Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.

Vraag 2

Bent u bekend met het onderzoek van Binnenlands Bestuur en AG Connect naar de kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd? Zo ja, hoe beoordeelt u de bevinding dat deze controlesystemen kwetsbaar zijn voor hackers?

Ja. De beveiliging van dergelijke systemen vereist een andere aanpak dan reguliere IT-systemen. Dit komt door de specifieke risico’s die samenhangen met het toepassingsgebied. Deze systemen hebben een langere levensduur en zijn complexer. Juist daarom is er de laatste jaren extra aandacht voor de beveiliging van operationele technologie, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector». Zie ook het antwoord bij vraag 6.

Vraag 3

Hoe vaak is het in de afgelopen twee jaar binnen Rijkswaterstaat of ProRail voorgekomen dat een succesvolle aanval is gepleegd op de systemen van bediening, besturing en bewaking? Welke maatregelen zijn binnen het Chief Information Security Officer (CISO) domein genomen om inbreuk op vitale systemen in de toekomst te voorkomen?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum (NCSC). Er zijn de afgelopen twee jaar geen Wbni-meldingen gedaan door Rijkswaterstaat (RWS). RWS investeert actief in de verbetering van de digitale beveiliging. Zowel via het RWS versterkingsprogramma als ook via het jaarlijkse informatiebeveiligingsbeeld vanuit het CISO-domein worden diverse acties opgesteld en uitgevoerd ten behoeve van de (digitale) veiligheid, zoals uitvoeren van cybertesten als onderdeel van functionele inspectietesten en het oefenen van planvorming tijdens een cybercrisis ProRail heeft systemen voor de besturing van bruggen, tunnels en beveiliging op het spoor. Deze worden (deels) op afstand bestuurd vanuit de Verkeersleiding-posten. Er zijn geen succesvolle (cyber)aanvallen uitgevoerd. Op de essentiële systemen is een zwaar cybersecurity regime van toepassing. Dit regime wordt met regelmaat door externe onderzoeksbureaus getoetst op betrouwbaarheid en werking.

Vraag 4

Klopt het dat de kwetsbaarheden in de controlesystemen onder meer worden veroorzaakt door de afwezigheid van beveiligingsupdates en het gebruik van verouderde besturingssystemen? Zo ja, hoe beoordeelt u dit beleid, zijn hierover afspraken gemaakt met de aanbieders van de besturingssystemen en wat zijn de kosten hiervan op jaarlijkse basis? Deelt u de mening dat een gebrek aan adequate beveiliging van dergelijke systemen kan leiden tot aanzienlijke (nationale) veiligheidsrisico’s met mogelijk ontwrichtende gevolgen?

De door u genoemde kwetsbaarheden die bij Industriële Controle Systemen (ICS) kunnen ontstaan, kunnen vooral benut worden door hackers indien er koppelingen zijn met het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Risico’s van controle-systemen zijn in het algemeen systeem-, organisatie-, locatie- en tijd specifiek en hangen samen met beveiligingsmaatregelen die door de organisatie zijn getroffen.
Ons beleid is erop gericht organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen dat er maatregelen worden genomen om deze nationale risico’s zoveel mogelijk te verkleinen. Het programma «Versterken Cyberweerbaarheid in de Watersector» levert hier een belangrijke bijdrage aan. De uitvoering van het programma wordt bekostigd uit het IenW-budget van de Nationale Cyber Security Agenda (NCSA). Zie voor de inzet van regelgeving ook vraag 6.

Vraag 5

Klopt het dat een goedwillende hacker op afstand het rioleringssysteem van een grote gemeente kon overnemen, dit vervolgens meldde bij de betreffende gemeente, maar het vervolgens maanden duurde voor de benodigde update werd uitgevoerd? Zo ja, hoe beoordeelt u deze gang van zaken? Bent u het eens dat, gezien de aanzienlijke veiligheidsrisico’s van kwetsbaarheden in het systeem, snelheid hier geboden is?

Uit navraag blijkt geen nadere informatie beschikbaar over een casus van een goedwillende hacker die het rioleringssysteem van een grote gemeente kon overnemen.
Voor de aanpak van de veiligheidsrisico’s die volgen uit kwetsbaarheden in een systeem, zie de beantwoording van vraag 4, 6, 7 en 9.

Vraag 6

Kunt u toelichten welk beleid wordt gevoerd ten aanzien van beveiligingsproblemen en in het bijzonder van het updaten van software van industriële besturingssystemen? Zo ja, welke problemen worden hier ondervonden en wordt in samenwerking met experts gezocht naar oplossingen voor deze problemen? Zo nee, waarom niet?

Op 1 juli j.l. is voor alle Aanbieders van Essentiele Diensten (AED’s) binnen het IenW-domein de Regeling beveiliging netwerk- en informatiesystemen IenW (MR)2 in werking getreden om de AED’s meer handvatten te bieden bij de uitvoering van hun zorgplicht, waaronder maatregelen op het gebied van detectie en respons en patchmanagement. Met deze MR wordt ook de ILT in staat gesteld hier goed toezicht op te houden. Het Nationaal Cybersecurity Centrum (NCSC) heeft voor het adequaat patchen van industriële besturingssystemen diverse handreikingen opgesteld 3. Daarnaast wordt er regelmatig door het NCSC en de diverse ministeries, samen met leveranciers gesproken over (de noodzaak van) goed patchmanagement. Hierbij wordt samen gewerkt in diverse initiatieven4, bijvoorbeeld in de Cybersecurity Alliantie.
Al deze maatregelen tezamen borgen dat de betreffende organisaties weerbaarder zijn bij cyberrisico’s: ze hebben inzicht in de mate waarop de maatregelen doeltreffend zijn, de risico’s kunnen beter beheerst worden en ze zijn in staat voortdurend bij te sturen.

Vraag 7

Welke veiligheidseisen worden gesteld bij de inkoop van software en hardware voor industriële besturingssystemen? Wordt een risicoanalyse uitgevoerd bij de aankoop van de betreffende software en wordt regelmatig getest of beiden voldoen aan de dan geldende veiligheidseisen? Zo ja, wat wordt gedaan met de uitkomsten van de risicoanalyses? Zo nee, waarom niet?

Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoop-contracten en afspraken maken over de naleving van die contracteisen. Het uitvoeren van risicoanalyses en testen is hier onderdeel van. De aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding is eind 2018 geïmplementeerd door de rijksoverheid. Hiermee is het staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.

Vraag 8

Wat is de huidige stand van zaken van het uitvoeren van de aanbevelingen die de Algemene Rekenkamer in 2019 heeft gedaan ten aanzien van de cyberbeveiliging van waterwerken? Welke aanbevelingen zijn reeds overgenomen en uitgevoerd en welke nog niet?

Sinds het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring» uit 2019 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Ik heb uw kamer hierover geïnformeerd in 20205 en onlangs over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector» op 2 juni 20216. Sindsdien zijn de maatregelen voor procesautomatisering in de «Cybersecurity Implementatie Richtlijn Objecten» waarmee deze op bredere schaal kunnen worden toegepast. Een andere prioritaire maatregel betreft de aansluiting van extra objecten op het Security Operations Centre (SOC)7 van RWS. Het betreft daarbij objecten, zoals bijvoorbeeld bruggen en sluizen,van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). Hiermee kunnen kwetsbaarheden eerder gesignaleerd worden en kan er adequaat actie worden genomen om deze te verhelpen.

Vraag 9

In hoeverre worden dreigingsbeelden ingezet en praktisch doorvertaald naar de bescherming van industriële besturingssystemen en in het bijzonder individuele vitale objecten zoals waterkeringen en sluizen?

Dreigingsbeelden worden gedeeld door de veiligheidsdiensten met de betreffende bedrijven en instellingen. Deze maken zelf een doorvertaling naar de systemen in eigen beheer en de organisatie specifieke impact. Vanuit onze beleidsverantwoordelijkheid bieden wij hierbij ondersteuning. Organisaties zijn zelf verantwoordelijk om de juiste maatregelen te implementeren. Waar het aanbieders van essentiële diensten (AED’s) betreft, zien de toezichthouders hierop toe.

Vraag 10

Bent u het eens dat bij het keren en beheren van water de fysieke veiligheid van miljoenen Nederlanders op het spel staat? Zo ja, bent u het dan ook eens dat het niveau van cybersecurity van systemen die rioleringen, bruggen en sluizen aansturen aanzienlijk hoger moet liggen dan nu het geval is? Zo ja, bent u bereid maatregelen te treffen om dit niveau te verhogen? Zo ja, welke? Zo nee, waarom niet?

Ja, ik deel uw mening dat het keren en beheren van water cruciaal is voor de bescherming van Nederland. Daarom is «keren en beheren van de waterkwantiteit» een vitaal proces in categorie A (infrastructuur die bij verstoring, aantasting of uitval ernstige gevolgen heeft op economisch, fysiek of sociaal-maatschappelijk vlak met mogelijke cascade gevolgen). Er wordt hard gewerkt aan het verhogen van het niveau van cyberweerbaarheid van vitale objecten binnen dit proces en deze vallen ook onder de Wbni, zie ook mijn antwoord onder vraag 8.
Verder heb ik vanuit mijn systeemverantwoordelijkheid aandacht voor de cybersecurity van systemen die riolering, bruggen en sluizen aansturen. Daarom werken we samen met decentrale overheden om ook hier de cyberweerbaarheid te verhogen en de Nederlandse infrastructuur blijvend te beschermen.

Vraag 1

Hoe beoordeelt u het feit dat verschillende gemeenten zoals Hof van Twente afgelopen jaren slachtoffer zijn geworden van cyberaanvallen waarbij veel gevoelige persoonsgegevens zijn buitgemaakt?1

Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.

Vraag 2

Hoe beoordeelt u het feit dat uit onderzoek blijkt dat een groot deel van de gemeenten nog geen draaiboek (protocol) heeft in het geval van een digitale aanval? Hoe beoordeelt u het feit dat gemeenten als gevolg hiervan geen kennis en kunde in huis hebben om de benodigde stappen te zetten na een digitale aanval en om de opgelopen schade te mitigeren?2

Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.

Vraag 3

Hoe beoordeelt u het feit dat er wetenschappelijk en maatschappelijk consensus bestaat over de meerwaarde van een cyber protocol/draaiboek in het geval van een digitale aanval waarbij handelingsperspectief kan worden geboden aan organisaties en digitale aanvallen sneller kunnen worden verholpen?

Zie antwoord vraag 2.

Vraag 4

Bent u het met ons eens dat digitale aanvallen nooit honderd procent voorkomen kunnen worden, maar dat het hebben van een cyber protocol/draaiboek indien een aanval zich voordoet wel van essentieel belang is om gemeentes de juiste stappen te laten zetten om zo goed mogelijk om te gaan met digitale aanvallen en om de schade zoveel mogelijk te beperken? Zo ja, bent u het dan ook eens dat het hebben van een cyber protocol/draaiboek een belangrijk hulpmiddel is in het zo goed mogelijk omgaan met digitale aanvallen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Bent u het met ons eens dat het hebben van een cyber protocol/draaiboek als een belangrijk aanvullend instrument kan worden in gezet in een breder pakket van bestaande maatregelen tegen digitale aanvallen? Zo ja, bent u alsnog bereid om de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753) uit te voeren en dus in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) cyber protocollen/draaiboeken op te stellen om gemeentes beter voor te bereiden op digitale aanvallen? Zo nee, waarom niet?

In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.

Vraag 1

Bent u op de hoogte van het gepubliceerde artikel in Het Financieele Dagblad en het onderzoek dat op 14 oktober 2021 is gepubliceerd door de vakbladen Binnenlands Bestuur en AG Connect?1, 2

Ja.

Vraag 2

Zijn er bruggen en rioleringssystemen die op dit moment kwetsbaar zijn en geen update kunnen krijgen met de laatste beveiligingsmaatregelen? Zo ja, welke zijn dit?

Bruggen en rioleringssystemen zijn veelal in beheer bij decentrale overheden. Decentrale overheden zijn zelf verantwoordelijk om op basis van risicoanalyse en risicoafweging beveiligingsmaatregelen te nemen. Ik heb geen signalen van de sector of koepelorganisaties VNG, UvW of IPO ontvangen dat Industriële Controle Systemen (ICS) van bruggen en rioleringen bij decentrale overheden op grote schaal kwetsbaar zouden zijn en dat het ontbreken van updates benodigde beveiligingsmaatregelen zou belemmeren, zie ook de beantwoording van vraag 3.

Vraag 3

Welke risico’s lopen de controlesystemen bij onder andere rioleringen, sluizen en verkeerslichten op dit moment op?

Risico’s van controlesystemen zijn in het algemeen systeem-, organisatie-, locatie- en tijdsspecifiek en hangen samen met beveiligingsmaatregelen die door een organisatie zijn getroffen. Iedere organisatie opereert binnen haar eigen organisatie-specifieke context en maakt op basis van een risicoanalyse een risicoafweging. Risico’s die bij ICS systemen kunnen ontstaan, worden vooral veroorzaakt door koppelingen aan het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Om uitval te voorkomen zijn er veelal terugval opties aanwezig, zoals bijvoorbeeld de handbediening van bruggen en sluizen.

Vraag 4

Welke acties heeft u getroffen naar aanleiding van het kritische rapport van de Algemene Rekenkamer vanaf 2019?3

Sinds publicatie van het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring: cybersecurity en vitale waterwerken» uit 20194 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. Ik heb uw Kamer in 20205 geïnformeerd over mijn inzet in deze. Op 2 juni 20216 heb ik uw Kamer geïnformeerd over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector».
RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Één van de prioritaire maatregelen betreft de aansluiting van extra objecten op het Security Operations Centre (SOC7). In 2019 zijn alle vitale objectenl aangesloten. Van de overige niet-vitale objecten zijn momenteel 12 van de 60 aangesloten. Het betreft daarbij objecten zoals bijvoorbeeld bruggen en sluizen, van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). De verwachting is dat in 2023 alle 60 objecten zijn aangesloten.

Vraag 5

Kunt u de kamer informeren over de huidige stand van zaken en wat het plan van aanpak is om onze infrastructuur te beschermen tegen hackers?

Binnen de overheid lopen er meerdere initiatieven om de vitale infrastructuur te beschermen en de digitale weerbaarheid te verhogen. Voor de stand van zaken van de Nationale Cybersecurity Agenda verwijs ik naar de beleidsreactie Cyber Security Beeld Nederland 2021 en voortgangsrapportage NCSA die op 28 juni 2021 door de Minister van Justitie en Veiligheid met uw Kamer is gedeeld8.
Samen met de drinkwaterbedrijven, waterschappen, gemeenten, provincies en Rijkswaterstaat heeft het Ministerie van Infrastructuur en Waterstaat het Programma Versterken Cyberweerbaarheid in de Watersector 2019–2022 (PVCW9) opgezet. Binnen het programma zijn vijftien projecten geformuleerd die moeten bijdragen aan de versterking van de cyberweerbaarheid in de watersector. De projecten richten zich met name op de cybersecurity van de operationele technologie. Meer informatie kunt u vinden in de eerder genoemde brief10.

Vraag 6

Bent u al in gesprek getreden met gemeenten, provincies en de waterschappen inzake de beveiligingsrisico’s?

Ja, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector» vindt regelmatig overleg plaats met en tussen de decentrale overheden en betrokken organisaties, zie ook antwoord op vraag 5.

Vraag 7

Zijn er al casussen aangetroffen waarbij er daadwerkelijk problemen zijn ontstaan in het verkeer of de waterkwaliteit doordat er een controlesysteem gehackt is geweest? Zo ja, welke casussen zijn dit?

Nee, dergelijk casussen in Nederland zijn nog mij niet bekend. De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum.

Vraag 8

Bent u bereid om bijvoorbeeld bij aanbestedingen en inkooptrajecten strengere eisen te stellen inzake beveiligingsupdates en de controle daarop?

Het is sinds de aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding in 2018 staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen. Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoopcontracten en afspraken maken over de naleving van die contracteisen. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.

Vraag 9

Waarom is er in het Deltaprogramma 2022 geen aandacht geschonken aan deze bevolkingsproblematiek?

Samenwerkingsafspraken over cybersecurity, met thema’s zoals de door u genoemde beveiligingsproblematiek, verlopen via het Bestuursakkoord Water en een apart ingericht programma voor de implementatie daarvan (zie ook antwoord op vraag 6). Op pagina 22 van het Deltafonds 202211 wordt de aanpak van cyberweerbaarheid beschreven.

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na grote hack»?1

Ja.

Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen trekken?

De HAN University of Applied Sciences (HAN) is geconfronteerd met een hack. De HAN heeft mij laten weten dat een hacker via een webformulier toegang heeft gekregen tot een server van de HAN waarop veel gegevens stonden. Van gijzelsoftware is in dit geval géén sprake. Voor een chronologisch feitenrelaas verwijs ik naar de website van de HAN, www.han.nl/datalek waar via een liveblog de ontwikkelingen in de tijd te volgen zijn. Het is van groot belang om de kennis over het ontstaan van hacks te delen met andere onderwijsinstellingen, aangezien voor een effectieve bestrijding van cyberrisico’s samenwerking en continue kennis-en informatiedeling cruciaal is. Dat is ook in dit geval gebeurd. Zie ook het antwoord op vraag 5.

Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit zijn gemaakt? Zo nee, waarom niet?

De HAN heeft mij laten weten dat de hacker toegang heeft gehad tot een omgeving waar veel persoonsgegevens beschikbaar waren en heeft op 5 oktober een overzicht van de gelekte data gepubliceerd op haar website han.nl/datalek. Dit overzicht is als bijlage toegevoegd aan een persbericht dat op dezelfde dag is verschenen. Uit het overzicht blijkt dat het in 95% van de gevallen gaat om algemene persoonsgegevens zoals adresgegevens of telefoonnummers. Van een klein percentage van de mogelijk getroffen gegevens (3%) gaat het om meer persoonlijke gegevens waaronder informatie over de reden van studievertraging of bijzondere omstandigheden waar de hogeschool rekening mee wil houden.

Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Ja. De HAN heeft zodra zij weet had van het datalek direct de AP geïnformeerd. Deze (voorlopige) melding is op 1 september door de Functionaris Gegevensbescherming van de HAN gedaan. Zodra er nieuwe ontwikkelingen waren en de voorlopige melding kon worden aangevuld is de AP daarvan steeds op de hoogte gebracht.

Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het sectorale computer emergency response team SURFcert ter (technische) ondersteuning? Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

De HAN heeft mij laten weten dat er van gijzelsoftware géén sprake is geweest (zie vraag 2). Zodra de HAN weet had van het datalek heeft de HAN op 1 september contact gezocht met SURFcert. SURFcert heeft de HAN ondersteund met het analyseren van het incident. De Indicators of Compromise (IOCs) zijn daarbij gedeeld met het SURFcert en de daarbij aangesloten instellingen.

Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?

De HAN heeft mij laten weten dat er contact is geweest met de hacker. De HAN is niet ingegaan op de eisen van het losgeld. Zodra de HAN kennis had van het datalek heeft zij direct contact gezocht met de politie en ook aangifte gedaan.

Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Voor zover bekend zijn er geen data gepubliceerd. Omdat niet bekend is welke data er exact zijn buitgemaakt heeft de HAN vanuit het oogpunt van zorgvuldigheid en voorzorg besloten om iedereen van wie mogelijk persoonsgegevens zijn buitgemaakt te informeren.

Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval tot nu heeft veroorzaakt?

Deze inschatting is vooralsnog niet te geven. De werkzaamheden bij de HAN lopen nog door. Hier zijn naast eigen medewerkers ook externe deskundigen bij betrokken.

Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?

De uitspraak van de hacker is opgetekend door een journalist. Ik kan daarover niet oordelen. De HAN heeft in haar bedrijfsvoering veel aandacht voor IT veiligheid. Dat blijkt onder andere uit de aanwezigheid van diverse preventieve, detectieve, responsieve en correctieve maatregelen. Voorbeelden daarvan zijn de regelmatige uitvoering van penetratietesten o.a. door ethical hackers, de aansluiting op de Security Operations Center oplossing geboden door het SURFsoc en de aanwezigheid van offline back-up faciliteiten. Daarnaast wordt met enige regelmaat het bewustzijn van medewerkers en studenten rond informatiebeveiliging verhoogd middels campagnes. Ook is deelgenomen aan de landelijke OZON-oefening van SURF op 18 maart jl. Middels de planning & control cyclus wordt invulling gegeven aan de verdere groei in volwassenheid op het gebied van informatiebeveiliging, om zo in te kunnen spelen op het continu veranderde cyberdreigingslandschap waar de onderwijssector mee te maken heeft.

Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee, waarom niet?

Persoonsgegevens en bijzondere persoonsgegevens worden beschermd via de daarvoor geldende wetgeving (AVG). Dat er gegevens van medische aard betrokken zijn bij het datalek is uiteraard bijzonder te betreuren. De HAN heeft alle mogelijk getroffen personen van het datalek geïnformeerd, waarbij de personen van wie mogelijk gevoelige gegevens zijn betrokken als eerste zijn geïnformeerd. Een team van professionals heeft vanaf het moment van informeren klaargestaan om eventuele vragen te beantwoorden. Wanneer op basis van reacties het vermoeden bestaat dat er extra nazorg nodig is, worden mensen gewezen op de diverse voorzieningen die de HAN heeft op dit gebied zoals studentpsychologen. Ook monitort de HAN of de verdere opvolging wellicht bijsturing behoeft.

Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Hogescholen hebben afgelopen jaren op grond van toenemende dreiging hun aanpak geïntensiveerd. De hack bij de Universiteit Maastricht, maar ook andere incidenten, heeft de sector doen beseffen hoe belangrijk digitale veiligheid en een goede voorbereiding is. In mijn brief van 28 september jl. heb ik uiteengezet welke maatregelen de sector en ik reeds getroffen hebben en welke op stapel staan. 2

Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering in het onderwijs» beantwoorden?

Ja.

Vraag 1

Heeft de grootschalige storing impact gehad op de bedrijfsvoering van de Nederlandse overheid (op de verschillende lagen)? Zo ja, op welke manier? Heeft de Nederlandse overheid daarbij schade geleden?

Facebook, Whatsapp en Instagram zijn voornamelijk berichtenplatforms. Voor de rijksoverheid is de Gedragsregeling Digitale Werkomgeving van toepassing, waarin staat dat dergelijke berichtenapps alleen gebruikt mogen worden voor informele zaken, zoals een interessant artikel delen, een hulpvraag stellen of sparren met collega’s. Er is geen standaard voor berichtenapps vastgesteld, waardoor een dergelijke storing niet direct leidt tot een belemmering in de bedrijfsvoering.
Voor zover mij bekend heeft de storing niet geleid tot belemmering van de bedrijfsvoering bij gemeenten, waterschappen en provincies. Overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen, zij hanteren daarbij vergelijkbare gedragsregelingen als bij de rijksoverheid.

Vraag 2

Heeft het demissionaire kabinet berichten van Nederlandse burgers, bedrijven en organisaties gehad, die last hebben ervaren van de storing? Zo ja, hoeveel? Wat was de inhoud van deze berichten? Welk algemeen beeld kan hieruit worden afgeleid?

Er zijn op dit moment geen signalen bekend over dergelijke aan het kabinet gerichte berichten. In algemene zin kan worden gesteld dat Nederlandse burgers, bedrijven en organisaties hinder en/of ongemak zullen hebben ervaren als gevolg van deze storing, die optrad als gevolg van een menselijke fout. Het betrof immers uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger.
Hoewel het een grote communicatiestoring betrof in termen van gebruikersuren (duur uitval * getroffen gebruikers), lijkt in dit geval de maatschappelijke en economische schade in Nederland mee te vallen.
Het betrof uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger. Vanzelfsprekend zullen burgers en organisaties die meer gebruik maken van Facebook-diensten meer hinder hebben ondervonden.
Zo lijkt een deel van de gebruikers zonder grote problemen te zijn uitgeweken naar alternatieve diensten. Diverse andere sociale-media platforms en berichtendiensten gaven aan dat het gebruik van hun diensten tijdens en na de storing is toegenomen. Voor zover organisaties en bedrijven tijdelijk verminderd bereikbaar waren, is de verwachting dat dienstverlening over het algemeen op een later moment alsnog heeft kunnen plaatsvinden.

Vraag 3

Hoe is het demissionaire kabinet voornemens in de (recente) toekomst om te gaan met zulke grootschalige digitale storingen?

Het is in eerste instantie primair aan Facebook zelf om de benodigde technische en organisatorische maatregelen te treffen om een storing als deze te voorkomen, of wanneer deze zich toch voordoet, zo snel mogelijk te verhelpen.
Parallel daaraan hebben gebruikers een eigen verantwoordelijkheid om voor zichzelf na te gaan in hoeverre het voor hen verantwoord is om van één dienst of één bedrijf afhankelijk te zijn en zo nodig alternatieven te verkennen en te gebruiken.
Voor zover het de storing van de berichtendiensten WhatsApp en Facebook Messenger betreft: deze diensten zijn zogeheten nummeronafhankelijke interpersoonlijke communicatiediensten. Zij vallen daarmee onder de verbrede definitie van een elektronische communicatiedienst zoals gedefinieerd in het wetsvoorstel tot wijziging van de telecommunicatiewet ter implementatie van Richtlijn 2018/1972 (de Telecomcode) (Kamerstuk 35 865, nr. 2) zoals deze op dit moment bij uw Kamer voorligt. Dat betekent dat na inwerkingtreding van bovenvermelde wijziging van de telecommunicatiewet (TW) de aanbieders van deze diensten straks ook een meldplicht van incidenten (TW art. 11.a2) en een zorgplicht (treffen van passende beveiligingsmaatregelen onder meer om, als het gaat om dergelijke storingen, in bepaalde mate bestand te zijn tegen acties die de beschikbaarheid van de dienst in gevaar brengen, (TW art. 11.a1) opgelegd krijgen, zoals dat nu al geldt voor aanbieders van traditionele elektronische communicatiediensten als spraaktelefonie en berichtenverkeer (SMS). Agentschap Telecom is hiervoor de aangewezen toezichthouder.
Op Europees niveau wordt gewerkt aan een herziening van de richtlijn (2016/1148) ter bevordering van de beveiliging van netwerk- en informatiesystemen, NIB2. De huidige richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op grond van de huidige NIB-richtlijn is de Ierse toezichthouder exclusief bevoegd om toe te zien op Facebook-clouddiensten daar de Europese vestiging van het bedrijf in Ierland is gevestigd. Met betrekking tot het herzieningsvoorstel1 heeft de Europese Commissie voorgesteld om in deze herziening ook sociale media op te nemen. Over deze richtlijn wordt momenteel onderhandeld.
In het ECASEC2-overleg van ENISA3 en de Europese toezichthouders die toezien op de telecomveiligheid worden ook incidenten en te nemen maatregelen besproken. Dit gebeurt nu voor de meer traditionele elektronische communicatiediensten en zal naar verwachting straks ook gaan gelden voor de interpersoonlijke communicatiediensten. Hierdoor kunnen vroegtijdig trends en ontwikkelingen in incidenten worden gesignaleerd. Dat kan er bijvoorbeeld toe leiden dat de toezichthouders bij het uitoefenen van het toezicht op de zorgplicht extra aandacht gaan besteden aan de bepaalde oorzaken van incidenten. ENISA publiceert jaarlijks4 de grote incidenten die nationale toezichthouders doormelden aan ENISA.
Ter voorbereiding op een digitale crisis is er het Nationaal Crisisplan Digitaal.5 Het plan is een leidraad om op hoofdlijnen snel inzicht en overzicht te krijgen in de bestaande afspraken op nationaal niveau over de beheersing van incidenten in het digitale domein met aanzienlijke maatschappelijke gevolgen. Het plan sluit daarmee aan op het Nationaal Handboek Crisisbesluitvorming. In dit geval is er geen aanleiding geweest om op te schalen binnen de nationale crisisstructuur.

Vraag 4

Is het demissionaire kabinet voornemens tijdens de Europese wetgevingsonderhandelingen inzake de Digital Services Act, de Digital Markets Act en de Artificial-Intelligence-verordeningen, en direct al bij de komende Europese top, het belang van het vernieuwen en updaten van de Border Gateway Protocol aan te kaarten? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom niet?

Deze casus heeft geen invloed op de Nederlandse positie in de onderhandelingen aangaande de Europese wetsvoorstellen voor een Digital Services Act, een Digital Markets Act en een AI Act, omdat de casus buiten de reikwijdtes van deze voorstellen valt. Wel ziet het kabinet het belang van het doorontwikkelen van internetstandaarden zoals het Border Gateway Protocol (BGP).
Facebook heeft na afloop van de storing verklaard dat deze veroorzaakt is door een menselijke fout in de BGP-configuratie van het Facebook-netwerk die niet tijdig is opgemerkt.6 Het BGP is het belangrijkste routeringsprotocol van het internet. Het zorgt ervoor dat zogenaamde Autonome Systemen (AS) elkaar kunnen vinden op het internet. Het BGP zorgt voor de koppeling tussen verschillende AS-netwerken. In dit geval heeft Facebook, door een interne (menselijke) fout, abusievelijk alle routes tussen haar netwerk en de rest van het wereldwijde Internet opgeheven, waardoor de Facebook-servers voor de rest van het Internet niet meer bereikbaar waren. Het BGP-protocol heeft in deze correct gefunctioneerd.
Het BGP wordt ontwikkeld onder de vlag van de Internet Engineering Task Force (IETF). De doorontwikkeling van een dergelijke essentiële standaard is complex en vereist een wereldwijde consensus tussen betrokken en deskundige partijen. De IETF is een grote, open, internationale gemeenschap van netwerkontwerpers, -operators, -leveranciers en -onderzoekers die zich bezighoudt met de evolutie van de internetarchitectuur en de soepele werking van het internet. Om bij deze casus te blijven, ook Facebook neemt deel aan de IETF. Nederland staat voor het multi-stakeholder model van internet governance, waarvan de IETF een goed voorbeeld is. Het kabinet ziet naar aanleiding van deze casus geen noodzaak de werkwijze van de IETF ter discussie stellen.
Wel laat ik de ontwikkelingen rond dergelijke standaardisatievraagstukken volgen en duiden. Agentschap Telecom voert daartoe op dit moment een onderzoek uit naar de belangrijkste vraagstukken rond technische internetstandaardisatie.

Vraag 5

Deelt het demissionaire kabinet de mening dat dit incident wederom aantoont hoe groot de afhankelijkheid van slechts enkele tech-grootmachten op dit moment is en dat deze buitenproportionele afhankelijkheid, middels Europese wetgeving, noodzakelijkerwijs en spoedig ingeperkt dient te worden ter bescherming van Europese burgers en bedrijfsleven? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom deelt het demissionaire kabinet deze mening niet?

Het kabinet heeft al een tijd zorgen over de afhankelijkheid van een aantal grote platforms waar ondernemers en consumenten nauwelijks meer omheen kunnen. Vandaar dat het kabinet sinds 2019 pleit voor aanvullende regelgeving om met de macht van deze poortwachters om te gaan (Kamerstuk 27 879, nr. 71 en Kamerstuk 35 134, nr. 13). Dit heeft zijn vruchten afgeworpen. De Europese Commissie heeft in december 2020 een voorstel gedaan voor de Digital Markets Act (DMA) waarmee zij dit soort problematiek wil aanpakken. Dit voorstel is voor een groot deel in lijn met de Nederlandse inzet voor de DMA, die in februari per BNC-fiche naar uw Kamer is verzonden (Kamerstuk 22 112, nr. 3049). Ook is deze inzet tijdens de Technische Briefing over de DMA met de Commissie Digitale Zaken van eind september toegelicht. De onderhandelingen in de Raad over het voorstel lopen in een ambitieus tempo door. Er wordt gestreefd naar het aannemen van een algemene oriëntatie in de Raad voor Concurrentievermogen eind november.

Vraag 6

Welke maatregelen gaat het demissionaire kabinet treffen naar aanleiding van de grootschalige storing?

In de beantwoording van vragen 3, 4 en 5 is de inzet van het kabinet uiteengezet.

Vraag 1

Bent u bekend met de berichten «Bedrijfsleven start eigen alarmsysteem tegen hackers: «overheid te traag» & «Informatie over op handen zijnde hacks wordt grotendeels weggeooid»»?1, 2

Ja.

Vraag 2

Hoe beoordeelt u de ontwikkelingen vanuit het bedrijfsleven waar men «niet meer wil wachten op de overheid» en zelf aan de slag gaat om een alarmsysteem dat waarschuwt voor aanstaande of bezig zijnde hacks?

Het is een positieve ontwikkeling dat private initiatieven op het gebied van cybersecurity, zoals het «alarmsysteem», zich ontwikkelen. Het initiatief past binnen de ambitie die het kabinet heeft om te komen tot een Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden zoals omschreven staat in de Nederlandse Cybersecurity Agenda (NCSA).3 Om in Nederland op nationaal niveau voldoende slagkracht te kunnen organiseren tegen de toenemende digitale dreiging is publiek-private samenwerking noodzakelijk. De overheid stimuleert de totstandkoming van samenwerkingsverbanden zodat tussen hen informatie over digitale dreigingen en incidenten, die relevant is voor de verschillende doelgroepen, efficiënter en effectiever wordt gedeeld. Alle organisaties blijven zelf primair verantwoordelijk voor hun digitale veiligheid en het is van belang dat zij die verantwoordelijkheid ook nemen ongeacht of zij wel of niet een vitale aanbieder zijn of deel uitmaken van (rijks)overheid.

Vraag 3

Begrijpt u dat beide berichten waarover vragen worden gesteld een zekere samenhang lijken te hebben?

Ja.

Vraag 4

Kunt u aangeven of het Digital Trust Center (DTC) duurzaam is geborgd voor de toekomst? Heeft het Digital Trust Center haar waarde al bewezen? Zo nee, waarom (nog) niet?

Ja, het DTC is duurzaam geborgd. Het DTC is najaar 2019 geëvalueerd door onderzoeksbureau Kwink. De evaluatie is 18 februari 2020 aan de Tweede Kamer aangeboden.4 Deze evaluatie gaf een positief beeld van de resultaten en het doelbereik van DTC. Op basis van deze evaluatie is besloten het DTC een vast onderdeel te laten worden van het Ministerie van EZK en hiervoor structureel budget beschikbaar te stellen. Per brief van 16 december 2020 bent u over de voortgang van de implementatie van de aanbevelingen geïnformeerd.5 De aanbevelingen van het onderzoeksbureau zijn overgenomen. Dit heeft onder meer geleid tot uitbreiding van de diensten van het DTC, zoals het daadwerkelijk notificeren van individuele bedrijven indien de overheid informatie heeft over concrete kwetsbaarheden. Deze zomer is hiermee gestart, waarbij waar aangewezen zo veel mogelijk wordt samengewerkt met het Nationaal Cyber Security Centrum (NCSC).
Tevens heeft de Minister van Economische Zaken en Klimaat een wetsvoorstel in voorbereiding, dat de juridische basis van het DTC nader regelt. Hiermee ontstaan er nog meer mogelijkheden voor het DTC om informatie over digitale dreigingen en incidenten aan het Nederlandse niet-vitale bedrijfsleven te doen toekomen, ook als dit persoonsgegevens zoals IP-adressen bevat.

Vraag 5

Deelt u de signalen vanuit de praktijk dat het Nationaal Cyber Security Centrum (NCSC) de urgentie en het tempo volledig onderschat en daarmee in bepaalde gevallen niet van meerwaarde lijkt te zijn? Hoe gaat u dat verbeteren?

Het tempo in het digitale domein ligt hoog: digitale ontwikkelingen en dreigingen volgen elkaar in rap tempo op. De ernst en urgentie van de toename van digitale aanvallen wordt dan ook onderschreven in het Cyber Security Beeld Nederland (CSBN).6 Wij delen daarom niet het perspectief dat het NCSC de urgentie en het tempo onderschat. Het is echter een constante uitdaging om deze digitale aanvallen het hoofd te bieden. Daar is de inzet vanuit onze ministeries ook volop op gericht.

Vraag 6

Op welke vlakken zorgt de Algemene verordening gegevensbescherming (AVG) voor knelpunten? Welke grondslagen zijn er nodig, bijvoorbeeld in de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI), om gegevens als IP-adressen te kunnen delen?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) regelt de taken en bevoegdheden die het NCSC namens de Minister van Justitie en Veiligheid op het terrein van cybersecurity uitvoert. Primair heeft het NCSC tot taak om vitale aanbieders en aanbieders die onderdeel zijn van de rijksoverheid te informeren en adviseren over digitale dreigingen en incidenten, en daartoe analyses en technisch onderzoek te verrichten. Het NCSC kan bij die analyses en dat technisch onderzoek ook informatie over digitale dreigingen of incidenten verkrijgen die andere aanbieders aangaat. Het NCSC kan die informatie, waaronder ook persoonsgegevens met inachtneming van de AVG, verstrekken aan krachtens de Wbni aangewezen schakelorganisaties, die andere aanbieders in hun doelgroep hebben. Gebleken is echter dat verstrekking van die informatie aan deze schakelorganisaties vanwege een leemte in de Wbni niet altijd mogelijk is en dat relevante dreigings- en incidentinformatie daardoor niet altijd voor die andere aanbieders beschikbaar komt. Om die reden is er deze zomer een voorstel tot wijziging van de Wbni in consultatie gebracht, dat ertoe strekt het NCSC de bevoegdheid te bieden om in ruimere zin dreigings- of incidentinformatie met of ten behoeve van andere aanbieders te delen. Daartoe regelt dit wetsvoorstel dat schakelorganisaties, die krachtens de Wbni zijn aangewezen als OKTT (organisatie die objectief kenbaar tot taak heeft om organisaties of het publiek te informeren over dreigingen en incidenten), in ruimere zin dreigings- en incidentinformatie, waaronder ook persoonsgegevens, verstrekt kunnen krijgen, zodat zij op basis daarvan andere aanbieders in hun doelgroep beter kunnen informeren en adviseren. Daarnaast regelt het wetsvoorstel dat in bepaalde gevallen het NCSC individuele andere aanbieders voor hen relevante dreigingsinformatie, met inbegrip van persoonsgegevens, kan verstrekken. Hiervan is sprake als er geen schakelorganisatie (zoals een OKTT of computercrisisteam) is die de aanbieder van de informatie kan voorzien én de informatie gaat over een dreiging of incident met (potentiële) aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de aanbieder. Naast dit wetsvoorstel is er, zoals hierboven aangegeven, een wetsvoorstel in voorbereiding dat de juridische basis van het DTC nader regelt.

Vraag 7

Welke stappen worden er gezet om het NCSC meer mogelijkheden te geven wanneer het gaat om niet-vitale onderdelen in de samenleving? Wordt er ook gekeken om de WBNI een ruimer bereik te geven?

Zoals in het antwoord op vraag 6 is vermeld is een wetsvoorstel tot wijziging van de Wbni opgesteld en in consultatie gebracht, dat ertoe strekt het NCSC de bevoegdheid te bieden om in ruimere zin dreigings- en incidentinformatie aan of ten behoeve van aanbieders, die geen vitale aanbieder zijn en evenmin deel uitmaken van de rijksoverheid, te verstrekken.
Daarnaast is het Digital Trust Center (DTC) in juni gestart met het proactief informeren van individuele niet-vitale bedrijven over digitale dreigingen, zoals toegelicht in de brief aan uw Kamer over dit onderwerp op 2 juni jl.7 Het DTC doet dit in eerste instantie nog op beperkte schaal in geval van ernstige dreigingen bij het niet-vitale bedrijfsleven.
In november 2021 start het DTC met het notificeren van bedrijven die deel uitmaken van een pilot. Deze pilot maakt het mogelijk voor DTC concrete dreigingsinformatie waar de overheid over beschikt te matchen met bedrijven die hun technische gegevens hebben doorgegeven aan het DTC. Er zijn 62 bedrijven uit negen sectoren geselecteerd, van groot tot klein, die deel kunnen gaan uitmaken van deze pilot. De pilot zal duidelijk maken of en hoe deze nieuwe dienst van het DTC verder kan worden opgeschaald en ook kan worden geautomatiseerd.
Het demissionaire kabinet zet daarnaast stappen om het cybersecuritystelsel door te ontwikkelen en te versterken, op korte termijn onder meer door middel van het genoemde wetsvoorstel tot wijziging van de Wbni. Op de lange termijn adviseren wij een volgend kabinet om een nieuwe integrale cyberstrategie te formuleren en het cybersecuritystelsel door te ontwikkelen, daarbij rekening houdend met de aankomende herziening van de netwerk- en informatiebeveiliging richtlijn (NIB-richtlijn). Onze digitale weerbaarheid zal immers de nodige aandacht en investeringen blijven vragen.

Vraag 8

Acht u het een meerwaarde dat er ook een private partij komt waar tevens meldingen van hacks en/of kwetsbaarheden kunnen worden gedaan?

Zie het antwoord op vraag 2.

Vraag 9

Kunt u aangeven waar er bij het NCSC behoefte aan is en in hoeverre u kunt zorgen dat het NCSC deze bevoegdheden, middelen en/of grondslagen ook krijgt? Welke obstakels liggen er in de weg?

In onder meer bovengenoemd CSBN valt te lezen dat de digitale dreiging alleen maar toeneemt, net als onze afhankelijkheid van digitale systemen. Om ervoor te zorgen dat de bij de overheid, meer in het bijzonder het NCSC, voorhanden zijnde informatie inzake digitale dreigingen en incidenten zo veel als mogelijk ter beschikking komt van organisaties waarvoor die informatie relevant is, is er zoals hierboven vermeld een wetsvoorstel tot wijziging van de Wbni in procedure gebracht. Daarnaast is het van belang dat met het oog op een zo optimaal mogelijk functionerend cybersecuritystelsel voortdurend door alle partijen in dat stelsel, waaronder het NCSC, nagedacht wordt over nodige doorontwikkelingen van dat stelsel. De Cyber Security Raad (CSR) schat in dat voor de benodigde verdere ontwikkeling van het gehele stelsel een totaal aan investeringen nodig is van ca. 833 miljoen euro, bestaande uit investeringen in de overheid, waaronder ook het NCSC en het DTC, en investeringen door private organisaties via bijvoorbeeld een fonds voor vitale aanbieders. Het is aan een volgend kabinet om invulling te geven aan de inzet van de rijksoverheid in dit verband.

Vraag 10

Bent u bekend met signalen dat er vanwege veel te stringente wettelijke beperkingen het NCSC genoodzaakt is om buiten de wet om te werken? Acht u dat acceptabel?

Wij zijn bekend met deze signalen en deze situatie is onwenselijk. Informatie over digitale dreigingen en incidenten kan vanuit het NCSC vanwege een leemte in de wet momenteel niet altijd worden verstrekt aan of ten behoeve van aanbieders, die geen vitale aanbieder zijn of deel uitmaken van de rijksoverheid. Daarom is, zoals hierboven ook vermeld, een wetsvoorstel tot wijziging van de Wbni opgesteld en in consultatie gebracht dat ertoe strekt dat het NCSC in ruimere zin de bevoegdheid heeft om genoemde informatie aan die andere aanbieders of hun schakelorganisaties te verstrekken. Daarnaast wordt voortdurend gewerkt aan de doorontwikkeling van het LDS. Daarvan deel uitmakende schakelorganisaties kunnen ook krachtens de Wbni als bijvoorbeeld OKTT worden aangewezen, en zo in bredere zin dreigings- en incidentinformatie verstrekt krijgen vanuit het NCSC ten behoeve van hun doelgroepen.

Vraag 11

Kunt u aangeven waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden? Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?

Het NCSC voert zoals vermeld technisch onderzoek uit ten behoeve van het informeren en adviseren van organisaties die deel uitmaken van de rijksoverheid en vitale aanbieders over voor hen relevante dreigingen en incidenten. In het kader van deze taakuitoefening scant het NCSC ook op kwetsbaarheden voor zover dit mogelijk is zonder daarbij de netwerk- en informatiesystemen van organisaties binnen te dringen. Voor zover scannen naar kwetsbaarheden het zonder toestemming binnendringen van een netwerk- of informatiesystemen inhoudt, beschikt het NCSC niet over de daartoe benodigde wettelijke bevoegdheid.

Vraag 12

Kunt u een overzicht geven van alle initiatieven die er thans lopen om de cyberveiligheid bij (mkb-)bedrijven te vergroten? Wat is het bereik hiervan?

Eind 2020 heeft het DTC in samenwerking met leden van het CIO Platform Nederland de «Cybersecurity Wegwijzer» gelanceerd. Er zijn voor bedrijven veel cybersecurityinitiatieven in Nederland die zich ten doel stellen om een hoog niveau van cyberweerbaarheid in de keten, branche of regio te bereiken. De «Cybersecurity Wegwijzer» maakt het landschap aan dergelijke cybersecurity initiatieven in Nederland inzichtelijk.8 Deze wegwijzer is met name relevant voor intermediaire organisaties. Tot nu zijn er 2.000 unieke bezoekers geweest. Daarnaast is er sprake van een sterke toename van het aantal bezoeken van de website van het DTC, naar verwachting zullen er dit eind van het jaar meer dan 200.000 bezoeken zijn. De website biedt bezoekers relevante informatie en tools om hun eigen weerbaarheid te verhogen. Ook het aantal op het DTC aangesloten samenwerkingsverbanden op het gebied van cybersecurity neemt sterk toe. Op dit moment zijn er 37 samenwerkingsverbanden van niet-vitale bedrijven, regionaal en/of sectoraal, aangesloten bij het DTC, en het aantal neemt verder toe. Hiermee wordt het mogelijk nog meer bedrijven, vaak mkb, vanuit het DTC bij te staan om de cyberweerbaarheid te vergroten van de deelnemers van deze samenwerkingsverbanden. Ook zorgt de interactie in dit nieuwe netwerk ervoor dat de leercurve van ieder samenwerkingsverband sneller doorlopen wordt. Naast de hiervoor genoemde initiatieven wordt door het DTC waar aangewezen zo veel als mogelijk samengewerkt met het NCSC, alsook met de Kamers van Koophandel, VNO-NCW/MKB-Nederland en een aantal gemeenten om zo nog meer bedrijven cyberbewust en -bekwaam te maken. De Minister van Economische Zaken en Klimaat zal uw Kamer begin 2022 een overzicht geven van de door het DTC bereikte resultaten en de concrete plannen voor 2022 en verder.
Een concreet voorbeeld van de initiatieven die lopen om de cyberveiligheid bij (mkb-)bedrijven te vergroten is de Citydeal «Lokale weerbaarheid Cybercrime», die op 28 oktober 2020 is ondertekend. In de City Deal «Lokale weerbaarheid Cybercrime» gaan gemeenten, ministeries (JenV, BZK en EZK/DTC), veiligheidsorganisaties en kennisinstellingen samen aan de slag om de cyberweerbaarheid te verhogen van burgers en bedrijven. De City Deal ondersteunt regionale samenwerkingsverbanden Veiligheid, gemeenten en Platforms Veilig Ondernemen en activeert hen om burgers en mkb-ondernemers bewust te maken van hun kwetsbaarheid en hun weerbaarheid tegen cybercrime te vergroten.
Een van de pijlers binnen de Citydeal is het versterken van de cyberweerbaarheid in het mkb. Het afgelopen jaar zijn binnen deze pijler projecten uitgevoerd gericht op het versterken van de cyberweerbaarheid van agrariërs, het inzetten van studenten om bedrijven te helpen, digitale ambassadeurs en een website met handelingskader. In de tweede fase van de Citydeal ligt de focus op het landelijk verspreiden van de resultaten uit de eerste fase en op nieuwe innovatieve projecten.
Daarnaast subsidieert JenV het project Samen Digitaal Veilig van MKB-Nederland. Met dit project wil MKB-Nederland, via een groot aantal branche- en ondernemersverenigingen, ondernemers helpen digitaal veiliger te worden.
De basis is een brancheaanpak, waarin met de branches wordt ingezet op een vorm van zelfregulering met een groeicurve. Door dat centraal te organiseren, worden bedrijven efficiënt en laagdrempelig stap voor stap veiliger.

Vraag 13

Bent u bereid om een evaluatie te laten uitvoeren over het functioneren van de instanties als het NCSC en het DTC in relatie tot relevante stakeholders.

Tijdens ISIDOOR2021, Nederlands grootste nationale cyber-crisisoefening, werd er geoefend met het Nationaal Crisisplan Digitaal. Het COT Instituut voor Veiligheids- en Crisismanagement heeft het evaluatierapport van ISIDOOR2021 afgerond en deze is met uw Kamer gedeeld.9 Het is belangrijk om lering te trekken uit deze lessen, ook met betrekking tot het NCSC, het DTC en daarmee in relatie staande andere partijen in het LDS.
Naast de evaluatie van ISIDOOR2021 is een evaluatie van de werking van het gehele LDS, waaronder deelname daaraan door het NCSC en het DTC, naar mijn mening ook waardevol. Het stelsel is echter sterk aan verandering onderhevig waardoor het eerst zinvol is om een evaluatie in gang te zetten als onder meer informatiedeling tussen het NCSC en het DTC verder op gang is gekomen en bovengenoemde pilot voor het vanuit het DTC notificeren van bedrijven gestart is en de resultaten van de eerdere pilot van het DTC hiervan opgetekend kunnen worden. Ook is het van belang om te kunnen bepalen of en in welke zin de herziening van de NIB-richtlijn, over het ontwerp waarvan de EU-onderhandelingen nog gaande zijn, en in vervolg daarop de implementatie daarvan gevolgen zal hebben voor de informatie-uitwisseling tussen organisaties die deel uitmaken van het LDS.

Vraag 1

Bent u bekend met het bericht ««Hoe China met de Nederlandse politie meekijkt»»?1

Ja.

Vraag 2

Klopt het dat de Nederlandse politie drones van het Chinese bedrijf Da Jiang Innovations (DJI) inzet? Zo ja, voor welke taken precies? Waarom is er gekozen voor drones van dit bedrijf?

Ja. De politie heeft bij de aanschaf van de drones, via een security check, een bewuste afweging gemaakt om de drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.
De politie besteedt structureel aandacht aan de bescherming en beveiliging van gegevens en veilige inkoop. De drones zijn aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet 2012. De Aanbestedingswet 2012 biedt een aantal wettelijke gronden om een inschrijver uit te sluiten. Gezien het doel van de inzet van de drones was er geen reden om een beroep te doen op een van de uitsluitingsgronden. De Aanbestedingswet schrijft voor dat als er meerdere partijen zijn die voldoen aan de gestelde eisen, er moet worden gekozen voor de biedende partij met de beste prijs-kwaliteitverhouding.

Vraag 3

Is de aanschaf en het gebruik van drones van Da Jiang Innovations door de politie voorafgegaan door een risico- en veiligheidsanalyse? Zo ja, zijn daarbij (digitale) veiligheids- en privacyexperts geraadpleegd over het verzamelen van persoonsgegevens? Zo nee, waarom niet?

Zoals gezegd heeft de politie bij de aanschaf van de drones een security check uitgevoerd. Daarnaast is tijdens de projectfase een gegevensbeschermingseffectbeoordeling (GEB) gedaan. Uit deze beoordeling is niet gebleken dat er sprake is van verwerking van gegevens met een hoog risico. Er wordt alleen beeldmateriaal vastgelegd, dat versleuteld wordt verzonden. Niet kan worden uitgesloten dat deze beelden, ondanks de vastgelegde schriftelijke afspraken met de leverancier, toch bij DJI en/of Chinese overheid terecht komen, omdat DJI ook (naast de politie zelf) in het bezit is van de sleutel. Om deze reden heeft de politie mitigerende maatregelen genomen. Zo worden voor operaties waar vertrouwelijkheid gegevens worden verwerkt geen DJI-producten ingezet, maar andere vormen van luchtsteun.

Vraag 4

Klopt het dat de Nederlandse inlichtingendiensten hebben geconstateerd dat China een offensief cyberprogramma heeft tegen de Nederlandse nationale belangen? Hoe beoordeelt u het gebruik van drones van Da Jiang Innovations in dat licht? Deelt u de mening dat het onwenselijk is om voor politiewerk afhankelijk te zijn van Chinese hardware/IT-producten?

In openbare stukken zoals de jaarverslagen van de AIVD en de MIVD en het Dreigingsbeeld Statelijke Actoren (2021) geven de inlichtingen- en veiligheidsdiensten en de NCTV aan dat China één van de staten is waarvan is onderkend dat ze een offensief cyberprogramma hebben dat gericht is tegen Nederlandse belangen. De Chinese overheid gebruikt cyberoperaties om inlichtingen te verzamelen ter ondersteuning van haar economische, militaire en politieke doelstellingen.
In het algemeen geldt dat het afhangt van het inzetdoel of het gebruik van een bepaalde technologie veilig (genoeg) is en of eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat genomen maatregelen proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. De politie en Rijswaterstaat hebben beide een dergelijke analyse gemaakt voordat tot de aanschaf van de drones is over gegaan. Daarnaast is door de politie de afweging gemaakt de drones niet in te zetten voor processen waarbij het gaat om vertrouwelijke informatie.

Vraag 5

Klopt het dat Chinese bedrijven volgens de Chinese wet verplicht zijn om data af te staan aan hun overheid? Deelt u de mening dat het uit veiligheidsoogpunt zeer onwenselijk is dat er door de Nederlandse overheid IT-producten worden afgenomen bij een bedrijf dat data deelt met de Chinese overheid?

In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven. China kent daarnaast wetgeving die (buitenlandse) bedrijven dwingt om gegevens te delen met de overheid. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans».2
Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA)3 beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren. Wel bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.4 Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Als hulpmiddel bij het uitvoeren van een dergelijke risicoanalyse en het nemen van eventuele mitigerende maatrelen is eind 2018 instrumentarium ontwikkeld dat organisaties helpt bij het meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s.
De DJI-drones die Rijkswaterstaat op dit moment gebruikt zijn in 2017 aangeschaft ten behoeve van een pilot. Het genoemde instrumentarium was toen nog niet beschikbaar. Voor de politie geldt dat toen de inkoop startte, dit instrumentarium nog niet was geïmplementeerd in de inkoopprocedures. Ook achteraf gezien – wanneer het genoemde instrumentarium wel zou zijn gebruikt – zou de uitkomst van het inkoopproces niet anders zijn geweest. Rijkswaterstaat en de politie verwerken immers geen vertrouwelijke gegevens met de DJI-drones.
Rijkswaterstaat en de politie maken voor de lopende en toekomstige aanbestedingen met een mogelijk risico voor de nationale veiligheid wel gebruik van het instrumentarium.

Vraag 6

Wordt er bij het inzetten van drones van Da Jiang Innovations door de politie gebruikgemaakt van eigen software of gebruikt de politie DJI-bedrijfssoftware? Bent u op de hoogte van de veiligheidsrisico’s van het gebruik van DJI-software? Gebruikt de politie speciale overheidsdrones?

De politie gebruikt de besturingssoftware van DJI, maar er wordt geen gebruik gemaakt van de DJI-besturingsapp. De politie gebruikt geen speciale overheidsdrones. Voor het overige verwijs ik naar het antwoord op vragen 5 en 7.

Vraag 7

Bent u bereid om preventieve maatregelen te nemen die de risico’s op Chinese spionage beperken? Bent u bereid hiervoor onderzoek te laten doen naar het gebruik door de politie van drones van Da Jiang Innovations? Zo nee, waarom niet?

Zoals ook in de beantwoording van vraag 5 omschreven, bestaat het risico dat met technologische toeleveringen digitale spionage- en sabotagemogelijkheden toenemen.
Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer deze technologie de Nederlandse vitale infrastructuur raakt, of wanneer deze technologie raakt aan gevoelige kennis en informatie. Zoals gezegd is dit in het geval van de politie niet het geval. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers uit bepaalde landen die via nationale wet- en regelgeving gedwongen kunnen worden tot medewerking aan inlichtingenactiviteiten. De risico’s voor de nationale veiligheid worden verder vergroot als het landen betreft die een offensief cyberprogramma voeren tegen de Nederlandse belangen en wanneer (technische) mogelijkheden om risico’s te adresseren niet voorhanden zijn.
Bij elke casus moet worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Ik zie, gezien de stappen die de politie al heeft gezet, geen aanleiding om een onderzoek in te stellen.

Vraag 8

Hoe beschouwt u het feit dat Defensie vanwege veiligheidsrisico’s reeds geen gebruik meer maakt van DJI-drones? Hoe beschouwt u in dat licht het gebruik van DJI-producten door de politie?

Het hangt af van het inzetdoel of een bepaald type drone veilig (genoeg) is. Het uitgangspunt is dat eventuele risico’s per casus in kaart moeten worden gebracht. Defensie heeft besloten om geen gebruik meer te maken van Chinese drones voor operationele taken, maar wel voor luchtopnames van trainingen of evenementen. Defensie heeft daarin haar eigen afweging gemaakt.
Bij de aanschaf van de drones heeft de politie, via een security check, een bewuste afweging gemaakt om drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.

Vraag 9

Bent u bekend met het feit dat drones van DJI sinds 2020 niet meer gebruikt worden door de Verenigde Staten vanwege veiligheidszorgen en dat Japan dit overweegt? Hoe beoordeelt u dit? Heeft u hierover contact gehad met de VS en Japan? Zo nee, bent u bereid hierover contact op te nemen?

Nederland is eind 2020 door de VS geïnformeerd dat DJI op de entity list van het Bureau of Industrial Security van het Department of Commerce is geplaatst. In de publiekelijk beschikbare listing geven de VS aan dat zij DJI zien als een mogelijk risico voor de Amerikaanse buitenlandse politieke belangen.5 Hierbij wijzen zij op de rol van o.a. DJI bij het mogelijk maken van mensenrechtenschendingen in China door hoogtechnologische surveillance en het exporteren van deze technologie naar derde landen waar repressieve regimes aan de macht zijn.
Japan verbiedt geen producten van specifieke landen of bedrijven maar heeft aanbestedingsrichtlijnen opgesteld voor gebruik van IT-producten door overheidsinstanties. Wanneer deze worden ingezet voor publieke veiligheid en orde, kritieke infrastructuur en het uitvoeren van reddingsacties, dient de Japanse overheid mogelijke risico’s in kaart te brengen. Sinds april 2021 vallen drones ook binnen deze richtlijnen. Nadien zijn drones die als «hoog risico» worden aangemerkt zo snel mogelijk vervangen. Ook worden maatregelen getroffen om dataveiligheid van drones te garanderen.
Nederland ziet het gebruik van Chinese technologie niet als absoluut risico. Het inzetdoel van de technologie en de mogelijkheid om mitigerende maatregelen te treffen zijn bepalend of het verantwoord is om gebruik te maken van een bepaalde technologie.

Vraag 10

Is er binnen de NAVO of de EU gesproken over de veiligheid van het gebruik van deze drones? Gebruiken NAVO-bondgenoten en EU-lidstaten deze drones voor politie-, militaire of andere doeleinden?

Overwegingen rondom de veiligheid van het gebruik van dit type drones is een nationale aangelegenheid waarover in NAVO-verband niet wordt gesproken. Ook in EU-verband is niet gesproken over het gebruik van dit type drones. Het is het kabinet niet bekend welke andere NAVO-bondgenoten en EU-lidstaten deze drones gebruiken. NAVO zelf beschikt in ieder geval niet over dit type drones.

Vraag 11

Zijn er Europese landen die drones van een bedrijf uit een EU-lidstaat of OESO-land inzetten voor vergelijkbare taken als waar de Nederlandse politie de DJI-drones voor inzet? Zo ja, kunt u aangeven welke landen dit zijn en uit welke landen de bedrijven komen die ook drones in deze categorie produceren?

Het is het kabinet niet bekend welke drones er in andere Europese landen worden gebruikt.

Vraag 12

Hoe beoordeelt u het risico dat China de data van drones gebruikt voor het analyseren van Nederlandse (vitale) infrastructuur? Deelt u de inschatting van experts dat deze informatie zeer interessant is voor China?

Zoals gezegd worden de drones door de politie niet ingezet bij processen waarbij het gaat om vertrouwelijke informatie of vitale infrastructuur.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.6
Zoals ook in mijn antwoord op vraag 4 gegeven moet bij elke casus worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. Verder verwijs ik u graag naar het antwoord op vraag 7.

Vraag 13

Ziet u een gevaar van het gebruik van DJI-drones voor bijvoorbeeld Oeigoeren in Nederland, gezien het feit dat China gezichtsherkenningssoftware gebruikt om Oeigoeren te onderdrukken en ook de diaspora in Nederland onder druk zet?

Er zijn voor zover mij bekend momenteel geen aanwijzingen dat China de DJI-drones kan en zal gebruiken om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging.7
De politie kan tijdens demonstraties DJI-drones inzetten ten behoeve van de handhaving van de openbare orde en veiligheid. Tot op heden heeft de politie drones ingezet tijdens Coronaprotesten, Black Lives Matter-demonstraties, boerenprotesten en het Woonprotest in Rotterdam. In het kader van de mitigerende maatregelen rondom het gebruik van Chinese drones heeft de korpsleiding van de politie besloten om bij bijvoorbeeld demonstraties voor de rechten van Oeigoeren andere luchtsteunmiddelen te gebruiken, bijvoorbeeld een helikopter of een militaire drone.

Vraag 14

Heeft u in algemene zin diplomatiek contact met China over de dataveiligheid van Chinese technologie voor Nederlandse gebruikers? Zo ja, wat is hierbij de Nederlandse inzet?

Ja, Nederland spreekt in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene Verordening Gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de notitie «Nederland-China: Een nieuwe balans» staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, privacy en productveiligheid. Wat Nederland betreft dient China zich eveneens aan deze afspraken te conformeren.

Vraag 1

Klopt het dat de politie gebruikmaakt van drones van het Chinese merk Da Jiang Innovations? (DJI)1

Ja.

Vraag 2

Wat zijn de overwegingen geweest om te kiezen voor deze drones?

De politie heeft de drones aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet 2012. In een aanbesteding wordt getoetst of op een inschrijver de wettelijke uitsluitingsgronden van de Aanbestedingswet van toepassing zijn. De Aanbestedingswet 2012 biedt geen basis om producten van het bedrijf DJI uit te sluiten. Ook op de Nederlandse leverancier waren/zijn geen uitsluitingsgronden van toepassing. De Aanbestedingswet schrijft voor dat als er meerdere partijen zijn die voldoen aan de gestelde eisen, er moet worden gekozen voor de biedende partij met de beste prijs-kwaliteitverhouding.

Vraag 3

Klopt het dat het Ministerie van Defensie deze drones niet gebruikt, omdat ze deze te riskant vinden? Zo ja, wat zijn de overwegingen van Defensie?

Bij de aanschaf van een systeem beoordeelt Defensie de wijze waarop dit systeem zal worden ingezet. Indien daar vertrouwelijke en/of gerubriceerde informatie bij wordt vergaard geldt het Defensie Beveiligingsbeleid. Daarin is beschreven hoe deze informatie dient te worden behandeld. Dat betekent dat er beveiligingsmaatregelen worden geïmplementeerd om risico’s te mitigeren. De zwaarte van deze maatregelen is gekoppeld aan het niveau van het te beschermen belang en de risico’s in en rondom het systeem. Dat kan betekenen dat voor de behandeling van vertrouwelijke en/of gerubriceerde informatie bepaalde systemen niet mogen worden ingezet als de risico’s te groot worden ingeschat.
In algemene zin kan worden gezegd dat Chinese dronefabrikanten een risico kunnen vormen omdat hun data op servers in China kunnen staan waarvan de beveiliging lastig is vast te stellen. De beheerders van die data kunnen bijvoorbeeld verplicht worden om data te leveren aan de overheid. Daarom is gebruik van dergelijke drones voor Defensie meestal niet mogelijk bij operationeel optreden. Dit sluit niet uit dat deze drones gebruikt worden voor andere doeleinden binnen Defensie, bijvoorbeeld voor het maken van luchtopnames van trainingen of evenementen. Voor operationele doeleinden beschikt Defensie over militaire drones die voldoen aan de gestelde beveiligingseisen.

Vraag 4

Klopt het dat de politie toegeeft dat er niet uitgesloten kan worden dat dronedata op Chinese servers belanden? Zo ja, waarom worden er dan alsnog extra van deze drones aangeschaft?

De politie heeft de berichten, die er vanaf het begin waren, waarin hiervan melding werd gemaakt niet kunnen verifiëren. De politie heeft hierop besloten de DJI-drones alleen in te zetten tijdens reguliere operaties. Dit zijn operaties waarbij geen vertrouwelijke informatie wordt verwerkt.

Vraag 5

Is er onderzoek gedaan door ICT-experts of de app die bij de drones hoort, toegang kan geven tot de telefoons van de agenten die hem gebruiken? Zo nee, waarom niet?

Een dergelijk onderzoek is niet aan de orde omdat de politie geen gebruik maakt van een app voor de bediening van DJI-drones. Voor de bediening van drones maakt de politie gebruikt de van zogeheten Smart Controllers van DJI. Deze Smart Controllers zijn stand-alone en bevatten de complete bediening inclusief een beeldscherm. Op deze Smart Controller staat de besturingssoftware om het toestel te besturen.

Vraag 6

Bent u bereid nader te onderzoeken of er politiedata gelekt zijn naar de Chinese fabrikant? Zo nee, waarom niet?

Ik zie, gezien de stappen die de politie al heeft gezet op dit gebied (zoals benoemd in antwoord 4 en 5), geen aanleiding om een nader onderzoek in te stellen. Er is tot op heden geen blijk geweest van een datalek. De politie is overigens verplicht ieder datalek direct te melden bij de Autoriteit Persoonsgegevens.

Vraag 7

Zijn er afspraken tussen de politie en DJI? Zo ja, kunnen die openbaar worden gemaakt?

De politie heeft alleen contact met DJI voor de instelling van het geofencingsysteem. Dit systeem zorgt ervoor dat de drones niet kunnen opstijgen in de zogenaamde no-fly zones (gebieden waar niet mag worden gevlogen met drones). De politie heeft ontheffing voor veel no-fly zones. DJI heeft op verzoek van de politie deze instellingen aangepast.
Naar aanleiding van de Europese aanbesteding is er een raamovereenkomst gesloten met een Nederlandse leverancier die de DJI-drones conform deze overeenkomst levert aan de politie. In deze raamovereenkomst zijn de diverse (contract)afspraken vastgelegd, waaronder afspraken over data-security.

Vraag 8

Was u en/of de politie op de hoogte van de vele datalekken en onderzoeken rondom DJI? Zo nee, hoe kan dit?

De politie was op de hoogte van de berichten waarin werd gesproken over de mogelijkheid dat data weglekken naar Chinese servers. De politie heeft deze berichten echter niet kunnen verifiëren. Verder verwijs ik u naar het antwoord op vraag 4.

Vraag 9

Waarom vaart de politie op eigen expertise als het gaat om dataverzameling via externe leveranciers? Waarom is die expertise niet ingezet bij de technologie van kentekenscanners die ook aan gezichtsherkenning bleken te doen?

De politie besteedt structureel aandacht aan de bescherming en beveiliging van gegevens en veilige inkoop. Zo wordt een risico- en veiligheidsanalyse uitgevoerd door de informatiemanagement-functionaris en wordt indien van toepassing een gegevensbeschermingseffectbeoordeling (GEB) uitgevoerd. Ook is in dit geval een security check uitgevoerd voor aanschaf van de drones.
Ten aanzien van het tweede deel van de vraag: de ANPR-camera’s van de politie zijn niet uitgerust met gezichtsherkenningstechnologie.

Vraag 10

Kunt u een overzicht geven van welke overheidsinstanties nog meer gebruikmaken van technologie van dit bedrijf en voor wat voor werkzaamheden?

Een dergelijk overzicht is niet beschikbaar. Er is tot op heden geen aanleiding geweest om dat te inventariseren.

Vraag 11

Waarom zijn er geen Rijksbrede afspraken over het gebruik van technologie geproduceerd door bedrijven uit andere landen? Bent u bereid alsnog met Rijksbreed beleid hiervoor te komen? Zo nee, waarom niet?

Eind 2018 is instrumentarium ontwikkeld dat organisaties helpt bij het meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten. Dit dient als hulpmiddel bij het uitvoeren van een risicoanalyse en het nemen van eventuele mitigerende maatregelen. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Op dit moment zie ik geen reden tot aanscherping van het staande beleid.

Vraag 12

Begrijpt u het advies van hoogleraar Oerlemans dat het nu de tijd is om goed na te denken over overheidsbevoegdheden op het gebied van cybersecurity en na te denken over wat hij checks and balances noemt? In hoeverre is dat al gebeurd in de afgelopen jaren, in integrale zin?2

Ja, dat is een begrijpelijk advies. Het nadenken over overheidsbevoegdheden en de «checks and balances» daaromtrent is een continu proces. In dit kader wijs ik graag op de Kamerbrief «Uitkomsten verkenning wettelijke bevoegdheden digitale weerbaarheid en beleidsreacties WODC-rapporten» van 3 februari 2021.3 Hierin wordt onder andere ingegaan op het Nederlandse cybersecuritystelsel en interventiemogelijkheden van de overheid in geval van digitale dreigingen en incidenten. Deze brief illustreert dat er binnen het kabinet continue aandacht is voor het vraagstuk rond overheidsbevoegdheden op gebied van cybersecurity. Dit is een proces dat nooit af is, en ik deel dan ook de visie van hoogleraar Oerlemans dat dit ook in het nieuwe kabinet continue aandacht vereist. Dit betreft overigens een ander vraagstuk dan het inkoopvraagstuk dat in de voorgaande vragen centraal staat.

Vraag 13

Denkt u dat als dit grondig was gedaan er niet met spoed een wetsvoorstel gemaakt moest worden voor de NCTV? Zo nee, waarom niet?

Het wetsvoorstel waar dhr. Oerlemans in het artikel aan refereert betreft het voorstel voor een Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid. Dit wetsvoorstel, dat op 9 november jl. aan uw Kamer is gestuurd, beoogt de juridische grondslag voor specifieke analyse- en coördinatiewerkzaamheden te verankeren die de NCTV namens de Minister van Justitie en Veiligheid uitvoert op het terrein van de nationale veiligheid en terrorismebestrijding en waarbij de verwerking van persoonsgegevens noodzakelijk wordt geacht. Ik heb daar in de brieven van 13 april 20214 en 21 mei 20215 uitvoerig aandacht aan besteed. Dit wetsvoorstel bevat geen specifieke overheidsbevoegdheden op het gebied van cybersecurity.

Vraag 1

Bent u bekend met het onderzoek van de DMCR en de provincie Zuid-Holland over het gebrek aan cybersecurity bij bedrijven die werken met gevaarlijke stoffen?1

Ja.

Vraag 2

Kunt u zich vinden in de bevindingen van het onderzoek van de DMCR en de provincie Zuid-Holland? Zo nee, welke bevindingen deelt u niet?

DCMR heeft Fox-IT gevraagd een cybervolwassenheidsbeeld vast te stellen voor de bedrijven die vallen onder het toepassingsbereik van het Besluit risico’s zware ongevallen 2015 (Brzo-bedrijven) in Zuid-Holland en Zeeland. Fox-IT heeft dat gedaan met diepte-interviews en self-assessments. Het geaggregeerde eindresultaat geeft een beeld van het implementatieniveau op een 5-punts schaal.
De bevindingen van het onderzoek geven een beeld van de situatie bij de bedrijven die deel uitmaakten van het onderzoek van DCMR.
Op basis van dat beeld kunnen wij ons vinden in de constatering dat er aanleiding is om de aandacht voor cybersecurity bij Brzo-bedrijven te vergroten.

Vraag 3

Hoe kan het dat bij een groot deel van de bedrijven er onvoldoende aandacht is voor cybersecurity?

De digitalisering van de maatschappij en van bedrijfsprocessen in het bijzonder heeft een grote vlucht genomen. De digitale kwetsbaarheid neemt daarmee ook in de breedte van de hele maatschappij toe. Berichtgeving in de media over hacks bij bedrijven en andere organisaties dragen bij aan bewustwording over de noodzaak van een adequate digitale weerbaarheid en het daartoe treffen van de noodzakelijke beveiligingsmaatregelen.
Dit is een ontwikkelproces waarbij niet alle bedrijven al even ver zijn. Een bedrijf is primair zelf verantwoordelijk voor een veilige bedrijfsvoering en dus ook voor het treffen van adequate maatregelen met betrekking tot cybersecurity.
Zoals het Cybersecuritybeeld Nederland 2021 laat zien is ook het midden- en kleinbedrijf (mkb) steeds vaker slachtoffer van ransomware-aanvallen. De digitalisering is door deze bedrijven omarmd, maar dat geldt vaak nog niet voor het treffen van de noodzakelijke cybersecuritymaatregelen. De onderzoeksgroep van DCMR valt grotendeels in deze doelgroep. Mogelijke factoren voor onvoldoende aandacht aan cybersecurity zijn bijvoorbeeld een tekort aan relevante kennis over het onderwerp of het gebrek aan prioriteit in aandacht of financiële ruimte zolang digitale incidenten nog niet het primaire proces hebben geraakt.
Voor een bedrijf waar gewerkt wordt met gevaarlijke stoffen, kan het grote gevolgen hebben als dat bedrijf de cybersecurity niet goed op orde heeft en het doelwit wordt van digitale aanvallen. Het is dus zeker van belang dat deze bedrijven adequate maatregelen treffen ter beveiliging van hun netwerk- en informatiesystemen. Het is daarom goed dat DCMR samen met het bevoegd gezag als bedoeld in het Besluit risico’s zware ongevallen 2015 (Brzo), de provincies Zuid-Holland en Zeeland, heeft onderzocht hoe het staat met de digitale weerbaarheid bij de risicovolle bedrijven in het eigen werkgebied.
De aandacht voor cybersecurity is de afgelopen jaren toegenomen maar is nog niet bij alle bedrijven op het gewenste niveau zoals ook uit het onderzoek van DCMR blijkt. Daarom is het van belang dat bedrijven hier mee aan de slag gaan. Zie verder het antwoord op vragen 5 en 6.

Vraag 4

Bent u het met ermee eens dat bedrijven die werken met gevaarlijke stoffen juist extra goed beveiligd moeten zijn op het digitale vlak?

Zie antwoord vraag 3.

Vraag 5

Wat doet u om de cybersecurity van deze bedrijven te vergroten?

Zoals eerder gesteld is een bedrijf primair zelf verantwoordelijk voor een veilige bedrijfsvoering en dus ook voor het treffen van adequate maatregelen met betrekking tot cybersecurity. Vanuit omgevingsveiligheid zijn de provincies bevoegd gezag voor de Brzo-bedrijven. De Staatssecretaris van IenW is systeemverantwoordelijk voor de regelgeving Brzo (omgevingsveiligheid).
Daarnaast is er beleidsverantwoordelijkheid in het kader van bescherming van vitale processen/sectoren. De vakdepartementen kennen vanuit dit kader een beleidsverantwoordelijkheid voor aanbieders binnen deze groep bedrijven die binnen hun beleidsdomein vallen. In het geval van de olievoorziening is de Minister van EZK beleidsverantwoordelijk. De Staatssecretaris van IenW is binnen de vitale sectoren beleidsverantwoordelijk voor de «Grootschalige productie/verwerking en/of opslag van (petro)chemische stoffen» (chemiesector).
Mede naar aanleiding van de uitkomsten van het onderzoek werken het Rijk, de provincies als bevoegd gezag voor de Brzo-bedrijven en het bedrijfsleven samen om een aantal activiteiten uit te voeren om de aandacht voor cybersecurity bij deze bedrijven te versterken. De primaire focus ligt daarbij op het werken aan de bewustwording bij alle partijen, kennis opbouwen bij en delen met bedrijven en de betrokken overheidsdiensten.
Het Ministerie van Economische Zaken en Klimaat (EZK) is verantwoordelijk voor het vitale proces olievoorziening waarbinnen een deel van de onderzochte bedrijven actief is. Op dit moment onderzoekt het Ministerie van EZK of en welke van deze bedrijven, voor zover zij zich bezighouden met het beheer van oliepijpleidingen en/of met productie, opslag, transport, raffinage of behandeling van olie, bij ministerieel besluit aangewezen zullen worden als aanbieders van essentiële diensten (AED) krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni). Aangewezen bedrijven onder de Wbni hebben de plicht om beveiligingsmaatregelen te treffen met betrekking tot hun netwerk- en informatiesystemen en de plicht tot het melden van digitale incidenten met aanzienlijke gevolgen voor hun vitale dienstverlening. Het Ministerie van EZK heeft een bijbehorende toezichthouder, voor onder Wbni geschaarde partijen.
Voor zover het gaat om bedrijven binnen de onderzochte groep die als vitale aanbieder zijn of worden aangewezen geldt dat het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid tot taak heeft om deze aanbieders te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Daarnaast verleent het NCSC, waar nodig, ook op andere wijze bijstand aan deze aanbieders bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen. Ook verricht het NCSC analyses en technisch onderzoek ten behoeve van hiervoor beschreven dienstverlening.
De Staatssecretaris van IenW en de provincies maken in het Bestuurlijk Omgevingsberaad bestuurlijke afspraken over een versterkingsactie cybersecurity bij (Brzo)-bedrijven. Deze afspraken richten zich o.a. op het opbouwen van cybersecurity-kennis en het delen van deze kennis met bedrijven en betrokken overheidsdiensten.
Daarnaast geldt voor de onderzochte bedrijven die geen vitale aanbieder zijn binnen een vitaal proces dat zij terecht kunnen bij het Digital Trust Center (DTC), onderdeel van het Ministerie van Economische Zaken en Klimaat. Het DTC adviseert en informeert circa 1,8 miljoen niet-vitale bedrijven in Nederland over hoe zij hun digitale weerbaarheid kunnen verbeteren en jaagt de ontwikkeling van publiek-private samenwerkingsverbanden in Nederland aan, die ook deel kunnen gaan uitmaken van het zogenaamde Landelijk Dekkend Stelsel van cybersecurity samenwerkingsverbanden. Deze zomer is door het DTC begonnen met het proactief informeren van individuele bedrijven over digitale dreigingen.2 Daarbij gaat het bijvoorbeeld om een beveiligingslek in bepaalde (bedrijfs)software of andere acute kwetsbaarheden. Dit gebeurt nu nog op kleine schaal. Op de langere termijn werkt het DTC toe naar een systeem dat dreigingsinformatie aan grotere groepen bedrijven kan koppelen. Het DTC biedt ook tools aan, zoals de cybersecurity basisscan voor bedrijven, om te kijken of de basisveiligheid op orde is.
Tot slot benoemen we graag dat ook in publiek-private setting cybersecurity verder wordt opgepakt. Zo werkt stichting FERM vanuit het vanuit het Port Cyber Resilience Programma aan het verhogen van het bewustzijn met betrekking tot cyberrisico’s in de haven Rotterdam. Hierbij wordt nauw samengewerkt met onder andere het Digital Trust Center, de (zeehaven) politie, douane en DCMR.

Vraag 6

Doet u voldoende om de cybersecurity van deze bedrijven te verbeteren? Zo ja, hoe verklaart u de bevindingen in dit onderzoek dan? Zo nee, wat gaat u meer doen om de cybersecurity van deze bedrijven te verbeteren?

Zie antwoord vraag 5.

Vraag 1

Bent u bekend met het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen»?1

Ja.

Vraag 2

Hoe beoordeelt u het zorgelijke feit dat overheidsinstanties in Litouwen consumenten adviseren om geen smartphones van het Chinese merk Xiaomi meer te kopen of te gebruiken in verband met de mogelijke aanwezigheid van censuursoftware?

Het Litouwse Ministerie van Defensie concludeert op basis van eigen onderzoek dat onderzochte smartphones van diverse Chinese fabrikanten kwetsbaarheden en risico’s in zich houden, waaronder de in het nieuwsartikel aangehaalde bevinding van «censuursoftware». Het gaat daarbij specifiek om een lijst van termen die in China gevoelig liggen. De Litouwse overheid concludeert dat deze lijst op Europese smartphones aanwezig is en periodiek geactualiseerd wordt, maar dat er op de in de EU verkochte smartphones geen censuur wordt toegepast.
De overheid van Litouwen verbindt aan het rapport het advies om geen telefoons van Chinese fabrikanten meer te kopen en in gebruik zijnde telefoons te vervangen. Ieder land maakt hierin een eigen afweging. Voor Nederland is er op dit moment geen aanleiding om een dergelijk zwaarwegend advies af te geven. Wel ziet het kabinet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers, zie hiervoor het antwoord op vraag 6.

Vraag 3

Zijn deze signalen bekend bij het Nationaal Cyber Security Centrum (NCSC)? Zo ja, welke actie is hierop tot heden genomen?

Ja, de signalen zijn bekend bij het NCSC. Het NCSC informeert en adviseert zijn doelgroep waar relevant over cybersecurityrisico’s.

Vraag 4

Hoeveel Xiaomi telefoons zijn in Nederland in gebruik? Maken Nederlandse overheidsinstanties gebruik van Xiaomi telefoons? Zo ja, welke?

Voor het gebruik van Xiaomi-telefoons in Nederland zijn mij geen exacte cijfers bekend. Wel is er een indicatie te geven op basis van openbare marktgegevens. Uit een analyse van Europese markt voor smartphones door het bedrijf Strategy Analytics valt af te leiden dat de verkoop van Xiaomi-telefoons in Europa al enige tijd een stijgende lijn vertoont.2
Deze stijgende lijn is ook terug te zien in cijfers over het internetgebruik door gebruikers van mobiele telefoons. Zo komt het bedrijf Statcounter tot een schatting van het marktaandeel van Xiaomi in Nederland van 4,64% in september 2021.3
Alle overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen. Ze bepalen zelf welke apparatuur ze in gebruik hebben. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikt daarom niet over een totaaloverzicht van welke overheidsorganisaties welke telefoons in gebruik hebben.
Binnen de rijksoverheid wordt ten aanzien van de inkoop van telefoons via het Rijksbrede categoriemanagement samengewerkt. Wat betreft de rijksoverheid en aanpalende organisaties zijn voor zover bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bekend sinds 2018 60 Xiaomi-telefoons aangeschaft. De telefoons worden niet gebruikt voor de eigen bedrijfsvoering maar zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Organisaties maken bij het aanschaffen van apparatuur, zoals telefoons, een eigen afweging bij het afsluiten van nadere overeenkomsten, binnen de ruimte die rijksbreed afgesloten overeenkomsten hen daarvoor bieden. (Zie verder het antwoord op vraag 5).

Vraag 5

Wordt er een risicoanalyse uitgevoerd naar hardware en software die in gebruik wordt genomen door overheidsinstanties? Zo ja, is een dergelijke analyse uitgevoerd voor Xiaomi telefoons? Zo ja, wat waren de uitkomsten hiervan? Zo nee, waarom niet?

Voor de aanschaf van hard- en software, waaronder telefoons, door de overheid is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat hard- en software in gebruik wordt genomen, en op grond daarvan de toepassing binnen hun eigen bedrijfsprocessen bepalen. Relevant zijn in dit verband specifiek biomaatregelen 14.1.1.1 en 15.1.1.1.4
Tevens geldt dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid, zoals telefoons, (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. In het kader hiervan zal in geval van gevoelige apparatuur zal bij aanschaf en implementatie daarvan rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met risico’s in verband met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Eind 2018 is dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die vitale aanbieder zijn.

Vraag 6

Deelt u de mening dat dergelijke censuursoftware een gevaar vormt voor de vrijheid van meningsuiting en de privacy van Nederlandse gebruikers van Xiaomi telefoons? Zo ja, bent u bereid om op korte termijn onderzoek te laten uitvoeren naar de mogelijke aanwezigheid van censuursoftware op Xiaomi toestellen door het Nationaal Cyber Security Centrum en het Agentschap Telecom? Zo nee, waarom niet?

Uit het Litouwse onderzoek blijkt dat de betreffende functionaliteit in de Europese Unie is uitgeschakeld. Wel stellen de onderzoekers dat de fabrikant deze functie op afstand zou kunnen activeren.
In algemene zin zou het toepassen van dergelijke software een risico kunnen vormen voor grondrechten zoals de vrijheid van meningsuiting, de vrijheid van nieuwsgaring en de privacy van Nederlandse gebruikers. Hierbij is het belangrijk om op te merken dat op de software die zich op Nederlandse smartphones bevindt, de huidige wet- en regelgeving van kracht is, zoals de Algemene Verordening Gegevensbescherming en de Algemene wet gelijke behandeling.
De betreffende toezichthouders en instanties, de Autoriteit Persoonsgegevens en het College voor de Rechten van de Mens, kunnen besluiten aanvullend onderzoek te doen wanneer zij hier aanleiding toe zien.

Vraag 7

Klopt het dat Xiaomi geen officiële winkel of webshop heeft in Nederland, maar wel online via verschillende Nederlandse websites/webwinkels te kopen is? Deelt u de mening dat als blijkt dat Nederlanders met een Xiaomi telefoon dergelijke censuursoftware hebben, het onwenselijk is dat deze telefoons in Nederland verkrijgbaar zijn? Zo ja, wat gaat u daaraan doen? Zo nee, waarom niet?

Dit is niet juist. Xiaomi heeft in Nederland een officieel verkoopkanaal via haar eigen website. Ook zijn Xiaomi-telefoons in Nederland verkrijgbaar via de mobiele operators en via zowel Nederlandse als Europese webwinkels.
Op dit moment heb ik geen aanwijzingen dat deze software in Nederland is geactiveerd. Mocht op enig moment blijken dat dit toch het geval is, dan is het aan de betreffende toezichthouders om zo nodig te handhaven.

Vraag 1

Bent u bekend met het artikel «Overheid in actie tegen betalen van losgeld aan ransomware-criminelen»?1

Ja.

Vraag 2

Klopt het dat op dit moment de mogelijkheden worden onderzocht om verzekeraars te verbieden om losgeld te vergoeden bij slachtoffers van een ransomware-aanval? Zo ja, hoe verklaart u dit verschil in beleid ten opzichte van wel en niet verzekerde bedrijven? Welke mogelijkheden worden er nog meer onderzocht om te kijken of het aantal losgeldbetalingen verminderd kan worden?

Ja, een verbod op het vergoeden van betaald losgeld aan cybercriminelen na een ransomware-aanval door verzekeraars wordt momenteel onderzocht. Hierbij worden de voor- en nadelen en de juridische mogelijkheden geïnventariseerd. Er is geen besluit over genomen. Daarnaast wordt gekeken naar hoe overheden om moeten gaan met ransomware, waaronder losgeldbetalingen. De meest wenselijke wijze van het beperken van losgeldbetalingen ligt echter in het voorkomen dat personen en organisaties überhaupt slachtoffer worden van ransomware.

Vraag 3

Bent u het ermee eens dat het betalen van losgeld bij ransomware aanvallen onwenselijk is en dat bedrijven zich tegelijkertijd soms genoodzaakt voelen losgeld te betalen op korte termijn, omdat anders de continuïteit van bedrijfsprocessen in gevaar komt? Zo ja, hoe beoordeelt u dan een algeheel verbod op het betalen van losgeld? Zo nee, waarom niet? En bent u het ermee eens dat er daarom ingezet moet worden op het dringende advies om niet te betalen? Zo nee, waarom niet?

Het dringende advies vanuit het Kabinet blijft om geen losgeld te betalen na een ransomware-aanval, aangezien dit het crimineel verdienmodel in stand houdt. De politie stelt vast dat een relevant deel van het door slachtoffers betaalde losgeld rechtstreeks wordt geïnvesteerd in nieuwe aanvalsinfrastructuren.2 Ik heb begrip voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden. Een algemeen verbod op het betalen van losgeld kan leiden tot minder losgeldbetalingen, maar kan ook grote nadelige effecten hebben. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden.

Vraag 4

Bent u het ermee eens dat ondernemers en organisaties vooral slachtoffer zijn bij een ransomware-aanval? Zo nee, waarom niet?

Ja.

Vraag 5

Bent u zich ervan bewust dat het niet betalen van losgeld kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd wat vaak langer duurt en meer geld kost dan het betalen van losgeld?

Ja. Criminelen die ransomware-aanvallen uitvoeren maken een zorgvuldige calculatie bij het stellen van de losgeldeis. Indien er geen losgeld wordt betaald en er geen back-up beschikbaar is, kan dit tot gevolg hebben dat de versleutelde data verloren gaat en de ICT-infrastructuur opnieuw moet worden opgebouwd. Ook kan een aanval leiden tot openbaarmaking van gestolen informatie en gegevens. De totale kosten voor een organisatie om een ransomware-aanval te boven te komen, zoals gevolgschade of het verlies van kostbare informatie, zijn vaak groter dan het geëiste losgeldbedrag.3
Ook indien er wel losgeld wordt betaald en de sleutel door criminelen wordt verstrekt, leidt dit niet gegarandeerd tot succes. Zo kan de sleutel niet goed functioneren waardoor de toegang tot data en systemen niet wordt hersteld. Verder zal in veel gevallen de hele ICT-infrastructuur alsnog opnieuw moeten worden opgebouwd, aangezien deze als gecompromitteerd moet worden beschouwd. Omdat doorgaans na een ransomwarebesmetting de integriteit van de ICT-infrastructuur niet meer kan worden gewaarborgd en een organisatie zijn systemen dus niet meer kan vertrouwen, zal deze dus ook bij betaling vaak vervangen moeten worden. Bovendien blijven kwaadwillenden beschikken over eventuele buitgemaakte data en kan er opnieuw een losgeld geëist worden om publicatie daarvan te voorkomen.

Vraag 6

Bent u zich ervan bewust dat een algemeen verbod op het betalen van losgeld zelfs kan leiden tot het faillissement van een getroffen bedrijf? Zo ja, bent u het ermee eens dat dit een zeer onwenselijk scenario is voor getroffen bedrijven en dat een verbod op het betalen van losgeld het probleem van ransomware aanvallen op bedrijven niet oplost? Zo nee, waarom niet?

Ja. Een ransomware-aanval kan grote impact hebben op slachtoffers, maar ook op diens klanten en gebruikers. In uiterste gevallen kan dit leiden tot een faillissement. De nadelige gevolgen van een algemeen verbod op het betalen van losgeld kunnen daarom zeer groot zijn. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden. Zoals gemeld in het antwoord op vraag 2 wordt de mogelijkheid van een verbod op het vergoeden van losgeldbetalingen door verzekeraars wel onderzocht.

Vraag 7

Bent u het ermee eens dat de oplossing moet worden gezocht in ransomware aanvallen in eerste instantie voorkomen door te focussen op preventieve maatregelen en de digitale basishygiëne van bedrijven vergroten? Zo ja, welke mogelijkheden ziet u hiertoe? Zo nee, waarom niet?

De meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware. Preventie vormt een belangrijk onderdeel bij het tegengaan van cybercrime, waaronder ook ransomware. Het beeld is dat bij veel succesvolle ransomware-aanvallen de basismaatregelen onvoldoende getroffen zijn. Om de cyberweerbaarheid te vergroten biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan met adviezen voor ondernemers om een besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Daarnaast biedt het DTC mogelijkheden om de cyberweerbaarheid van een bedrijf te testen middels een basisscan. Ook het NCSC biedt voor diens achterban diensten en producten aan om de cyberweerbaarheid te verhogen. Veel informatie en adviezen zijn voor het brede publiek beschikbaar op de website van het NCSC. Verder wordt in het kader van het convenant voor preventie van cybercrime met private partijen samengewerkt aan de verbreding van het gebruik van twee-factor authenticatie.4 De politie geeft aan dat dit al aanzienlijk kan helpen bij het tegengaan van ransomware. Het verhogen van de cyberweerbaarheid van burgers, bedrijven en organisaties vraagt blijvende inspanning.

Vraag 1

Op basis van welke data concludeert u dat de ProCo-app door 30.000 politiemensen wordt gebruikt?

De Proco-functionaliteit maakt onderdeel uit van de MEOS-app. Het aantal van 30.000 staat gelijk aan het aantal medewerkers dat werkt met de MEOS-app op de diensttelefoon. De ProCo-functionaliteit geeft automatisch informatie aan elke medewerker die de MEOS-app gebruikt bij een bevraging naar een persoon of een kenteken. Zoals ik uw Kamer heb bericht in het eerste Halfjaarbericht politie 2021zal er in 2022 nader onderzoek plaatsvinden naar het gebruik van de Proco-functionaliteit en het Handelingskader professioneel controleren.1
Overeenkomstig de motie Azarkan2 zal ik uw Kamer bovendien halfjaarlijks rapporteren over de analyse van de door de Proco-app verzamelde gegevens ten aanzien van professioneel controleren.

Vraag 2

Worden in de ProCo-app alleen handmatige bevragingen bijgehouden of ook de bevragingen op basis van Automatic Number Plate Recognition (ANPR)?

ANPR-registraties zijn niet opvraagbaar en niet zichtbaar in MEOS en daarmee ook niet in de Proco-functionaliteit. De data uit ANPR worden in een apart systeem geregistreerd dat niet is gekoppeld aan BVH (BasisVoorziening Handhaving).

Vraag 3

Hoe lang blijven de gelogde data bewaard en welke details worden over een bevraging bewaard? Is dat dan alleen het feit dat iemand is bevraagd, of ook welke agent deze bevraging deed, wat de reden was voor de bevraging en bijvoorbeeld wat de locatie, het tijdstip en de datum waren?

De Wet Politiegegevens regelt de bewaartermijnen en de aard van de bewaarde (persoons)gegevens in de politiesystemen. In MEOS wordt bijgehouden welke politiemedewerker welke bevraging heeft gedaan, ten aanzien van wie/wat en op welk moment. Deze data worden conform art. 8 Wpg gedurende een periode van vijf jaar bewaard. De reden van de bevraging wordt niet afzonderlijk in de ProCo-functionaliteit vastgelegd, omdat er te veel invalshoeken en daarmee te veel categorieën zijn om vast te leggen, hetgeen de datakwaliteit en opties voor analyse en reflectie niet ten goede zou komen. Ook zou de ProCo-functionaliteit hierdoor te complex worden om nog hanteerbaar te zijn voor politiemedewerkers. De optie van vrije tekstvelden wordt niet als een realistisch alternatief gezien vanwege de toename van de administratieve last.

Vraag 4

Bent u het ermee eens dat dergelijke details relevant kunnen zijn bij verdere analyse van de data om iets te kunnen zeggen over etnisch profileren?

Data met betrekking tot een bevraging of een controle zijn relevant voor onderzoek naar professioneel controleren c.q. de toepassing van de principes uit het Handelingskader professioneel controleren. Onderzocht wordt daarom of de geanonimiseerde data inzicht kunnen geven in het bevragingsgedrag en in de controles die zijn uitgevoerd. Deze inzichten kunnen helpen bij het trainen op de toepassing van het handelingskader professioneel controleren.
Daarnaast werkt de politie met virtual reality (VR) simulaties om medewerkers te trainen op de toepassing van het Handelingskader professioneel controleren en om te kunnen reflecteren op de manier waarop dit kader wordt toegepast in de praktijk. De Politieacademie en de Universiteit Twente gaan het gebruik van de VR-simulaties onderzoeken.

Vraag 5

Hoe wordt concreet invulling gegeven aan het voornemen dat is opgenomen in de beantwoording van Kamervragen1 om samen met het Centraal Bureau voor de Statistiek (CBS) te kijken of de informatie uit de ProCo-app en de data van het CBS inzicht kunnen geven in de omvang van etnisch profileren om zo etnisch profileren te kunnen monitoren en de effecten en effectiviteit van de maatregelen om professioneel controleren te versterken in kaart te brengen?

De data in de politiesystemen kunnen verbonden worden om inzicht te krijgen in kenmerken van burgers die gecontroleerd worden, bijvoorbeeld antecedenten. De data in de politiesystemen geven echter geen informatie over de herkomst van een burger of sociaaleconomische kenmerken. En dit zijn juist data die gebruikt kunnen worden bij onderzoek naar de vraag of bij de controles voldoende volgens het handelingskader professioneel controleren wordt gewerkt. Aangezien het CBS wel beschikt over deze informatie onderzoeken het CBS en de politie of het mogelijk is om de gegevensbronnen samen te brengen. Dit onderzoek bevindt zich thans in een voorbereidend stadium.
De privacy zal worden gewaarborgd omdat in de analyse alleen kwantitatief wordt aangegeven welke achtergrondkenmerken de burgers hadden die gecontroleerd zijn of waarover een bevraging is gedaan.

Vraag 6

Kunt u toelichten op welke wijze u hier concreet invulling aan wilt geven? Is het CBS hier al voor benaderd en wat is specifiek aan hen gevraagd?

Zie antwoord vraag 5.

Vraag 7

Bent u bereid om instanties die ervaring en expertise hebben op het terrein van etnisch profileren, zoals Controle Alt Delete en Amnesty International, te betrekken bij het analyseren van de data van de ProCo-app?

Zie antwoord vraag 5.

Vraag 8

Op welke termijn wordt de analyse opgestart / afgerond en op welke wijze wordt de privacy van burgers gewaarborgd?

Ik heb regelmatig overleg met maatschappelijke organisaties zoals Amnesty en Control Alt Delete. Ik zal met de politie bespreken op welke manier organisaties met bovengenoemde expertise een rol kunnen spelen bij de interpretatie van de bevindingen uit de bovengenoemde studies.

Vraag 9

Kunt u aangeven wat wordt gedaan met het voornemen dat u heeft opgenomen in uw brief van 12 april jl.2 om de effecten van de toepassing van de Proco-app in samenhang met het handelingskader te monitoren en hiervoor een meetinstrument te ontwikkelen om zo inzicht te krijgen in de aard en omvang van de controles? Kunt u toelichten welk meetinstrument hiervoor is ontwikkeld, hoe het werkt, wie daar het bevoegd gezag over heeft, wie relevante inzichten abstraheert van het meetinstrument en wanneer hiervoor de relevante bevindingen naar de Tweede Kamer worden gestuurd?

In 2022 wordt vervolgonderzoek gedaan naar het gebruik van de Proco-functionaliteit in samenhang met het Handelingskader professioneel controleren. Daarnaast is er inderdaad een meetinstrument in ontwikkeling voor de permanente monitoring van de aard en aantallen controles. Hiervoor worden uit de politiesystemen datasets gemaakt die – gekoppeld aan CBS-data – periodiek geanalyseerd kunnen worden. De uitwerking hiervan is zoals gezegd thans in voorbereiding. Daarenboven wordt een van de basisprincipes van het handelingskader – de bejegening – gemonitord via onder andere de tweejaarlijkse Veiligheidsmonitor en de jaarlijkse Vertrouwen-en reputatiemonitor. Samen met de G4 verken ik hoe aanvullend onderzoek op dit terrein eruit zou kunnen zien.

Vraag 10

Kunt u de Kamer informeren over het aantal bevragingen waarop een controle is gevolgd, en de uitkomst van die controles, uitgesplitst per maand en per basisteam sinds 1 november 2020?

Aangezien het verkrijgen van inzicht in deze gegevens enige tijd kost, zal ik uw Kamer nader informeren op dit punt in het tweede halfjaarbericht politie 2021.

Vraag 11

Kunt u deze vragen een voor een beantwoorden?

Waar mogelijk is dat gedaan.

Vraag 1

Bent u bekend met het bericht «ACM keert terug op schreden: toch geen eigen elektrolyser voor netwerkbedrijven»?1

Ja.

Vraag 2

Kunt u deze opmerkelijke ommekeer in de positie van de ACM nog volgen en verklaren?

Zoals aangegeven in de Rijksvisie marktontwikkeling voor de energietransitiedie op 22 juni 2020 aan uw Kamer is toegezonden2 is het aan de ACM als toezichthouder om de bestaande wettelijke ruimte3 voor netwerkbedrijven in relatie tot alternatieve energiedragers, waaronder waterstof, uit te leggen en op de naleving van deze wetgeving toe te zien.4 Mede op basis van de «Leidraad netwerkbedrijven en alternatieve energiedragers» van de ACM constateer ik dat de huidige wettelijke bepalingen rondom de ruimte van netwerkbedrijven in relatie tot elektrolyse niet voldoende helder zijn en openstaan voor interpretatie.5 Dit blijkt ook uit de verschillende consultatiereacties van stakeholders op de concept-Leidraad.6 Het is daarom begrijpelijk dat de ACM mede op basis van de consultatiereacties van stakeholders tot nieuwe inzichten is gekomen. Dit onderschrijft juist het nut van dergelijke consultaties.

Vraag 3

Deelt u de mening dat deze gang van zaken, waarbij de leidraad voor netwerkbedrijven sterk gewijzigd is ten opzichte van de conceptversie (na een forse vertraging), funest is voor de energietransitie omdat netwerkbedrijven op los zand moeten opereren?

Nee, deze mening deel ik niet. In de eerste plaats bevestigt de ACM dat netwerkbedrijven infrastructuur mogen aanleggen en beheren voor alternatieve energiedragers zoals waterstof en warmte. Dit is een belangrijke constatering in de context van de uitrol van een transportnet voor waterstof en warmtenetten. Ten tweede sluit, zoals ook toegelicht in de brief over marktordening en marktontwikkeling waterstof van 10 december 20217, de uitleg door de ACM aan bij de afbakeningsprincipes rondom toegestane activiteiten door netwerkbedrijven onder de wet Voortgang Energietransitie (Wet VET).8 Een leidend principe bij de afbakening van activiteiten door netwerkbedrijven is dat activiteiten die door de private sector kunnen worden uitgevoerd aan de markt moeten worden overgelaten. Hierdoor wordt voorkomen dat activiteiten door netwerkbedrijven leiden tot mogelijke marktverstoringen. Daarnaast moet de afbakening borgen dat het netwerkbedrijf zich in hoofdzaak bezighoudt met haar kerntaak, het beheer van het gas- of elektriciteitsnet, en dat blootstelling aan commerciële risico’s wordt beperkt. Daarbij is productie, handel en levering van alternatieve energiedragers zoals waterstof wettelijk niet toegestaan.9 De ACM blijft dus dicht bij de door de wetgever geformuleerde uitgangspunten rondom toegestane activiteiten voor netwerkbedrijven. Wel ziet de ACM onder voorwaarden ruimte voor netwerkbedrijven om in minderheids- of gezamenlijke deelnemingen actief te zijn op het gebied van productie, handel en levering van alternatieve energiedragers. In de Kamerbrief van 10 december 2021 heeft het kabinet al aangegeven dat deze bevinding ongewenst is, omdat het onbeperkt kunnen aangaan van deelnemingen door netwerkbedrijven niet strookt met de door de wetgever geformuleerde afbakeningsprincipes met betrekking tot toegestane activiteiten voor netwerkbedrijven.10
Verder constateer ik dat de door de ACM geïdentificeerde onduidelijkheden binnen het bestaande wettelijke kader met betrekking tot nevenactiviteiten die netwerkbedrijven mogen verrichten niet bijdragen aan een heldere marktordening voor de energietransitie. Daarom wil het kabinet hier duidelijkheid in scheppen. Zoals toegelicht in de kamerbrief van 10 december 2021 is het wenselijk dat de marktordening rondom elektrolyse bijdraagt aan voldoende concurrentiedruk en innovatie door private partijen zodat de kosten, en hiermee benodigde subsidies, in de tijd dalen.11 Een eventuele rol voor netwerkbedrijven is daarbij geen oplossing voor het huidige situatie van de markt, namelijk het bestaan van een onrendabele top voor groene waterstof. Pas als private marktpartijen ondanks het beschikbaar zijn van voldoende subsidie-instrumentarium niet de gewenste opschaling van elektrolyse realiseren, zie ik vanwege de mogelijke systeemrol van elektrolyse ruimte voor netwerkbedrijven om op dit terrein actief te zijn. Over de voorwaarden waaronder dit wenselijk is wil ik de markt consulteren. Door hier duidelijkheid over te verschaffen kunnen netwerkbedrijven zich richten op hun kentaken en toegestane nevenactiviteiten onder de Gaswet en Elektriciteitswet.

Vraag 4

Bent u van mening dat het opslaan van energie, waaronder het omzetten van elektriciteit in moleculen door middel van elektrolyse, geen opwekking is van nieuwe energie?

Bij waterstofproductie middels elektrolyse is er inderdaad geen sprake van de opwekking van energie middels de inzet van een primaire energiebron zoals wind of zon. De energie in elektronen wordt zogezegd overgedragen op waterstofmoleculen. Hierdoor is het mogelijk om duurzaam opgewekte energie grootschalig op te slaan. Vanuit het elektriciteitssysteem bezien is de omzetting van elektriciteit naar waterstof en vervolgens de opslag hiervan een vorm van energieopslag. Dit volgt ook uit de definitie van «energieopslag» onder de Europese Elektriciteitsrichtlijn ((EU) 2019/944).12 Vanuit het gas- of waterstofsysteem bezien is de overdacht van energie van elektronen naar moleculen echter wel een vorm van «produceren». Er komen immers middels een vervaardigingsproces «nieuwe» moleculen in het systeem en op de markt die vervolgens kunnen worden ingezet als grondstof voor industrie of brandstof voor mobiliteit. Daarom wordt elektrolyse ook wel gezien als een alternatieve vorm van waterstofproductie naast bijvoorbeeld waterstofproductie uit aardgas middels methane steam reforming. Het opslaan van deze waterstofmoleculen kan vervolgens, net als bij aardgas, worden gezien als een separate activiteit.

Vraag 5

Deelt u het inzicht dat alternatieve energiedragers, die belangrijk zijn vanwege hun opslagfunctie of voor buffering, essentieel zijn voor een stabiel energiesysteem en dat het daarom wenselijk is dat netwerkbedrijven elektrolyzers en vormen van energieopslag (zoals waterstofopslag in een zoutcaverne) moeten kunnen beheren/in bezit mogen hebben?

Zoals ik in de appreciatie van de studie «Ondergrondse energieopslag in Nederland 2030–2050» heb aangegeven, onderschrijf ik de conclusie dat waterstofopslag een belangrijk en noodzakelijk middel zal zijn voor het behouden van de vraag-aanbodbalans in het toekomstige energiesysteem.13 De locaties waar deze ondergrondse opslag in zoutcavernes plaats kan vinden zijn echter schaars, waardoor het van belang is dat alle marktpartijen hiertoe op basis van non-discriminatoire voorwaarden toegang tot kunnen krijgen. Bij (aard)gas geeft de wet zowel ruimte aan private marktpartijen als netwerkbedrijven om opslaginstallaties te ontwikkelen en te beheren. In welke mate eenzelfde systematiek gewenst is voor waterstof ben ik nog aan het verkennen en zal ik in de aankomende consultatie over de ordening van de waterstofmarkt ook aan de markt voorleggen.
De vraag of het wenselijk is dat netwerkbedrijven ook actief zijn op het gebied van elektrolyse moet mede worden bezien in het antwoord op vraag 4. Zoals gezegd wordt elektrolyse vanuit het elektriciteitssysteem bezien gezien als energieopslag. Uit de totstandkomingsgeschiedenis van de Wet VET volgt dat deze activiteit expliciet is voorbehouden aan private partijen.14 Vanuit het gas- en waterstofsysteem is elektrolyse in de eerste plaats een productieactiviteit. Meerdere marktpartijen en consortia zijn al bezig met het ontwikkelen van plannen voor (grootschalige) elektrolyse. Elektrolyse is dus, zoals gezegd, een activiteit die is voorbehouden aan private partijen. Wel constateer ik dat het noodzakelijk is om de ontwikkeling van elektrolyse-installaties door marktpartijen te ondersteunen. Hiertoe hoop ik rond de zomer een subsidie-instrument open te stellen. Ook zijn in het Coalitieakkoord aanvullende middelen toegezegd voor hoogwaardige hernieuwbare energiedragers, waaronder waterstof. Daarnaast beraad ik mij, zoals toegelicht in de Kamerbrief over marktordening en marktontwikkeling waterstof, mede in het licht van het antwoord op vraag 3, op de ruimte die ik netwerkbedrijven in de nieuwe Energiewet wil bieden voor betrokkenheid bij de ontwikkeling van elektrolyse-installaties in het geval de markt zich niet voldoende (snel) ontwikkeld.

Vraag 6

Welke gevolgen heeft deze uitspraak voor de lopende pilot van Gasunie voor groene waterstofopslag in een zoutcaverne, waarbij nu ook een elektrolyser actief is en op hun locatie staat?

Voor wat betreft de pilot rondom de ondergrondse opslag van waterstof voorzie ik geen gevolgen. De Gaswet biedt momenteel ruimte aan Gasunie om dit te doen onder de voorwaarde dat vergunningstraject is doorgelopen en het is bewezen dat de opslag veilig kan worden gedaan voor mens en natuur.15 Zoals aangegeven in de kamerbrief over marktordening en marktontwikkeling waterstof ben ik de structurele marktordening rondom ondergrondse opslag van energie, waaronder waterstof, nog aan het verkennen. Hierin zal ik ook de rol van Gasunie betrekken.
Op dezelfde locatie als waar Gasunie een pilot uitvoert rondom de opslag van waterstof staat nu ook een elektrolyse-installatie van 1 MW als demonstratieproject. Hoewel ik zoals gezegd in principe geen rol zie voor netwerkbedrijven zoals Gasunie op het gebied van elektrolyse, ben ik voornemens om middels een overgangsregime tijdelijk ruimte te bieden om dergelijke lopende en kleinschalige pilots voort te kunnen zetten.

Vraag 7

Bent u bereid de aanstaande Energiewet dusdanig in te richten dat het voor netwerkbedrijven mogelijk wordt om zowel elektrolysers als (duurzame)energieopslagfaciliteiten te beheren, dan wel in bezit te hebben?

Zie beantwoording vraag 5 en 6.

Vraag 8

Deelt u de mening dat de ACM de energietransitie in de weg loopt door bestaande wet- en regelgeving van eigen interpretaties te voorzien, waarbij het te eenzijdig probeert de rol van semi-publieke partijen in te perken en de rol van marktwerking of van (soms nog niet eens bestaande) marktpartijen te vergroten?

Nee, ik deel die mening niet. Het is de taak van de ACM als toezichthouder om de regelgeving voor de energiesector te interpreteren en toe te zien op de naleving hiervan. Het handelen van de ACM wordt daarbij gecontroleerd door de rechter op het moment dat belanghebbenden beroep aantekenen tegen een besluit van de ACM. Indien de wetgever het niet eens is met de interpretatie van de ACM of de rechter of vanwege veranderende (markt)omstandigheden van mening is dat de huidige regelgeving niet meer passend of voldoende duidelijk is, dan is het aan de wetgever om de wetgeving te wijzigen en te verduidelijken.

Vraag 9

Bent u bereid hierover met de ACM in gesprek te gaan?

Zie beantwoording vraag 8.

Vraag 10

Bent u tot slot bereid om ons bestaande mededingingsbeleid, inclusief handhavingsstructuur, eens goed tegen het licht te houden en waar nodig aan te passen aan de grote transities die wij zowel nationaal als Europees in gaan zetten om klimaatverandering een halt toe te roepen?

Het mededingingsbeleid is gericht op het beschermen van het concurrentieproces en de consument binnen de volle breedte van de economie. Niettemin wordt op zowel nationaal als Europees niveau gekeken op welke wijze klimaatdoelstellingen kunnen worden meegewogen bij het mededingingsbeleid. Zo heeft de ACM een Leidraad duurzaamheidsafspraken gepubliceerd die aangeeft in welke gevallen concurrenten kunnen samenwerken om bij te dragen aan het bestrijden van de klimaatcrisis en andere duurzaamheidsdoelen.16 Eurocommissaris voor de mededinging Vestager heeft recent haar visie uiteengezet op de wijze dat mededingingsbeleid kan bijdragen aan het realiseren van de Green Deal.17 Deze ontwikkelingen volgt het kabinet op de voet en draagt hier actief aan bij.

Vraag 1

Bent u bekend met signalen dat het systeem van de Dienst Uitvoering Onderwijs (DUO) «instabiel» is als het gaat om het afgeven van ouderverklaringen voor de aanvraag van het stichten van een nieuwe school in het primair- of voortgezet onderwijs? Zo ja, om hoeveel signalen gaat dit en wat is hierbij de oorzaak?1

Ik ben ermee bekend dat er door sommige ouders problemen zijn ervaren in het afgeven van ouderverklaringen. Één ouder heeft daarover rechtstreeks bij DUO een melding gedaan. Deze ouder kon geen ouderverklaring afgeven omdat het betreffende kind buiten het (geografische) voedingsgebied viel. Dit is ook aan de ouder toegelicht. Daarnaast zijn er door of namens 6 initiatiefnemers (uit Kerkrade, Utrecht, Den Haag, Maastricht en IJsselstein) 11 vragen gesteld over de beschikbaarheid van het systeem bij DUO. Ruim de helft is terug te leiden naar een storing op 18 juli op het portaal van DUO. Eén vraag had te maken met een ouder die moeite had met inloggen bij DigiD. Door de gemeente Kerkrade zijn daarnaast nog negen schermafbeeldingen gedeeld van foutmeldingen. In acht van deze gevallen ging het om trage laadtijden bij DUO wat uiteindelijk leidt tot een foutmelding (zie ook het antwoord op vraag 2) en in één geval om problemen met de DigiD instellingen bij de ouder zelf.

Vraag 2

Klopt het dat tijdens het inloggen op Mijn Duo met DigiD het veelvuldig voorkomt dat ouders te maken krijgen met een foutmelding bij het invullen van de ouderverklaring zelf? Zo ja, welke stappen heeft u ondernomen om dit te verhelpen?

Ten opzichte van de bijna 3000 ouderverklaringen die tot nu toe met succes zijn afgegeven, is het in antwoord 1 genoemde aantal beperkt. Een grote groep ouders (ook bijna 3000) heeft echter te maken gehad met een «functionele melding». Deze groep voldoet niet aan de voorwaarden voor het afgeven van een ouderverklaring, zoals het hebben van een kind in de juiste leeftijdscategorie of woonachtig zijn in het wettelijke voedingsgebied van het initiatief. Mogelijk hebben de ervaringen van deze groep het beeld versterkt dat er iets technisch fout gaat. Verder is er eind augustus een storing van twee dagen geweest in MijnDUO en functioneert het systeem sindsdien minder snel dan de bedoeling is. De problemen betroffen het gehele particuliere portaal en zorgden ervoor dat ouders soms minder snel een ouderverklaring konden afgeven. Op dit moment ervaren ouders die een verklaring willen afgeven nagenoeg geen last meer van de effecten van de storing. De exacte bronoorzaak van de storing eind augustus is helaas nog steeds niet gevonden, maar er wordt alles aan gedaan om in de onderliggende infrastructuur de oorzaak te vinden. Ouders die toch problemen ondervinden kunnen contact opnemen met het telefoonnummer dat op site staat waar zij hun verklaring moeten afgeven. DUO kan desgewenst ouders helpen bij het invullen van de verklaring.

Vraag 3

Op welke manier zijn DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap aan de slag gegaan met de problemen, die onder andere de gemeente Kerkrade heeft gemeld, als het gaat om het aanmelden van ouderverklaringen? Wat hebben DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap concreet met deze signalen gedaan en op welke manier hebben zij dit teruggekoppeld aan de melders?

DUO heeft gesprekken gevoerd met de melders. In die gesprekken is samen bekeken waar de ervaren problemen vandaan kwamen. DUO heeft testen gedaan en in de systemen onderzocht of, en zo ja, welke problemen er zijn geweest en gemeld. De uitkomsten hiervan zijn verteld aan de melders. Met de gemeente Kerkrade specifiek is zowel voor als na de brief die de burgemeester uw Kamer gestuurd heeft veelvuldig contact geweest.

Vraag 4

Is het mogelijk om ouderverklaringen ook op een andere manier te verzamelen, bijvoorbeeld op papier via een notaris? Zo nee, waarom niet?

Bij het opstellen en de behandeling van de wet is om de volgende redenen gekozen voor de huidige systematiek van indienen van ouderverklaringen. Aan de ene kant bevordert DigiD de betrouwbaarheid en voorspellende waarde van de ouderverklaringen, omdat ouders niet zomaar hun verklaring kunnen afgeven en een initiatiefnemer bij wijze van spreken langs de deuren kan gaan voor handtekeningen. Aan de andere kant worden ouders niet onnodig gedwongen tot handelingen die voor het afgeven van de verklaring zelf niet ter zake doen, waarvan wel sprake zou zijn bij papieren ouderverklaringen. In het wetsvoorstel «Naar een flexibeler scholenbestand» uit 2000 werd voorgesteld om belangstellende ouders de ouderverklaring bij het gemeentehuis te laten indienen in aanwezigheid van een ambtenaar van de burgerlijke stand. Ten tijde van dit wetsvoorstel waren de digitale mogelijkheden beperkt en was deze constructie nodig om de betrouwbaarheid van de verklaring te vergroten. De Raad van State merkte hierover destijds op dat dit tijdsintensief en duur is. De huidige digitale mogelijkheden maken het mogelijk een unieke ouderverklaring online in een beveiligde omgeving af te geven en te verifiëren. Door gebruik te maken van DigiD wordt optimaal gebruik gemaakt van de bestaande digitale infrastructuur tussen burgers en overheid, waarmee de uitvoeringskosten en de lasten voor de burger beperkt worden. Daarnaast is de privacy van de burger er niet bij gebaat als initiatiefnemers lijsten onder zich hebben met meerdere persoonsgegevens van ouders en leerlingen. Ik vind dit daarom geen wenselijke optie.

Vraag 5

Klopt het dat DUO in reactie op klachten van inwoners aangeeft dat inwoners in het geval van een foutmelding zelf een administratie moeten bijhouden van de devices of verbindingen? Waarom neemt DUO hier zelf niet meer verantwoordelijkheid in?

Het klopt dat DUO in de gesprekken met één initiatief heeft gevraagd om zo concreet mogelijke informatie over de foutmelding, omdat DUO in de eigen systemen geen fouten zag die te relateren waren aan de klachten en toen ook nog geen signalen had van problemen bij andere initiatieven. DUO vraagt dus alleen om een administratie bij te houden van de problemen die worden ondervonden als laatste mogelijkheid om het probleem te onderzoeken en te voorzien van een oplossing.

Vraag 6

Wat betekenen de problemen bij DUO bij het afgeven van ouderverklaringen voor de deadline van 15 oktober 2021 voor het schooljaar 2023–2024? Is het mogelijk om gemeenten, die evident te maken kregen met foutmeldingen bij het aanleveren van ouderverklaringen, hierbij extra tijd te geven voor het verzamelen van voldoende ouderverklaringen?

Zoals gezegd is het aantal technische foutmeldingen op dit moment zeer beperkt. Tussen 7 en 20 september zijn bijna 2000 ouderverklaringen verstrekt. Dit is een grote toename, ook ten opzichte van de periode voordat er een storing plaatsvond bij MijnDUO. Ik vind het op basis hiervan een te grote ingreep om de wettelijke termijn voor het afgeven van ouderverklaringen op te rekken. Ouders die een initiatief willen steunen hebben hier nog enkele weken de tijd voor. Ik volg de ontwikkelingen rondom MijnDUO nauwgezet, net als het contact tussen DUO en de melders, en grijp in waar nodig.

Vraag 7

Kunnen deze vragen beantwoord worden voor het commissiedebat Digitalisering in het onderwijs van 30 september 2021?

Ja.

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «ROC Mondriaan in Den Haag gehackt: «Medewerkers staan werkloos bij de vestigingen»»?1

Ja.

Vraag 2

Welke gevolgen heeft de hack tot op heden voor docenten en studenten?

Zodra ROC Mondriaan de hack ontdekte, heeft het uit voorzorg alle systemen dichtgezet. Hiermee konden docenten en studenten niet meer bij hun documenten en veel van de applicaties werkten niet. In de week voorafgaand aan de opening van het nieuwe schooljaar heeft ROC Mondriaan er hard aan gewerkt om er voor te zorgen dat de school op maandag 30 augustus wel open kon gaan. Dit is gelukt. Het onderwijs aan de studenten is grotendeels doorgegaan, maar wel zonder gebruik van de bestanden en de meeste applicaties. Zodra het veilig kan, worden systemen, bestanden en applicaties toegankelijk gemaakt. Zo is op 6 september jl. weer een wifi-netwerk beschikbaar gesteld voor studenten en beschikken steeds meer docenten weer over een laptop. Ook worden alternatieve oplossingen gezocht in het kader van het waarborgen van de continuïteit van het onderwijs. Zo worden bijvoorbeeld examens afgenomen bij andere instellingen.

Vraag 3

Wanneer verwacht u dat de systemen weer volledig toegankelijk zijn?

Dat is op dit moment niet te zeggen. ROC Mondriaan heeft een gespecialiseerd forensisch IT-bedrijf ingeschakeld en SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack. Geleidelijk aan gaan er meer systemen open, maar alleen als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt voordat alle systemen weer opnieuw zijn opgebouwd. Daarbij voert ROC Mondriaan meteen verbeteringen door in de informatiebeveiliging zoals multifactor authenticatie (MFA) voor studenten.

Vraag 4

Welke acties onderneemt u om de start van het schooljaar in goede banen te leiden?

ROC Mondriaan heeft er hard aan gewerkt om het nieuwe schooljaar zo goed mogelijk te beginnen. Ik sta in nauw contact met de instelling en waar nodig zal ik ROC Mondriaan ondersteunen.

Vraag 5

Wanneer wordt de uitkomst verwacht van het digitaal onderzoek naar de omvang van de hack?

Dat is op dit moment niet te zeggen.

Vraag 6

Is al duidelijk of er bij de hack ook gegevens over studenten of docenten zijn buitgemaakt en zo ja om welk soort gegevens gaat het dan en wanneer worden studenten en docenten hierover geïnformeerd?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 7

Zijn andere ROC ’s goed toegerust op het voorkomen van een soortgelijke hack?

Er worden binnen de mbo-sector diverse initiatieven genomen om het risico op dit soort aanvallen te beperken. De mbo-instellingen vormen op het gebied van informatiebeveiliging een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd. Er wordt veel samengewerkt met SURF en gebruikgemaakt van diverse diensten van SURF. Zo dragen veel mbo-instellingen bij aan het Cyberdreigingsbeeld van SURF en hebben 11 mbo’s dit jaar meegedaan aan de tweejaarlijkse cybercrisisoefening OZON, die SURF samen met de instellingen organiseert. Ook bereiden de eerste mbo’s zich voor op aansluiting op SURFsoc, het via SURF aangeboden Security Operations Centre dat de instellingen in staat stelt om tijdig inbraakpogingen in het netwerk te signaleren en in te grijpen.
Binnen de mbo-sector wordt jaarlijks een benchmark afgenomen op het gebied van informatiebeveiliging, privacy en examinering, de Benchmark IBP-E. Sinds 2019 doen alle mbo-instellingen hieraan mee.
De lessen die we leren uit dit incident zullen benut worden voor de informatiebeveiliging van de gehele MBO-sector.

Vraag 8

Hoe voorkomt u dat een dergelijke hack in de toekomst nogmaals plaatsvindt op een ROC?

Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren, zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc. Ik zal met de MBO Raad in gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee2.

Vraag 1

Bent u bekend met het bericht ««Clearview AI Offered Free Facial Recognition Trials To Police All Around The World»«?1

Ja.

Vraag 2

Herinnert u zich dat u in maart 2020 in antwoorden op Kamervragen van het lid Verhoeven aangaf dat: «voor zover ik heb kunnen nagaan werken er geen Nederlandse opsporingsdiensten samen met Clearview»?2

Ja.

Vraag 3

Herinnert u zich de antwoorden van de Minister van Justitie en Veiligheid op Kamervragen van het lid Buitenweg (Groenlinks) waarin de Minister stelde dat: «ik heb mij reeds enkele weken geleden, toen op het internet de eerste melding werd gemaakt van Clearview in relatie tot de Nederlandse politie, laten informeren door de politie. Zij zijn niet centraal benaderd door Clearview, zijn niet op de hoogte van contacten met dat bedrijf, en hebben geen producten afgenomen.»3

Ja.

Vraag 4

Hoe verklaart u dat volgens nieuw onderzoek op basis van interne data van Clearview AI blijkt dat de Nationale Politie tussen de 51 en 100 keer gebruik heeft gemaakt van Clearview AI?

De logbestanden waar BuzzFeed News naar verwijst dateren van vóór februari 2020. Dat geldt ook voor de uitgelekte klantenlijst waar BuzzFeed News eerder een artikel over schreef en waar u in maart 2020 schriftelijke vragen over heeft gesteld.
In de publicatie van BuzzFeed News wordt aangehaald dat in de gelekte data van Clearview bevragingen zijn geregistreerd met als aanvrager iemand die geassocieerd wordt met het «National Police Corps». Bij uitvraag binnen de politie is hiervan niet gebleken. BuzzFeed News heeft geen nadere informatie verstrekt die zeer gericht navragen mogelijk maakt.
In het artikel in BuzzFeed News wordt verwezen naar een bijeenkomst bij Europol eind 2019, waar testaccounts beschikbaar zijn gesteld. Op navraag is niet gebleken dat door medewerkers van de Nederlandse politie op of naar aanleiding hiervan gebruik is gemaakt van een testaccount.
In antwoord op de eerder gestelde schriftelijke vragen gaf de Minister van Justitie en Veiligheid aan dat de politie niet centraal is benaderd door Clearview, niet op de hoogte is van contacten met dat bedrijf, en met dat bedrijf geen relatie is aangegaan om daarvan producten af te nemen. De politie heeft in haar reactie aan de Volkskrant naar aanleiding van dit bericht van BuzzFeed News, maar ook naar aanleiding van deze set Kamervragen, wederom benadrukt dat de politie niet met Clearview werkt en dit ook niet van plan is.
De enige applicatie die de politie gebruikt waarin biometrische gezichtsherkenningstechnologie wordt toegepast is Catch. De politie heeft een interne beleidslijn die het inzetten van andere toepassingen van gezichtsherkenningstechnologie in de operationele processen van de politie verbiedt, tenzij er tevoren een positief advies is op basis van een juridisch ethische toets, dit ter beoordeling van de gezamenlijke portefeuillehouders Ethiek en Digitalisering. Dit heeft nog niet geleid tot goedkeuring van een ander gebruik van biometrische gezichtsherkenningstechnologie dan Catch.
Het is echter niet uit te sluiten dat een individuele politiemedewerker een keer de website van Clearview heeft bezocht en een aantal bevragingen heeft gedaan. Dat betekent niet dat dit systeem operationeel is ingezet. Het is daarnaast, door gebrek aan nadere informatie van zowel BuzzFeed News als Clearview AI, ook niet uit te sluiten dat iemand zich als politiemedewerker heeft voorgedaan.

Vraag 5

Was u op de hoogte van het gebruik Clearview AI binnen de politie en overheid? Zo ja, waarom heeft u de Kamer hier niet over geïnformeerd? Zo nee, hoe is het mogelijk dat ondanks verschillende verzoeken vanuit de Kamer om het gebruik van Clearview AI te inventariseren, dit vervolgens niet naar boven is gekomen?

Zoals eerder aangegeven heeft de politie verklaard geen gebruik te maken van Clearview en dat ook niet van plan is. De informatie waar BuzzFeed News naar verwijst is door mij en door de politie niet te verifiëren. Uiteraard is de politie alert op signalen waaruit zou kunnen blijken dat er toch gebruik is gemaakt van dit systeem. De Functionaris Gegevensbescherming van de politie heeft hierover ook contact met de Autoriteit Persoonsgegevens. Noch in de financiële administratie van de politie, noch bij de afdelingen die betrokken zijn bij digitaal onderzoek is een aanwijzing gevonden dat er gebruik gemaakt zou zijn van Clearview.

Vraag 6

In welke context werd gebruik gemaakt van Clearview AI door de nationale politie? Zijn er ook financiële betalingen verricht aan het bedrijf Clearview AI?

De politie heeft in maart 2020 en in juni jl. naar aanleiding van Wob-verzoeken openbaar gemaakt dat er geen documenten zijn die zien op afspraken over het gebruik van Clearview. In de beantwoording van de vragen van uw Kamer in maart 2020 heb ik mij laten informeren door de politie. Zij zijn niet op de hoogte van contacten met dat bedrijf en hebben geen producten afgenomen. De politie heeft dit ook toen nagezocht, ook in haar financiële administratie.

Vraag 7

Hoe is de afweging gemaakt of de concrete toepassing van gezichtsherkenning en het verwerken van biometrische gegevens wel in lijn was met mensenrechten en de Algemene Verordening Gegevensbescherming (AVG)? Is het gebruik van Clearview AI überhaupt verenigbaar met de AVG?

In de Kamerbrief van 20 november 2019 over waarborgen en kaders bij gebruik van gezichtsherkenningstechnologie schreef de Minister van Justitie en Veiligheid dat in onze democratische rechtsorde en omwille van onze nationale veiligheid het gebruik van technologieën als biometrische gezichtsherkenningstechnologie onderworpen dient te zijn aan duidelijke kaders.4 De bescherming van de persoonlijke levenssfeer is immers een grondrecht. Inbreuk op dat grondrecht – en het vastleggen van iemands gelaat is dat – is alleen toegestaan als aan een aantal wettelijke waarborgen wordt voldaan.
Voor de verwerking van persoonsgegevens die nodig zijn voor de uitoefening van de politietaak is er een speciale wet: de Wet politiegegevens (Wpg). De Wpg biedt de grondslag en nadere regulering voor het verwerken van deze gegevens. Bij de toepassing van gezichtsherkenningstechnologie ten behoeve van identificatie wordt gebruik gemaakt van biometrische gegevens. Biometrische gegevens zijn bijzondere persoonsgegevens waarvoor strengere regels gelden. De politie mag deze gegevens alleen verwerken als dit onvermijdelijk is voor het doel van de verwerking en in aanvulling op het verwerken van andere politiegegevens over de betreffende persoon. Voor een uitgebreidere toelichting op het wettelijke kader verwijs ik u naar de bovengenoemde Kamerbrief.
Het gebruik van Clearview is niet verenigbaar met de wettelijke bepalingen en is in strijd met onze grondrechten. Het verzamelen en verwerken van persoonsgegevens ten bate van strafvordering moet gericht zijn op een concreet doel, moet gebaseerd zijn op de wet, en moet voldoen aan de beginselen van proportionaliteit en subsidiariteit. En hierop moet toezicht mogelijk zijn.
Nu een grondslag voor verkrijging van beelden of biometrische kenmerken met gebruikmaking van Clearview niet aanwezig wordt geacht, hoeft en kan een vraag naar de compatibiliteit van verwerking van dergelijke gegevens met de daarvoor geldende regels niet in detail te worden beantwoord.

Vraag 8

Is er gebruik gemaakt van via Clearview AI gemaakte matches in strafzaken? Zo ja, welke impact heeft dit op de rechtmatigheid van deze zaken?

Nee.

Vraag 9

Kunt u nogmaals beantwoorden welke publieke organisaties er verder gebruik gemaakt hebben van de omstreden gezichtsherkenningssoftware? Welke financiële afspraken zijn er gemaakt met Clearview AI?

Er is mij niets bekend over het gebruik van Clearview door Nederlandse publieke organisaties, dan wel over financiële afspraken met Clearview.

Vraag 10

Welke stappen gaat u ondernemen om te zorgen dat er in de toekomst niet zomaar gebruik kan worden gemaakt van Clearview AI en soortgelijke bedrijven?

Op 20 december 2019 hebben de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming het onderzoek «Toezicht op gebruik van algoritmen door de overheid» aan uw Kamer aangeboden.5 De onderzoekers constateerden op basis van een analyse van wet- en regelgeving geen juridische lacune in de toezichtstaken. Ik zie daarom geen aanleiding tot het zetten van extra stappen.

Vraag 11

Heeft u kennisgenomen van het rapport «The Rise and Rise of Biometric Mass Surveillance in the EU», van de organisatie European Digital Rights (EDRi), waarin het gebruik van biometrische surveillance in drie lidstaten, waaronder Nederland, onder de loep wordt genomen?4 Wat is uw reactie op dit rapport?

Ja, ik heb kennisgenomen van dit rapport. Ik beschouw het rapport als een overzichtsrapportage. De gepresenteerde informatie en de punten van kritiek zijn al eerder gepubliceerd in Nederlandse kranten, op nieuwswebsites en in publicaties. Verschillende leden van uw Kamer hebben hier al vragen over gesteld. Ik ben in de antwoorden op die vragen al ingegaan op de beschreven punten van kritiek. Ik zie geen aanleiding daar iets aan toe te voegen.

Vraag 12

Deelt u de conclusie van het rapport dat de verzameling van biometrische gegevens sterk toeneemt en dat dit vaak niet in overeenstemming is met de AVG, omdat er in de meeste gevallen geen sprake is van zwaarwegend algemeen belang om biometrische surveillance te rechtvaardigen, en burgers ook niet om toestemming wordt gevraagd?

Deze conclusie is te algemeen geformuleerd. Met de snelle ontwikkeling van de technologie neemt de dataverzameling inderdaad sterk toe. Om te voorkomen dat er sprake is van ongebreidelde en ongerichte dataverzameling kent de AVG een aantal waarborgen. Een daarvan is het principe van doelbinding. De algemene regel is dat persoonsgegevens alleen mogen worden verwerkt als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Omgekeerd betekent dit ook dat data niet mag worden verzameld zonder (wettelijk toegestaan) doel. Of de dataverzameling in overeenstemming is met de AVG hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Biometrische surveillance, in de zin van real time gezichtsherkenning, wordt op dit moment in Nederland niet gedaan.

Vraag 13

Wat gaat u ondernemen om de onrechtmatige verzameling van biometrische gegevens een halt toe te roepen?

In de Kamerbrief van 20 november 2019 heeft de Minister van Justitie en Veiligheid duidelijk gemaakt dat het verwerken van biometrische gegevens alleen kan indien daar een wettelijke basis voor is, en indien er vooraf een juridisch en ethische toetsing is uitgevoerd.7 Vanuit de Nederlandse overheid is er daarom geen steun voor het gebruik maken van toepassingen als Clearview die als onrechtmatig worden beoordeeld.
Voor betrokkenen die van mening zijn dat er toch op onrechtmatige basis biometrische gegevens worden verzameld staat binnen Nederland de weg naar de Autoriteit Persoonsgegevens open. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Bij overtredingen kan zij boetes opleggen.
In mijn antwoord op eerdere vragen over Clearview gaf ik aan dat Clearview vooral actief is in de Verenigde Staten. Het is primair aan de autoriteiten in dat land om te bezien of er in strijd met de wet is gehandeld. Inmiddels zien we dat de Amerikaanse politiek op het niveau van de Senaat hier aandacht voor heeft. Als iemand vermoedt dat zijn of haar foto door Clearview wordt gebruikt en zich daartegen wil verzetten, zal men zich tot dat bedrijf of de betrokken toezichthouder in de Verenigde Staten moeten wenden.

Vraag 14

Kunt u elke vraag apart beantwoorden?

Ja.

Vraag 1

Wat is uw oordeel over het bericht dat de datadiefstal bij de GGD veel groter is dan gemeld en dat gedupeerden niet zijn geïnformeerd?1

Ik heb kennisgenomen van het bericht en contact opgenomen met GGD GHOR Nederland. Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd.

Vraag 2

Wanneer werd bekend bij de GGD dat de gegevens van veel meer mensen zijn gestolen dan eerder werd gemeld?

In juni kreeg GGD GHOR Nederland het signaal dat RTL mensen benaderde met de vraag of zij geïnformeerd waren door GGD GHOR Nederland dat hun data deel uitmaakte van de datadiefstal. GGD GHOR Nederland heeft daarop RTL benaderd met de vraag of RTL beschikte over (nieuwe) databestanden gestolen uit de systemen van de GGD. GGD GHOR Nederland heeft RTL twee keer gevraagd om eventuele bestanden met hen of de politie te delen in het kader van het onderzoek en het informeren van getroffen burgers. RTL heeft dit verzoek beide keren op journalistieke gronden naast zich neergelegd.
Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL niet te zeggen. RTL geeft aan dat zij de bestanden eerder dit jaar hebben verkregen en daarvan een tiental personen te hebben gebeld met de vraag of zij zijn geïnformeerd door de GGD. Omdat RTL de bestanden niet wil delen (en stelt deze inmiddels verwijderd te hebben) kan niet worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.

Vraag 3

Hoe komt het dat de GGD onvoldoende in kaart heeft van welke mensen de gegevens zijn gestolen?

GGD GHOR Nederland heeft destijds door externe partijen onderzoek laten doen naar de datadiefstal binnen de systemen CoronIT en HPZone. Uit deze onderzoeken zijn geen aanwijzingen gevonden om te stellen dat de datadiefstal groter is dan gemeld. De resultaten van die onderzoeken zijn gedeeld met de politie.
De politie doet strafrechtelijk onderzoek naar de datadiefstal uit systemen van de GGD onder gezag van het openbaar ministerie. Het onderzoek is lopend en tot nu toe zijn zeven verdachten aangehouden. De politie heeft aan GGD GHOR Nederland de bestanden die aangetroffen zijn bij verdachten doorgegeven. Op basis van die bestanden zijn circa 1.250 mensen door GGD GHOR Nederland per brief geïnformeerd. Een organisatie kan alleen mensen informeren waarvan zij weet dat zij gedupeerd zijn.
Zoals eerder aan uw Kamer gemeld heeft GGD GHOR Nederland direct nadat de datadiefstal in januari bekend werd aanvullende maatregelen getroffen om datadiefstal te detecteren en tegen te gaan.2

Vraag 4

Wanneer bent u op de hoogte gebracht van het feit dat de datadiefstal veel meer mensen betrof dan zijn geïnformeerd? Waarom heeft u de Kamer hier niet van op de hoogte gesteld?

In eerdere brieven heb ik uw Kamer geïnformeerd over de potentiële slachtoffers van de datadiefstal en de communicatie van GGD’en richting de vastgestelde slachtoffers. GGD GHOR Nederland kan de vermeende gedupeerden in het meest recente bericht van RTL niet verifiëren omdat RTL niet is ingegaan op het verzoek van GGD GHOR Nederland om inzage te geven in de gegevens of het bestand te delen.

Vraag 5

Hoe kon het gebeuren dat slechts 1250 mensen zijn geïnformeerd dat hun data is gestolen, terwijl het nu om «vele duizenden tot tienduizenden personen» blijkt te gaan?

Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL niet te zeggen. De 1.250 personen waarvan kon worden vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd. Een ieder die meer informatie heeft roep ik op deze informatie te delen met de politie.

Vraag 6

Hoe gaat u ervoor zorgen dat alle mensen van wie de gegevens zijn gestolen hierover zo snel mogelijk worden geïnformeerd?

Alle personen waarvan is vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd.

Vraag 7

Kunt u een volledig overzicht geven van hoeveel mensen zijn getroffen door de datadiefstal bij de GGD en hoeveel mensen hiervan op de hoogte zijn gesteld?

De politie doet strafrechtelijk onderzoek naar de datadiefstal en heeft aan GGD GHOR Nederland de namen van gedupeerden doorgegeven die zijn aangetroffen bij de betreffende verdachten. Het betreft circa 1.250 mensen en zij zijn allemaal door GGD GHOR Nederland per brief geïnformeerd.

Vraag 8

Hoe staat het inmiddels met de informatieveiligheid bij de GGD, in het bijzonder binnen CoronIT en HPZone Lite? Zijn alle stappen die in de Kamerbrief van januari hierover zijn aangekondigd reeds doorlopen?

Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 2 februari 20213, 12 februari 20214, 23 februari 20215, 23 maart 20216, 13 april 20217, 11 mei 20218, 18 juni 20219, 6 juli 202110 en 13 augustus 202111.

Vraag 9

Wat is er gebleken uit de externe audit die is uitgevoerd? Zijn daaruit nog resterende risico’s op het gebied van informatieveiligheid naar boven gekomen?

Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 11 mei 202112, 13 en 18 juni 202114.

Vraag 1

Hebt u kennisgenomen van de gevolgen van het hackschandaal met behulp van de Pegasus-software waarbij door landen die de software van het Israëlische particuliere bedrijf NSO hebben aangeschaft tal van politici, journalisten, advocaten en mensenrechtenverdedigers in tal van landen hebben afgeluisterd?1 Deelt u de opvatting over soft ware van NSO dat «Targeted surveillance is a serious threat facing human rights defenders globally. Though often carried out by states, this practice is enabled by digital surveillance tools provided by private companies?»2 Zo nee, waarom niet?

Ja, het kabinet heeft kennisgenomen van de berichtgeving.
In algemene zin kan gesteld worden dat de (online) veiligheid van mensenrechtenverdedigers en journalisten een mensenrechtenprioriteit is van het Nederlandse buitenlandbeleid. Onder leiding van Nederland en Estland heeft een coalitie van 32 landen (de Freedom Online Coalition) in 2020 een gezamenlijke verklaring uitgebracht over «the human rights impact of cybersecurity laws, practices and policies». In de verklaring werd onder andere gewezen op mensenrechtenrisico’s die voortkomen uit het gebruik van bepaalde technische middelen, als die op onwettige of willekeurige wijze worden ingezet. Landen werden opgeroepen om wetgeving en beleid voor cyberveiligheid te ontwikkelen die in overeenstemming zijn met internationaal mensenrechtenkader. Potentiële negatieve effecten op kwetsbare groepen en het maatschappelijk middenveld, waaronder mensenrechtenverdedigers en journalisten, zouden tot een minimum moeten worden beperkt.
Bepaalde cybersurveillancegoederen en -technologieën staan ingevolge het potentiële gebruik in civiele of militaire toepassingen onder exportcontrole. Dit geldt ook voor goederen voor het maken en besturen van binnendringsoftware. Nederland spant zich internationaal in om aanvullend cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. In het Wassenaar Arrangement vergt dit consensus van alle deelnemende landen. Deze goederen zijn in de EU gecontroleerd via de EU Dual-Use-verordening. De herziene EU Dual-Use-verordening die op 9 september 2021 in werking treedt, bevat een expliciete uitbreiding van controles op de export van cybersurveillancetechnologie.

Vraag 2

Is u bekend dat ook Nederlandse politici, advocaten, mensenrechtenverdedigers en journalisten via andere landen die Pegasus-software gebruiken zijn gehackt? Kunt u melden om hoeveel personen het gaat en welke beroepen zij hebben? Zo nee, waarom niet?

Nee, dat is het kabinet niet bekend. Het kabinet beschikt niet over de lijst waarop nummers zouden staan van personen die zijn gehackt met het middel. Overigens is ook de status van deze lijst niet geheel duidelijk. Daarnaast beschikt het kabinet evenmin over een lijst van telefoonnummers van Nederlandse politici, journalisten, advocaten en mensenrechtenverdedigers, die dan zou kunnen worden vergeleken met de nummers op de eerdergenoemde lijst.

Vraag 3

Zijn er Nederlandse instellingen die gebruik maken van Pegasus-software?3 Zo ja, welke? Hebt u contact opgenomen met deze instellingen naar aanleiding van dit nieuws?

In het algemeen geldt dat het Nederlandse instellingen niet is toegestaan binnen te dringen in geautomatiseerde werken. Uitzonderingen zijn gemaakt voor justitie en politiediensten ter opsporing van strafbare feiten, en voor inlichtingen- en veiligheidsdiensten ter bescherming van de nationale veiligheid. Deze organisaties kunnen onder omstandigheden en omgeven door waarborgen bijzondere bevoegdheden inzetten. Over de wijze waarop deze organisaties gebruikmaken van hun wettelijk toegekende bijzondere bevoegdheden kan ik in het openbaar geen mededelingen doen. Tot slot kan het, voor zover het mandaat daartoe opdracht geeft en de juridische kaders dat toelaten, ook de Krijgsmacht toegestaan zijn om in het kader van militaire missies en operaties geautomatiseerde werken binnen te dringen.

Vraag 4

Hebben deze Nederlandse instellingen contact opgenomen met NSO, de leverancier? Zo ja, wat was de inzet en wat het resultaat? Deelt u de opvatting dat een einde moet worden gemaakt aan het gebruik van deze software? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 5

Hebt u kennis genomen van de veroordeling tot zes jaar gevangenisstraf voor de Marokkaanse journalist Omar Radi, een veroordeling op basis van chats die zijn verkregen met behulp van een met Pegasus-software gehackte telefoon?4

Het kabinet heeft kennisgenomen van de berichtgeving in de media over veroordeling en vermeende hacks van de telefoon van Omar Radi. Nederland volgt de ontwikkelingen in de rechtsgang tegen Omar Radi. Het kabinet beschikt echter niet over het vonnis en kan niet aangeven op basis van welke bewijslast Omar Radi is veroordeeld.

Vraag 6

Deelt u de opvatting dat het hier om een politieke veroordeling gaat en dat deze moet worden afgekeurd zeker nu blijkt dat gebruik wordt gemaakt van hacking? Zo nee, waarom niet?5

Nederland volgt rechtszaken tegen journalisten in Marokko nauwlettend. Nederland heeft geen beschikking gekregen over de tekst van het vonnis en kan geen uitspraken doen of de veroordeling heeft plaatsgevonden op basis van gegevens verkregen door hacking. Het is aan de Marokkaanse autoriteiten om een eerlijke rechtsgang te garanderen.

Vraag 7

Deelt u de opvatting dat de buitenlandse politiek ten opzichte van Marokko aan herziening toe is? Zo nee, waarom niet? Zo ja, wat betekent dat voor uw houding ten opzichte van de Marokkaanse regering in het licht van «onuitzetbaren» uit Nederland naar het veilige land Marokko? Is Marokko een veilig land en kunnen uitgeprocedeerde asielzoekers worden teruggestuurd?

De betrekkingen tussen Nederland en Marokko zijn veelzijdig en complex en omvatten veel wederzijdse belangen. Deze relatie is, net als relaties met andere landen, voortdurend in beweging. In die brede context blijft Nederland onverminderd inzetten op medewerking van Marokko aan effectieve terugkeer van Marokkanen zonder geldige verblijfstitel.
De beoordeling met betrekking tot Marokko als veilig land is terug te vinden in de brief aan uw Kamer van 6 mei 2021.6

Vraag 8

Deelt u de kritiek van de EU dat gebruik van het Pegasus-software onaanvaardbaar is? Zo ja, op welke manier hebt u daarvan mededeling gedaan en aan wie?6

De wijze waarop in de mediaberichtgeving wordt bericht dat de hacksoftware wordt ingezet, namelijk het onrechtmatig afluisteren van advocaten, politici, mensenrechtenverdedigers en journalisten, acht het kabinet eveneens onaanvaardbaar.

Vraag 1

Bent u bekend met het bericht «Coronavirus en de uitfasering van Interconnecting Leased Lines (ILL) en (WLR) ISDN 15/20/30/30CPA1»? Wat vindt u daarvan?

Ja, ik ben bekend met dit bericht. De uitfasering van de genoemde diensten en onderliggende technieken is de laatste stap in het uitfaseren van de traditionele technologieplatformen van KPN. KPN is sinds 2017 bezig met het afschakelen van deze technieken.2 Het aantal gebruikers van deze traditionele diensten neemt namelijk al jaren gestaag af door de opkomst van digitale alternatieven zoals Voice over IP, hoogwaardige IP-breedbanddiensten en gebruik van mobiele telefonie. Ook is het onderhouden van verouderde technieken en bijbehorende diensten ingewikkeld, benodigde onderdelen van de apparatuur worden schaarser en maatwerkoplossingen bij de klant om de levensduur te rekken vergroten de kans op storingen. Ik vind het een logische en goede ontwikkeling dat de overstap naar hoogwaardigere technieken gemaakt wordt. Dit is in het belang van zowel de telecomaanbieder als de eindgebruiker. Oude technieken in de lucht houden voor een sterk afgenomen aantal klanten past daar niet bij. Uitfasering van diensten die aan het einde van hun levensduur zijn is onvermijdelijk en kan ook niet tegenhouden worden. Ik vind wel dat uitfasering zorgvuldig moet gebeuren en tijdig en duidelijk moet worden aangekondigd, en dat samen met de klanten die nog gebruik maken van de betreffende dienstverlening gekeken moet worden naar een passend alternatief. Dit vraagt om tijdige actie van zowel de telecomaanbieder als de klant zelf. Zoals in het door de vraagsteller aangehaalde bericht is vermeld, heeft KPN reeds op 20 juli 2018 aangekondigd dat deze dienstverlening wordt uitgefaseerd. Tele2, die voor de dienstverlening het KPN-netwerk gebruikt, heeft evenwel gecommuniceerd niet te gaan stoppen met de IDSN-30-dienstverlening.3 Dit heeft gezorgd voor verwarring bij klanten over het al dan niet moeten migreren naar andere technieken. Dit is onwenselijk en vraagt een passende oplossing. In het antwoord op de vragen 2 t/m 4 ga ik hier nader op in.

Vraag 2

Bent u ervan op de hoogte dat voor de uitfasering van ISDN30 en andere technieken door KPN een deadline wordt gehanteerd van 1 april 2022 en dat Tele2 een deadline hanteert van 1 oktober 2021 in plaats van april 2022? Bent u ervan op de hoogte dat belangenverenigingen Federatie Veilig Nederland (waaronder particuliere alarmcentrales) & WDTM (zorgtechnologie, e-health en zorginnovatie) aangeven dat, mede door de coronapandemie, de Tele2-deadline van 1 oktober 2021 veel te krap is, en dat een aantal leden van deze twee belangenverenigingen aangeeft de migratie naar een nieuwe oplossing voor tienduizenden cliënten niet tijdig te kunnen realiseren? Hoe beoordeelt u het risico dat alarmberichten en de daarachterliggende hulpvraag na 1 oktober wellicht niet meer worden ontvangen door de zorg- en alarmcentrales?

Vraag 3

Deelt u de de mening dat het onwenselijk is dat door een niet betrouwbaar netwerk de dienstverlening van de betreffende zorg- en alarmcentrales, veiligheidsrisico’s ontstaan? Zo nee, waarom niet?

Vraag 4

Bent u bereid te kijken naar een tijdelijke oplossing waarbij de continuïteit van de dienstverlening gewaarborgd blijft, zodat de cliënten en hun naasten zich geen zorgen hoeven te maken over de stabiliteit van hun netwerk en dus hun eigen veiligheid? Welke oplossing zou dat kunnen zijn?

Vraag 5

Kunt u deze vragen zo snel mogelijk beantwoorden, in ieder geval ruim voor 1 oktober 2021?

Ja.