiteit (feb 2021) heb ik nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen.9 Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. De kern is dat ik wil bouwen aan vertrouwen in de digitale wereld door een betrouwbare digitale identiteit infrastructuur in te richten. Winst van private partijen zal hierbij geen doel zijn. Invloed vergaren door middel van dataverzameling bij het gebruik van digitale identiteitsmiddelen is voor zowel overheden als private partijen volgens de voorgestelde wetgeving niet toegestaan. Zie het antwoord op vraag 4.
Vraag 10

Op welke manier zijn de ethische aspecten meegewogen in het beleid rond de Europese en Nederlandse digitale identiteit? Kunt u uw antwoord toelichten?

De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen en ethisch verantwoorde stappen vergt. In de visiebrief digitale identiteit (feb 2021) is nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen. Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. Ook worden in deze brief enkele uitgangspunten voor de toekomstige digitale identiteit infrastructuur aangegeven.10 Om een gedragen en betrouwbare inrichting van de Nederlandse en Europese digitale identiteit infrastructuur te bewerkstelligen zal ik hierover in de toekomst met uw Kamer en met diverse maatschappelijke experts, waaronder ethici, in gesprek gaan.
Vraag 11

Kunt u reflecteren op de wenselijkheid van de invloed van onder andere Microsoft, maar ook andere multinationals of big techbedrijven, in de oproep aan overheden tot het ontwikkelen van een zogenoemde coronapas? Zo nee, waarom niet?

De inrichting van het «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet, wordt onafhankelijk van het eerder ontwikkelde EU digitale Corona Certificaat ontwikkeld. Voor de ontwikkeling van de onder vraag 1 genoemde toolbox zal ook de kennis en ervaring vanuit het bedrijfsleven betrokken worden. Dit doen we op een open wijze met een gelijk speelveld voor de betrokken partijen.
Vraag 12

In hoeverre vindt u het afhankelijk worden van een digitale identiteit wenselijk als er tegelijkertijd nog altijd grote beveiligingsrisico’s zijn voor mensen als het gaat om het gijzelen van data en persoonsgegevens?2

Op het terrein van informatieveiligheid binnen en buiten de overheid is veel werk te doen. Het kabinet zet zich permanent in voor het vergroten van de digitale veiligheid in de samenleving; ik verwijs naar de Kamerbrief met de Beleidsreactie Cybersecuritybeeld Nederland 2021 (CSBN2021) en de voortgangsrapportage Nederlandse Cybersecurity Agenda (NCSA).12 De digitale dreiging is immers groeiende en alle overheden en organisaties wereldwijd kampen met dit vraagstuk. Het is een brede maatschappelijke opgave voor publieke en private partijen. Digitale veiligheid is dan ook een essentiële randvoorwaarde voor het slagen van de digitale transitie. Daarom dient deze veiligheid in de basis geborgd te worden zodat dit geen beletsel vormt voor de toekomstbestendigheid van de Europese en Nederlandse digitale identiteit infrastructuur.
Vraag 13

Kunt u aangeven wat u onderneemt om deze kwetsbaarheid, en het oplossen van die kwetsbaarheden, zo veel mogelijk onder de aandacht te brengen van (overheids)instellingen en bedrijven?

Vanuit de driehoek BZK, JenV en EZK wordt nauw samengewerkt om de digitale weerbaarheid in de publieke en private sectoren in Nederland te verhogen. Een goed voorbeeld hiervan is de recente aanpak van Apache Log4j kwetsbaarheid waarbij binnen de rijksoverheid, onder operationele coördinatie door het NCSC, organisaties vanuit de eigen rollen en taken nauw hebben samengewerkt. Een speciaal georganiseerd online-webinar, georganiseerd door het Digital Trust Center (DTC), NCSC en CSIRT-DSP, werd door 4000 IT- en cyberspecialisten bezocht waardoor kennis snel gedeeld kon worden met partijen die aan de knoppen zitten. Uw Kamer is hier op 17 december jl. over geïnformeerd.13
Vraag 14

Kunt u aangeven hoe bedrijven en (overheids)instellingen en getroffen burgers worden ondersteund bij eventuele schade van dit veiligheidslek?

Leveranciers van software zijn allereerst verantwoordelijk om bij kwetsbaarheden actie te nemen en zo te zorgen dat hun producten veilig zijn. Door de stichting Apache zijn in deze casus ook updates beschikbaar gesteld om de kwetsbaarheden te dichten.14 Bedrijven en organisaties in Nederland zijn primair zelf verantwoordelijk voor de beveiliging van hun IT en dienen de patch, waar dat kan, dan ook zo snel mogelijk uit te voeren.
Het NCSC heeft daarnaast krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak om vitale aanbieders en Rijksoverheidsorganisaties in het geval van dreigingen of incidenten met betrekking tot hun netwerk- en informatiesystemen, zowel desgevraagd als proactief, te informeren, adviseren en overige bijstand te verlenen. Digitale dienstverleners (clouddiensten, online marktplaatsen, zoekmachines) die onder de Wbni vallen kunnen desgewenst bijstand verkrijgen van het nationale Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP).15 Het DTC ondersteunt het MKB hierin met algemene en specifieke dreigingsinformatie, advies, handelingsperspectieven en tools. Ook stimuleert het sectorale en regionale samenwerkingsverbanden van bedrijven die tot doel hebben de cyberweerbaarheid van hun deelnemers te verhogen.
Het is aan alle partijen om zich goed voor te bereiden op eventuele compromittering van hun netwerk- en informatiesystemen, zoals dat ook bij inbraak en diefstal het geval is in de analoge situaties. Wanneer onverhoopt burgers slachtoffer worden van een dergelijk incident, dan zal per geval bekeken moeten worden of er partijen aansprakelijk gesteld kunnen worden. Wanneer burgers of instellingen als gevolg van een dergelijk incident te maken krijgen met cybercrime, dan kunnen zij hiervan aangifte doen bij de politie.
Vraag 15

Vindt u het wenselijk dat zoveel bedrijven en instellingen afhankelijk zijn van het veiligheidsbeleid van één bedrijf? Zo nee, wat is hiervoor volgens u een oplossing?

Als een (digitale) toepassing door heel veel bedrijven en instellingen wordt gebruikt dan zal de economische of maatschappelijke schade bij incidenten veelal groter zijn dan wanneer er weinig gebruikers zijn. Organisaties zijn zelf primair verantwoordelijk voor hun eigen digitale weerbaarheid en het bepalen van welke producten of diensten ze daartoe afnemen. Voor verschillende organisaties geldt wel dat ze wel onder meer op grond van de Wbni een zorgplicht hebben en dus passende en evenredige beveiligingsmaatregelen moeten treffen. Ook vindt er toezicht op de naleving hiervan plaats.16
Daarnaast is het kabinet in dit verband positief over het commissievoorstel voor de herziening van de NIB-richtlijn. Dat voorstel bevat onder andere bepalingen over het inrichten van een proces voor gecoördineerde risicoanalyses voor kritieke ICT-systemen, -producten of diensten. Ook regelt het voorstel dat de entiteiten die zullen vallen onder de herziene NIB-richtlijn adequate beveiligingsmaatregelen moeten treffen, waarbij ook rekening moet worden gehouden met de beveiliging van hun toeleveringsketens. Zie ook het antwoord op vraag 16.
Vraag 16

Kunt u aangeven of er een melding moet worden gedaan van digitale aanvallen en beveiligingslekken waardoor er preventief kan worden opgetreden om verdere onveiligheden op te lossen? Kunt u uw antwoord toelichten?

Het doel van het kabinetsbeleid ten aanzien van digitale aanvallen en beveiligingslekken is om slachtoffers en schade te voorkomen, het aanvalsproces te verstoren en daders op te sporen. Voor verschillende organisaties geldt er onder meer krachtens de Wbni reeds een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening. Op dit moment wordt er in de EU onderhandeld over de herziening van de NIB-richtlijn, die in Nederland is geïmplementeerd via de Wbni. Met de herziening van de NIB-richtlijn zal het aantal sectoren en organisaties die onder de herziene richtlijn komen te vallen en dus onder meer moeten voldoen aan een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening behoorlijk worden uitgebreid. Tevens stimuleert het NCSC het inrichten van een beleid voor Coordinated Vulnerability Disclosure (CVD), waarbij gebruikers melding kunnen maken van kwetsbaarheden bij de eigenaars of producenten van software en systemen. Het NCSC kan bemiddelen indien een leverancier of eigenaar niet of niet goed reageert op een dergelijke melding.
Daarnaast staan het NCSC, het CSIRT voor digitale diensten en het DTC met elkaar in contact om zo veel als mogelijk te adviseren over welke beveiligingsmaatregelen organisaties kunnen nemen en zij waarschuwen bij geconstateerde kwetsbaarheden hun onderscheidenlijke doelgroepen om onder meer het bewustzijn te vergroten. Ook bieden ze hulpmiddelen voor het treffen van maatregelen aan ter verhoging van de cyberweerbaarheid.

14 december 2021 - 4 februari 2022

52 dagen

Het bericht ‘Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie’.
	Queeny Rajkowski (VVD)
	Ferdinand Grapperhaus (CDA)

Bronnen

1. https://www.volkskrant.nl/nieuws-achtergrond/technologieleverancier-v…

Vraag 1

Bent u bekend met het bericht «Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie»1?

Ja. Dit voorval is zeer onwenselijk. Onderdeel van ons beleid is beter te gaan monitoren hoe toeleveranciers van de overheid omgaan met onze data. Het gaat daarbij om een samenhang van de te treffen beveiligingsmaatregelen (in zowel de contracten van de overheid als van de ICT-leverancier) als om het inregelen van toezicht. Ook het beleid van ICT-leveranciers ten aanzien van ransomware moet hierin worden meegenomen.
Vraag 2

Aan welke overheidsorganisaties levert Abiom communicatietechnologie?

Voor zover bekend nemen onder andere de Nationale Politie, de Dienst Justitiële Inrichtingen, Rijkswaterstaat, het Centraal Bureau Rijvaardigheidsbewijzen, Luchtverkeersleiding Nederland en het Ministerie van Defensie diensten en producten af van Abiom. Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de wettelijke verankering van en toezicht op informatieveiligheid voor het gehele openbaar bestuur, waaronder de Baseline Informatiebeveiliging Overheid (BIO) in een volgende tranche van de Wet Digitale Overheid (WDO). Overwogen wordt om in nadere regelgeving op te nemen dat bij iedere bestuurslaag voldoende snel kan worden achterhaald welke organisaties gebruik maken van welke leveranciers en/of software. Met deze informatiepositie kan de overheid haar respons op toekomstige digitale aanvallen beter invulling geven.
Vraag 3

Gelden er bepaalde (veiligheids)eisen voor kritieke toeleveranciers zoals Abiom die technologie leveren aan overheidsorganisaties? Zo ja, welke en in welke mate wordt hierop gescreend bij aanbestedingsprocessen? Zo nee, waarom niet?

(Veiligheids)eisen zijn van toepassing op alle leveranciers. Zoals bijvoorbeeld in antwoord op eerdere Kamervragen over het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen» is aangegeven, is voor de aanschaf van ICT-producten en diensten, door de overheid de Baseline Informatiebeveiliging Overheid (BIO) van kracht.2, 3 De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat ICT-producten en diensten van een leverancier worden afgenomen. Op grond van die risicoafwegingen bepalen zij dan de toepassing binnen hun eigen bedrijfsprocessen. De inkopende overheidsorganisatie bepaalt ook aan welke eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Deze overheidsorganisaties zullen ook tijdens de looptijd van het contract moeten toezien op het naleven van die eisen door de leverancier.
Om de inkopende overheidsorganisatie te helpen bij het bepalen aan welke inkoopeisen op het gebied van informatieveiligheid moet worden voldaan in het geval van ICT-producten en -diensten heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties samen met het Ministerie van Economische Zaken en Klimaat een inkooptool ontwikkeld, de zogenaamde ICO-wizard, Inkoopeisen Cybersecurity Overheid.4
Tevens geldt in algemene zin dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. Bij elke casus wordt bezien hoe risico’s beheersbaar kunnen worden gemaakt. Het uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.5 Uiteindelijk is het aan de opdrachtgever om deze risicoafweging te maken en mitigerende maatregelen te implementeren en te monitoren. De term «kritieke toeleveranciers» heeft geen specifieke status binnen de overheid.
In algemene zin biedt het wettelijk kader de mogelijkheid om bij inkoop en aanbestedingen specifieke (veiligheids)eisen als voorwaarden te stellen aan de (mogelijke) opdrachtnemer. Hier kan op worden gecontroleerd tijdens het aanbestedingsproces en gedurende de looptijd van het contract. Ook hier geldt dat de betreffende overheidsorganisatie hier zelf verantwoordelijk voor is.
Politie:
Bij alle Europese aanbestedingen betreffende door de Politie te verlenen opdrachten zijn eisen en contractuele bepalingen opgenomen die zich richten op geheimhouding en de verwerking van persoonsgegevens. Met de toeleveranciers van de politie worden – indien nodig – verwerkersovereenkomsten gesloten. In deze overeenkomsten staan de eisen met betrekking tot de omgang met informatie opgenomen waaraan een toeleverancier moet voldoen om leverancier van de politie te kunnen zijn. Deze eisen neemt de politie al mee bij de (voor-)selectiekeuzen voor leveranciers. Daarnaast worden, wanneer relevant, bij aanbestedingen eisen opgenomen die betrekking hebben op het beschermen van (digitale) politiegegevens, het vernietigen na gebruik en de plicht tot het melden van datalekken. Recentelijk is door de Korpsleiding van de politie besloten tot het intensiveren van het toezicht tijdens de uitvoeringsfase van een contract waarbij substantiële veiligheidsrisico’s zijn voorzien.
Defensie:
Voor Defensie geldt dat de Algemene Beveiligingseisen Defensieopdrachten (ABDO) van toepassing is op gerubriceerde opdrachten die Defensie bij de industrie belegt. De ABDO voorziet in diverse maatregelen om gerubriceerde informatie te beveiligen tegen een dreiging van bijvoorbeeld statelijke actoren. Welke (beveiligings-)eisen van toepassing zijn wordt per opdracht bepaald. ABDO is ook van toepassing op subcontractors en heeft daarmee impact op de beveiliging van de hele keten waar een gerubriceerde opdracht wordt belegd. De MIVD houdt toezicht op het naleven van de ABDO. Er worden in het openbaar geen uitspraken gedaan over welke bedrijven dit betreft.
Vraag 4

Deelt u de mening dat het goed is om de minimale veiligheidseisen voor IT-leveranciers te herzien en wellicht te verhogen om de kans op hacks met grootschalige impact zo klein mogelijk te maken? Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer? Zo nee, waarom niet?

De minimale beveiligingseisen waar IT-leveranciers van overheden zich aan moeten houden liggen vast in de BIO. De uitdaging ligt in het toepassen van de BIO bij bijvoorbeeld inkooptrajecten. Die eisen zullen specifiek ingevuld moeten worden voor de verschillende in gebruik te nemen ICT-producten en -diensten. De inkooptool, de eerdergenoemde ICO-wizard, die ontwikkeld is voor tien inkoopsegmenten, ondersteunt de inkopende overheidsorganisaties bij het bepalen en/of uitwerken van deze beveiligingseisen. Dat ontheft de inkopende organisatie niet van de verantwoordelijkheid om zelf op basis van risicomanagement te bepalen welke eisen in relatie tot de inkoop van ICT-producten of -diensten moeten komen te gelden.
Daarnaast wijs ik er graag op dat er op dit moment binnen de EU wordt onderhandeld over de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn). Deze richtlijn regelt onder meer dat entiteiten in 16 sectoren, waaronder de overheid, maatregelen moeten nemen om risico’s voor hun netwerk- en informatiesystemen die zij gebruiken bij het leveren van hun diensten te beheersen. Onderdeel van deze zorgplicht is dat zij rekening moeten houden met risico’s die voortkomen uit de relatie met hun leveranciers en dienstverleners. Op de naleving van de bepalingen uit de richtlijn moet worden toegezien door de lidstaten via hun nationale toezichthouders.
Vraag 5

Aan welke eisen moeten IT-leveranciers aan de overheid voldoen na een veiligheidsincident zoals een hack? Welk controle of testen worden er uitgevoerd?

De BIO schrijft voor dat er na een incident een analyse moet worden gemaakt ter voorkoming van vergelijkbare incidenten in de toekomst. Dit voorschrift geldt voor zowel de proceseigenaar als voor de leverancier. Dergelijke analyses moeten worden gedeeld met relevante partners om herhaling van en toekomstige incidenten te voorkomen. De exacte invulling hiervan is afhankelijk van de aard en het belang van het betreffende ICT-proces en zal voor elke organisatie per geval verschillen. Los hiervan moeten (overheids)organisaties inbreuken in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens melden, indien die inbreuk een risico vormt voor de rechten en vrijheden van personen.
Vraag 6

Klopt het dat de ransomwaregroep LockBit vertrouwelijke documenten online heeft gezet? Zo ja, om wat voor documenten en gegevens gaat het en komen hierdoor processen van de overheid in gevaar en/of lopen burgers gevaar om eventueel slachtoffer te worden van misbruik met hun gegevens?

Nee, burgers en processen van de overheid lopen, voor zover bekend, geen gevaar om door dit lek slachtoffer te worden van misbruik met hun gegevens. In tegenstelling tot de genoemde berichtgeving heeft Abiom geen kopieën van paspoorten van de politieambtenaren, verdachten, verbalisanten en/of benadeelden ontvangen vanuit de politie. De informatie die door de ransomwaregroep LockBit is gepubliceerd betreft – in het geval van de politie – kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. Deze informatie heeft Abiom tot zijn beschikking vanwege uitlevering van randapparatuur zoals bijvoorbeeld op maat gemaakte oortjes voor communicatievoorzieningen. Deze informatie stond op facturen van Abiom aan de politie. De vrijgekomen informatie heeft naar verwachting een beperkte impact op het operationele proces. Op basis van de nu beschikbare informatie kunnen politiemedewerkers en andere hulpverleners nog steeds veilig gebruik maken van C2000. Ook de informatie ten behoeve van het primaire proces bij meldkamers en politiediensten is nog steeds beschikbaar en ongewijzigd.
Naar huidig inzicht heeft de vrijgekomen informatie een beperkte impact gehad bij Defensie. Uit onderzoek is gebleken dat van enkele Defensiemedewerkers contactgegevens zijn gelekt en een beperkte hoeveelheid ongerubriceerde informatie. Deze informatie had geen betrekking op operationele eenheden. Ook zijn er geen missies in gevaar gekomen.
Vraag 7

Wat is het bedrag dat LockBit vraagt voor het niet publiceren van deze documenten? Klopt het dat Abiom niet is ingegaan op de eis van de hackers?

Zoals aangegeven in een statement van Abiom over het incident is er in overleg met de politie door Abiom besloten om niet in contact te treden met de actor die verantwoordelijk is voor de ransomware-aanval.6 In verband met het lopende politieonderzoek kan er op dit moment niet nader in worden gegaan op de casus.
Vraag 8

Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?

Op basis van de beschikbare informatie wordt ervan uitgegaan dat LockBit informatie heeft gestolen met het doel om losgeld te verkrijgen voor het niet publiceren van vertrouwelijke informatie. Vanwege het lopende politieonderzoek kan geen nadere informatie worden gegeven over de casus.
Vraag 9

Wordt er vanuit de overheid toezicht gehouden op gevoelige data van kritieke toeleveranciers van de overheid die online komen te staan? Zo ja, wie verzorgt dit toezicht en wat voor data is tot nu gevonden dat kan worden herleid tot de hack bij Abiom? Zo nee, waarom gebeurt dit niet?

Nee, zoals genoemd in vraag 3, heeft de term «kritieke toeleveranciers» geen specifieke status van de overheid. Hierop wordt als zodanig vanuit de overheid dus ook geen toezicht gehouden. Wel kan een incident aanleiding vormen voor andere toepasselijke toezichthoudende partijen om een onderzoek in te stellen. Wanneer bijvoorbeeld persoonsgegevens online komen te staan (een zogenaamde datalek) als gevolg van een incident is het aan de Autoriteit Persoonsgegevens om te overwegen of nader onderzoek ingesteld moet worden.
Daarnaast eist de BIO in het algemeen dat overheidsorganisaties beveiligingseisen opnemen in hun contracten met leveranciers en dat ze jaarlijks de prestatie van leveranciers op het gebied van informatiebeveiliging beoordelen op basis van vooraf vastgestelde prestatie-indicatoren. Deze behoren onderdeel te zijn van het contract met de leveranciers. Met een toekomstige wettelijke verankering van de BIO worden deze bepalingen van de BIO ook wettelijk verplicht.
Vraag 10

Deelt u de mening dat het goed om is Abiom te vragen om informatie over de hack te delen met bijvoorbeeld het Nationaal Cyber Security Centre en/of Digital Trust Centre? Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren? Zo nee, waarom niet?

Het Nationaal Cyber Security Centrum (NCSC) van mijn ministerie heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Dit betekent onder andere dat het NCSC zich daartoe een zo goed mogelijk beeld vormt van dergelijke dreigingen of incidenten en van de in die gevallen mogelijke mitigerende maatregelen. Het NCSC kan hiervoor informatie opvragen bij betrokken partijen, zoals de leverancier van kwetsbare softwareproducten. DTC heeft vooruitlopend op het wetsvoorstel Bevordering digitale weerbaarheid bedrijven (Wbdwb) de bevoegdheid het als niet-vitaal aangemerkte bedrijfsleven te informeren over serieuze dreigingen indien deze bekend zijn bij het DTC. Daarnaast neemt het DTC in voorkomende gevallen contact op met bedrijven waarbij er sprake is geweest van een serieus incident en DTC hier weet van heeft. In sommige gevallen deelt het DTC de verkregen informatie in meer algemene vorm zodat andere bedrijven hiervan kunnen leren en hun eigen cyberweerbaarheid kunnen vergroten. Het delen van informatie door bedrijven met het DTC over incidenten gebeurt op basis van vrijwilligheid. Het DTC heeft contact gezocht met Abiom om navraag te doen en is nog in afwachting van een reactie. Daarnaast hebben de getroffen overheidsorganisaties contact met Abiom gehad inzake aangifte, onderzoek en herstel, buitgemaakte gegevens, acties van Abiom en acties van de politie zelf.
Vraag 11

Deelt u de mening dat dit soort voorvallen zeer schadelijk kunnen zijn voor het functioneren van kritieke processen van de overheid zoals het functioneren van onze hulpdiensten? Zo ja, welke lessen worden uit deze hack getrokken en welke maatregelen kunnen worden genomen om kritieke toeleveranciers van de overheid (nog) weerbaarder te maken tegen ondermijnende digitale aanvallen zoals ransomware-aanvallen?

Als een incident leidt tot de verstoring van een vitaal proces is er een risico op maatschappelijke ontwrichting. Zoals ik in het antwoord op vraag 5 heb vermeld, schrijft de BIO voor dat organisaties incidenten evalueren. Welke lessen er exact worden getrokken zal per organisatie verschillen, omdat iedere organisatie verschilt en ook omdat de verlening van diensten en producten van Abiom op verschillende manieren is ingezet binnen de betrokken overheidsorganisaties. Die organisaties zullen daarbij zelf steeds een afweging moeten maken hoe risico’s gemitigeerd kunnen worden en welke eventuele restrisico’s blijven bestaan.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

634 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

7 maart 2022 - 30 juni 2022

115 dagen

Lisa van Ginneken (D66)

Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

4 maart 2022 - 23 mei 2022

80 dagen

Tom van der Lee (GL)

Micky Adriaansens (minister economische zaken) (VVD), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

18 februari 2022 - 8 maart 2022

18 dagen

Pieter Omtzigt , Nicki Pouw-Verweij (JA21), Kees van der Staaij (SGP)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

17 februari 2022 - 21 april 2022

63 dagen

Henri Bontenbal (CDA)

Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Micky Adriaansens (minister economische zaken) (VVD), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

17 februari 2022 - 21 maart 2022

32 dagen

Alexander Hammelburg (D66)

Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Kajsa Ollongren (minister defensie) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

15 februari 2022 - 29 maart 2022

42 dagen

Queeny Rajkowski (VVD)

Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen