Vraag 1

Bent u ervan op de hoogte dat de Europese Commissie in het komende jaar een nieuw besluit zal nemen over de voorwaarden waaronder de 2GHz-radiofrequentie, ook wel bekend als het S-band spectrum, gebruikt mag worden?

Vraag 2

Bent u ervan op de hoogte dat de twee bedrijven1 die in 2007 voor 20 jaar de licenties van het spectrum in handen kregen inmiddels zijn overgekocht door Amerikaanse partijen?2 Wat vindt u ervan dat deze licenties voor satellietcommunicatie niet meer in Europese handen zijn?

Vraag 3

Hoe reageert u op het gegeven dat het Amerikaanse SpaceX voor 17 miljard dollar aan communicatiefrequentie koopt bij EchoStar Corporation om particulier te gebruiken in het netwerk van Starlink?3 Is dit in lijn met uw visie op de vraag hoe de 2GHz-frequentie gebruikt zou moeten worden?

Vraag 4

Kunt u het vervolgproces toelichten over de vraag hoe de voorwaarden worden opgesteld waaronder de 2GHz-frequentie in de toekomst gebruikt mag worden? Op welke momenten vindt hierover besluitvorming plaats en wanneer worden er onomkeerbare besluiten genomen?

Vraag 5

Heeft de 2GHz-frequentie een strategisch belang, bijvoorbeeld voor defensieve of civiele doeleinden? Kunt u schetsen op welke manieren de frequentie in de komende 18 jaar gebruikt kan worden?

Vraag 6

Is bij u bekend of door het directoraat-generaal Defensie en Ruimte (DEFIS) een behoefte is geformuleerd om de 2GHz-frequentie voor het IRIS2-netwerk te gebruiken? Zo ja, kunt u toelichten wat deze behoefte is?

Vraag 7

Wat is uw visie op de ontwikkeling van een «direct-to-device» functie, waarmee communicatie tussen satellieten en doorsnee smartphones mogelijk wordt? Verwacht u dat dit een veelgebruikte toepassing gaat zijn voor consumenten of dat dit strategische toepassing voor defensie zal ondersteunen? Voor welk van deze doeleinden zal de 2GHz-frequentie in de toekomst worden ingezet?

Vraag 8

Deelt u de zorgen dat Deutsche Telekom, een (toekomstig) afnemer van de «direct-to-device» diensten van Starlink,4 belang heeft bij het verlenen van de 2GHz-frequentie aan een bedrijf dat zaken doet met SpaceX en tegelijkertijd betrokken is bij de besluitvorming van de Europese Commissie?

Vraag 9

Heeft u kennisgenomen van het adviesrapport van Detecon, een consultancybedrijf dat onder Deutsche Telekom valt, waarin de Europese Commissie wordt geadviseerd over de voorwaarden waaronder de 2GHz-frequentie in de toekomst verleend moet worden?5 Wat is uw reactie op dat rapport?

Vraag 10

Hoe borgen de Europese Commissie en lidstaten de onafhankelijkheid van de adviezen die worden betrokken bij de besluitvorming over het (mogelijke) toekomstige gebruik van de licenties voor de 2GHz-frequentie?

Vraag 11

Welke kaders gelden er voor de wijze waarop de Europese Commissie de licenties voor dit spectrum vaststelt? Aan welke voorwaarden moeten de licentiehouders (gaan) voldoen? Hoe wordt gewaarborgd dat deze licenties ten goede komen aan de Europese economie en autonomie?

Vraag 12

Wat zijn de uitkomsten van de consultatieronde van de Commissie bij de belanghebbenden rond deze spectrumbanden?6 Welke belanghebbenden zijn er? Zijn er Nederlandse belanghebbenden en hoe worden hun belangen meegewogen in de besluitvorming?

Vraag 13

Heeft Nederland een zienswijze over de voorwaarden waaronder de Europese Commissie voor de komende achttien jaar het gebruik van het 2GHz-frequentie moet aanbieden? Zo ja, kunt u die toelichten?

Vraag 14

Bent u het ermee eens dat toegang tot de 2GHz-frequentie niet aan de hoogste bieder moet worden verkocht, maar aan partijen die het maatschappelijk en strategische belang van de Europese Unie dienen?

Vraag 15

Bent u het ermee eens dat, gezien vanuit het perspectief van strategische autonomie en gezien de gespannen geopolitieke situatie, het van het grootste belang is dat de marktpartijen die toegang krijgen tot de 2GHz-frequentie volledig Europees zijn?

Vraag 16

Bent u het ermee eens dat het niet wenselijk is dat slechts één of enkele zeer grote telecomaanbieder(s) uit de grootste Europese landen toegang hebben tot dit spectrum ten koste van aanbieders uit kleinere landen?

Vraag 17

Bent u het ermee eens dat het wenselijk is dat er rond de 2GHz-frequentie een volwaardige wholesalemarkt (groothandelsmarkt) ontstaat, waar ook telecomaanbieders uit kleinere Europese landen toegang tot hebben en hierop innovatieve diensten kunnen ontwikkelen?

Vraag 18

Bent u bereid om aan te geven bij de Europese Commissie dat Nederland als voorwaarde stelt dat de 2GHz-frequentie alleen voor Europese partijen beschikbaar komt, en dat hierbij uitgesloten wordt dat bedrijven achteraf door niet-Europese partijen worden overgekocht?

Vraag 19

Is het mogelijk om in de voorwaarden die de Europese Commissie stelt op te nemen dat de partijen die de 2GHz-frequentie mogen gebruiken, worden verplicht om andere betrouwbare partijen wholesale toegang tot de frequentie te verlenen, zodat zij hier ook gebruik van kunnen maken?

Vraag 20

Bent u eveneens bereid om ervoor te pleiten dat de gegunde partijen op nationaal en internationaal niveau toegang moeten verlenen tot de 2GHz-frequentie aan andere betrouwbare partijen, zodat er geen risico ontstaat op een mono- of duopolie in heel Europa?

Vraag 21

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, nog vóórdat er onomkeerbare stappen worden gezet door de Europese Commissie?

Vraag 1

Kunt u reflecteren op de immateriële schaderegeling die DeHaan en de Nederlandse Aardolie Maatschappij (NAM) zijn overeengekomen?1

Vraag 2

Is hiermee volgens u voldoende recht gedaan aan het leed van de gedupeerden, de eisers, voor de mentale schade die zij hebben geleden als gevolg van de gaswinning?

Vraag 3

Gederfd woongenot wordt in de schadevergoeding, overeengekomen tussen de eisers en de NAM, vergoed, deelt u de mening dat dat een belangrijk succes is?

Vraag 4

In 2019 heeft de Hoge Raad bevestigd dat gederfd woongenot materiële schade is, hoe kan het dat er zes jaar later nog geen regeling is om alle gedupeerden met gederfd woongenot te compenseren?

Vraag 5

In januari 2025 gaf u in antwoord op Kamervragen aan dat er dit jaar een besluit zou worden genomen over een regeling voor gederfd woongenot, hoe ver staat het daarmee?2

Vraag 6

Vindt u dat een eventuele regeling van het Instituut Mijnbouwschade Groningen (IMG) inzake gederfd woongenot er grofweg hetzelfde uit moet komen te zien als de overeengekomen vergoeding tussen de DeHaan en de NAM?

Vraag 7

De immateriële schaderegeling van het IMG krijgt al zeer lange tijd een negatief rapportcijfer van de betrokkenen, wat vindt u daarvan? De laatste cijfers van het IMG laten zien dat de regeling nog steeds slechts een 5 scoort, deelt u de mening dat dit zeer onwenselijk is?3

Vraag 8

Erkent u de signalen van gedupeerden die immateriële schadevergoeding hebben aangevraagd dat ze zich niet erkend voelen door een regeling bedoeld om aangedaan leed te erkennen? Erkent u de signalen over ongelijkheid tussen gedupeerden door deze regeling? Kunt u uw antwoord toelichten?

Vraag 9

Hoe beoordeelt u dat er een verschil ontstaat tussen de immateriële schaderegeling zoals nu overeengekomen tussen de eisers en de NAM en de overige gedupeerden die aangewezen zijn op het IMG?

Vraag 10

Erkent u dat de in 2023 aangenomen motie-Beckerman (Kamerstuk 33 529, nr. 1126), met als dictum «verzoekt de regering te komen tot een rechtvaardige regeling voor immateriële schade, waarbij ook versterking en sloop/nieuwbouw worden meegenomen, ongewenste verschillen worden opgelost en de toegekende bedragen, met name voor kinderen, worden verhoogd», nog niet volledig is uitgevoerd?

Vraag 11

Bent u bereidt de immateriële schaderegeling van het IMG aan te passen?

Vraag 12

Wat vindt u van het feit dat er een jarenlang juridisch gevecht voor nodig is voordat de NAM haar verantwoordelijkheid neemt in het compenseren van de gelede immateriële schade?

Vraag 13

Hoe beoordeelt u bovenstaand juridisch gevecht dat ervoor nodig was om de NAM in beweging te krijgen mede in het licht van de NAM die ook weigert meerdere rekeningen voor het aangerichte leed in Groningen te betalen?

Vraag 1

Heeft u kennis genomen van het bericht «Honderden Georgiërs werken illegaal in hotels door «gat» in systeem»?1

Vraag 2

Bent u zich ervan bewust dat derdelanders zich op grote schaal via de sluiproute van (te) makkelijk te verkrijgen burgerservicenummers (BSN) toegang verschaffen tot de Nederlandse arbeidsmarkt?

Vraag 3

Klopt het dat uit een analyse van de Arbeidsinspectie blijkt dat duizenden migranten in de Registratie Niet-Ingezeten (RNI) onder een andere nationaliteit geregistreerd staan dan in de polis-administratie van het UWV en de Belastingdienst? Wat gaat u eraan doen om de registratie bij de RNI-loketten op orde te brengen?

Vraag 4

Hoeveel mensen beschikken naar schatting over een BSN, zonder dat zij het recht hebben om in Nederland te werken, inclusief ook (schijn)zelfstandigen en mensen die hier zwart werken?

Vraag 5

Bent u bereid om per direct te stoppen met het verstrekken van het BSN via de RNI-loketten? Bent u bereid om het BSN aan derdelanders, als onderdeel van de toets op het recht op verblijf en arbeid, voortaan door de Immigratie- en Naturalisatiedienst te laten verstrekken?

Vraag 6

Welke sancties bestaan er in het huidige wettelijk regime voor werkgevers die derdelanders illegaal te werk stellen, al dan niet via tussenkomst van een uitzendbureau? Bent u bereid om de wettelijke sancties zowel voor inleners als uitzendbureaus verder aan te scherpen?

Vraag 7

Welke sancties zijn er voor derdelanders die illegaal in Nederland werken, als zij door de Arbeidsinspectie worden aangetroffen? Wordt hun verblijfsstatus gecontroleerd en worden zij uitgezet indien zij geen verblijfsrecht hebben? Worden zij uitgeschreven bij het RNI-loket? Wordt hun BSN ingetrokken en de toegang tot overheidsdiensten (zoals een beroep op mogelijk onterecht opgebouwde socialezekerheidsrechten) ontzegd? Zo nee, waarom niet?

Vraag 8

Kunt u aangeven wat de stand van zaken is met betrekking tot de invoering van een aanwezigheidsmelding voor arbeidsmigranten direct na binnenkomst, ter vervanging van de registratie via de RNI? Bent u bereid om het verblijfsadres en contactgegevens bij de aanmelding verplicht te stellen, inclusief een verplichting tot adreswijziging bij verhuizing?

Vraag 9

Bent u bereid om deze vragen binnen twee weken te beantwoorden?

Vraag 1

Wat zijn de meest recente ontwikkelingen rondom het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?

Vraag 2

Wat is de stand van zaken omtrent de maatregelen die u aankondigde in uw brief van 1 september 2025?1 Kunt u dit per maatregel toelichten?

Vraag 3

Zijn inmiddels alle gedupeerden op de hoogte dat zij getroffen zijn door het datalek en is voor hen duidelijk welke data van hen is buitgemaakt?

Vraag 4

Heeft u gemerkt dat het datalek heeft geleid tot een lagere bereidheid om mee te doen aan volgende bevolkingsonderzoeken? Wat doet u om de deelname op peil te houden?

Vraag 5

Is gebleken dat gedupeerden van het datalek vaker het doelwit zijn van phishing, fraude en andere online criminaliteit? Heeft u cijfers of analyses waaruit dit blijkt?

Vraag 6

Hoe lang blijft het klantcontactcentrum van Bevolkingsonderzoek Nederland bereikbaar voor gedupeerden? Zorgt u ervoor dat gedupeerden altijd ergens terecht kunnen met zorgen en vragen?

Vraag 7

Heeft u op basis van uw contact met gedupeerden, of op basis van hun klachten en signalen, aanvullende acties ondernomen om tegemoet te komen aan hun behoeften?

Vraag 8

Bent u bekend met maatschappelijke initiatieven, zoals de Digitale Dolle Mina’s, die gedupeerden samenbrengen en informatie verschaffen?2 Hoe trekt u samen met deze initiatieven op om gedupeerden te bereiken?

Vraag 9

Is inmiddels duidelijk geworden hoe de hack en het datalek plaats hebben kunnen vinden? Zo ja, welke oorzaak lag daaraan ten grondslag en hoe gaat dit in de toekomst worden voorkomen? Zo nee, wanneer kan de Kamer de uitkomst van dat onderzoek verwachten?

Vraag 10

Voert de Inspectie Gezondheidszorg en Jeugd (IGJ) vooraf checks uit naar de informatieveiligheid van partnerorganisaties bij nieuwe samenwerkingen, zoals laboratoria? Zo ja, wat zijn de aandachtspunten van de IGJ bij die checks? Zo nee, waarom wordt dat niet gedaan?

Vraag 11

Zijn er aanvullende beveiligingsmaatregelen die dit kabinet gaat invoeren om de tijd totdat de behandeling van de Cyberbeveiligingswet is afgerond te overbruggen? Zo ja, welke maatregelen zijn dat? Zo nee, hoe gaat u ervoor zorgen dat het risico op datalekken zoals deze zo klein mogelijk wordt?

Vraag 12

Hebben de politie en het Openbaar Ministerie vooruitgang kunnen boeken in het vinden van de datasets op het dark web en ook in het vinden van de daders? Heeft Z-CERT bij het monitoren van de data al gezien dat het op het dark web is verschenen?

Vraag 13

Heeft u collega-bewindspersonen op de hoogte gesteld van deze casus en van het belang van gegevensbeveiliging om dergelijke incidenten buiten de zorg ook te voorkomen? Zo nee, waarom niet? Zo ja, heeft het kabinet een plan gemaakt om bij alle departementen en hun ketenpartners het risico op datalekken te verminderen?

Vraag 14

Kunt u aangeven wanneer verdere informatie en uitkomsten van lopende onderzoeken naar de Kamer worden gestuurd en met betrokkenen worden gedeeld?

Vraag 15

Kunt u deze vragen afzonderlijk beantwoorden en, indien van toepassing, betrekken bij de eerstvolgende periodieke update aan de Kamer over het datalek?

Vraag 1

Bent u bekend met het bericht «Nederland bezit grootste hoeveelheid kinderporno in Europa»1

Vraag 2

Wat is uw reactie op het onderzoek waaruit blijkt dat circa 60 procent van al het in Europa gehoste kinderseksmisbruikmateriaal zich in Nederland bevindt, en bijna een derde van het wereldwijde totaal? Hoe verklaart u dat Nederland in zo’n uitzonderlijke positie verkeert?

Vraag 3

Welke wettelijke verplichtingen gelden op dit moment voor hostingbedrijven en internetproviders om kinderseksmisbruikmateriaal te detecteren, te melden en te verwijderen? Acht u deze verplichtingen toereikend, gezien de recente bevindingen? Kunt u hierbij ingaan op het toezichtkader en het ontbreken van afdwingbare meld- en verwijderverplichtingen?

Vraag 4

Bent u bereid beleid te ontwikkelen zodat hostingbedrijven verplicht kunnen worden om proactieve detectiemethoden toe te passen, zoals hash-databanken of AI-gebaseerde beeldherkenning, teneinde het verspreiden van kinderseksmisbruikmateriaal sneller te stoppen?

Vraag 5

Hoe verhoudt de Nederlandse wetgeving zich tot de voorgenomen Europese verordening inzake seksueel misbruik van kinderen, die lidstaten verplicht om hosting van dergelijk materiaal actiever te bestrijden? Welke voorbereidingen treft Nederland voor implementatie van deze verordening?

Vraag 6

Hoeveel capaciteit is er binnen politie en Openbaar Ministerie beschikbaar voor digitale opsporing en handhaving op het gebied van kinderseksmisbruikmateriaal? Zijn er signalen dat het huidige capaciteitsniveau onvoldoende is om de omvang van het probleem aan te pakken?

Vraag 7

Hoeveel tijd verstrijkt er gemiddeld tussen het moment dat kinderseksmisbruikmateriaal wordt gemeld en het moment dat het daadwerkelijk van Nederlandse servers is verwijderd? Zijn er streefwaarden of normen vastgesteld voor een maximale doorlooptijd? Zo ja, in hoeveel procent van de gevallen worden deze normen gehaald?

Vraag 8

Hoe beoordeelt u de effectiviteit van de samenwerking tussen Nederland en internationale partners zoals Europol, INHOPE en NCMEC, om hosting en verspreiding van kinderseksmisbruikmateriaal grensoverschrijdend te bestrijden?

Vraag 9

Bent u voornemens om krachtige, afdwingbare maatregelen, zoals strengere wetgeving die hostingbedrijven verplicht tot actieve detectie en snelle verwijdering van dergelijk materiaal, stevige handhaving bij overtredingen, en intensievere internationale samenwerking te nemen om te voorkomen dat Nederland het knooppunt blijft voor het hosten van kinderseksmisbruikmateriaal?

Vraag 10

Welke mogelijkheden ziet u om extra financiële middelen en capaciteit beschikbaar te stellen om de digitale opsporing en handhaving te versterken, de verwijdering van kinderseksmisbruikmateriaal te versnellen en slachtoffers beter te identificeren en te ondersteunen?

Vraag 11

Bent u voornemens om hostingbedrijven en datacenters wettelijk te verplichten tot transparante rapportage over het aantal meldingen, verwijderingen en handhavingsacties met betrekking tot kinderseksmisbruikmateriaal?

Vraag 12

Bent u bereid om de Kamer jaarlijks te rapporteren over de omvang van kinderseksmisbruikmateriaal dat in Nederland wordt gehost, de resultaten van verwijderingen en de voortgang van beleid en handhaving?

Vraag 1

Bent u bekend met het bericht «Belastingdienst verplaatst mail naar Microsoft, ondanks zorgen over meekijken VS»?1

Vraag 2

Maakt de overstap van de Belastingdienst naar Microsoft 365 onze overheid meer of minder afhankelijk van de Verenigde Staten?

Vraag 3

Is er, conform de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315), een onafhankelijke onderbouwing opgesteld voor de noodzaak van de overstap naar Microsoft? Zo ja, kunt u deze delen?

Vraag 4

Waarom houdt u het mailverkeer niet in eigen beheer, zoals verzocht in de motie-Kathmann/Six Dijkstra (Kamerstuk 36 740, nr. 20)? Hoe bent u van plan om deze motie alsnog uit te voeren?

Vraag 5

Acht u de keuze voor de Belastingdienst om de eigen ICT te verhuizen naar Microsoft in het belang van de strategische autonomie, waarover de demissionaire premier op 30 september 2025 nog uitsprak dat bestuurders dit prioriteit moeten geven?2

Vraag 6

Acht u het onafhankelijk en onomstotelijk bewezen dat er geen Europese oplossing voor de Belastingdienst beschikbaar is? Uit welke onafhankelijke onderbouwing blijkt dit?

Vraag 7

Hoeveel en welke Europese alternatieven heeft u precies onderzocht en waarom waren deze ontoereikend? Kunt u de documentatie delen waaruit blijkt dat deze alternatieven niet voldoen aan de gestelde eisen?

Vraag 8

Welke eisen voor functionaliteit, veiligheid en continuïteit hanteert de Belastingdienst? Zijn deze zodanig geformuleerd dat ze niet voorsorteren op een overstap naar Microsoft 365?

Vraag 9

Kunt u alle documentatie over de risico-afweging die is gemaakt om de keuze voor Microsoft 365 te onderbouwen met de Kamer delen, waaronder de aanvullende afspraken die zijn gemaakt met de leverancier?

Vraag 10

Kunt u de gekozen exitstrategie met de Kamer delen? Is negen maanden om over te stappen van de Microsoft 365-omgeving snel genoeg in het geval van een acute stopzetting van de dienstverlening door de leverancier?

Vraag 11

Bent u zich ervan bewust dat Amerikaanse bedrijven die gegevens op Europees grondgebied stallen, alsnog moeten voldoen aan surveillanceverplichtingen die volgen vanuit nationale wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act?

Vraag 12

Is, met inachtneming van vraag 9, het stallen van gegevens op Microsoft-datacentra binnen de Europese Economische Ruimte een legitiem middel om risico’s voor de autonomie en nationale veiligheid weg te nemen?

Vraag 13

Kunt u alle documentatie over de afweging die is gemaakt voor de andere drie scenario’s in volledigheid met de Kamer delen?3

Vraag 14

Op basis van het onderzoek dat is verricht naar Europese alternatieven, op welke termijn wordt een migratie naar Europese alternatieven mogelijk? Zet u zich actief in om dit te bewerkstelligen?

Vraag 15

Waarom bent u slechts voornemens om te migreren naar Europese alternatieven als zij op een vergelijkbaar niveau zitten als Microsoft, als u het belang van digitale autonomie en nationale veiligheid onderschrijft?

Vraag 16

In hoeverre bent u bereid om digitale autonomie, kennisbehoud en data- en nationale veiligheid in te leveren ten behoeve van functionaliteit en productiviteit?

Vraag 17

Welke delen van het werkproces komen in de Amerikaanse cloud te staan? Komen ook «rulings» van de Belastingdienst, die gevoelige informatie over belastingheffing bevatten, en bedrijfsgevoelige informatie in de Microsoft-omgeving te staan?

Vraag 18

Is het migreren van maildiensten naar Microsoft een reden om bepaalde informatie niet binnen de werkomgeving van de Belastingdienst te bespreken, communiceren, of op te slaan?4

Vraag 19

Is het risico op weglekken van data naar derden onderzocht? Kan u bewijzen dat er géén risico’s zijn dat gevoelige informatie onbeveiligd wordt uitgewisseld in de nieuwe situatie?

Vraag 20

Kunt u toelichten welke primaire processen nog wel in het Nederlandse datacentrum blijven draaien en welke afweging daarbij is gemaakt? Welke beheer- en beveiligingsapplicaties worden verplaatst naar de publieke cloud en waarom vallen deze niet onder primaire processen?

Vraag 21

Kunt u deze vragen afzonderlijk beantwoorden en toezeggen dat de Belastingdienst geen onomkeerbare stappen zet totdat deze vragen zijn beantwoord?

Vraag 1

In de brief wordt gesteld dat Europese alternatieven binnen afzienbare termijn niet voldoen aan het niveau van Microsoft 365; welke Europese alternatieven zijn onderzocht voordat de keuze gemaakt is voor Microsoft?

Vraag 2

Welke tekortkomingen zijn vastgesteld bij deze Europese aanbieders die ertoe hebben geleid dat zij niet als toereikend alternatief zijn aangemerkt?

Vraag 3

Kunt u toelichten aan welke vereisten en prestatienormen Europese aanbieders moeten voldoen om wel als een toereikend alternatief te kunnen gelden voor Microsoft 365?

Vraag 4

Is er perspectief op een Europees alternatief dat wel kan dienen als een alternatief voor Microsoft 365? Zo ja, welke aanbieder(s) worden dan als kansrijk beschouwd?

Vraag 5

Welke maatregelen worden er op dit moment genomen om de ontwikkeling en verbetering van Europese cloud- en software-alternatieven te stimuleren en te versnellen, zodat deze in de toekomst als volwaardig alternatief voor Microsoft 365 kunnen dienen?

Vraag 6

In berichtgeving van NRC wordt gesteld dat een van de redenen dat het gebruik van Microsoft 365 toch is doorgezet, is dat er al een aanbetaling was gedaan. In hoeverre heeft dit een rol gespeeld in de uiteindelijke besluitvorming?1

Vraag 7

Welke technische en contractuele maatregelen zijn getroffen om te zorgen dat de Amerikaanse overheid niet zomaar toegang heeft tot Nederlandse overheidsdata?

Vraag 1

Bent u bekend met het bericht «Nederlandse organisatie wint zaak: tijdlijn Facebook en Instagram moet anders»?1

Vraag 2

Kunt u toezeggen dat, als het vonnis van de rechter standhoudt, u zal pleiten om de strengere nationale norm voor meer keuzevrijheid in de algoritmes op sociale media als Europese standaard te hanteren?

Vraag 3

Deelt u de mening dat niet de rechter, maar de toezichthouder moet afdwingen dat bedrijven als Meta de Europese wet- en regelgeving naleven?

Vraag 4

Wat gaat u doen om toezichthouders als de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens in staat te stellen om proactief toe te zien op de naleving van Europese wet- en regelgeving?

Vraag 5

Waarom maakt de Rijksoverheid nog steeds gebruik van online platforms die de Europese wet- en regelgeving niet naleven? Hoe treedt u normerend op tegen de desbetreffende techbedrijven?

Vraag 6

Wat doet u om maatschappelijke organisaties, zoals Bits of Freedom, te ondersteunen in hun acties om grote techbedrijven ter verantwoording te roepen?

Vraag 7

Bent u bereid om, in zoverre mogelijk, bijstand te verlenen aan maatschappelijke organisaties die juridisch de strijd aan gaan met grote techbedrijven die willens en wetens de wet niet naleven?

Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het artikel «TikTok bezorgt extreemrechtse livestreamers extra publiek om winst te vergroten»?1

Vraag 2

Wat is uw reactie op het artikel?

Vraag 3

Vindt u het acceptabel dat TikTok, volgens berichtgeving in de NRC, met haar aanbevelingsalgoritmes rechts-extremistische content bevoordeelt?

Vraag 4

Vindt u dat elk groot online platform, waaronder TikTok, moet beschikken over een stevig nationaal moderatieteam die vanuit de eigen context content kan beoordelen? Is dit nu op orde?

Vraag 5

Welke risico’s ziet u voor de Tweede Kamerverkiezingen van 29 oktober 2025 op het gebied van politieke beïnvloeding via ongereguleerde donaties aan online contentmakers?

Vraag 6

Vindt u dat donaties aan online contentmakers, die een politieke boodschap uitdragen, beter gereguleerd moeten worden? Ziet u mogelijkheden om dit in de Wet op de politieke partijen (Wpp) op te nemen?

Vraag 7

Heeft u geanalyseerd welke risico’s er bestaan op online politieke beïnvloeding voor de aanstaande Kamerverkiezingen? Zo ja, kunt u toelichten welke risico’s er zijn geconstateerd en welke maatregelen u neemt om deze te mitigeren?

Vraag 8

Hoe beoordeelt u de radicaliserende werking van online aanbevelingsalgoritmes gebaseerd op online tracking en interactie? Ziet u een verband tussen de werking van deze algoritmes en de toenemende groei van online extremisme die zowel de AIVD2 als NCTV3 constateren?

Vraag 9

Ziet u een verband tussen de rellen in Den Haag van 20 september 2025, waar rechts-extremistisch geweld is gepleegd, en de radicaliserende gevolgen van aanbevelingsalgoritmen op sociale media?

Vraag 10

Deelt u de mening van de indieners dat online algoritmes die polarisatie, ophef, en haat aanwakkeren, van sociale media een broedplaats maken voor rechts-extremistisch gedachtegoed en daardoor kunnen leiden tot geweld?

Vraag 11

Acht u het met de indieners noodzakelijk om de radicaliserende werking van aanbevelingsalgoritmes op sociale media scherper te reguleren?

Vraag 12

Bent u van mening dat bedrijven als X, Meta en TikTok genoeg doen om radicalisering en extremisme op hun sociale media platforms aan te pakken?

Vraag 13

Welke concrete maatregelen bepleit u in de aankomende Digital Fairness Act (DFA) van de Europese Commissie die de risico’s op radicalisering via aanbevelingsalgoritmes kan mitigeren?

Vraag 14

Welke nationale maatregelen kunt u nemen om Nederlandse gebruikers van sociale media te beschermen tegen de radicaliserende werking van online algoritmes?

Vraag 15

Bent u bereid de mogelijkheden te onderzoeken of via het consumentenrecht een nationaal verbod op radicaliserende aanbevelingsalgoritmes van grote online platforms gerealiseerd kan worden?

Vraag 16

Kunt u deze vragen afzonderlijk en minstens één week voor de Tweede Kamerverkiezingen van 29 oktober 2025 beantwoorden?

Vraag 1

Bent u bekend met signalen die wij ontvangen over afgewezen subsidieaanvragen bij bijvoorbeeld het Samenwerkingsverband Noord-Nederland (SNN), terwijl bewoners wel aan de voorwaarden voldoen en binnen de geldende termijn een aanvraag hebben gedaan, maar bijvoorbeeld een mondelinge offerte hebben in plaats van een schriftelijke?

Vraag 2

Heeft u zicht op hoe vaak dit voorkomt?

Vraag 3

Krijgt u van gedupeerden soortgelijke signalen over andere regelingen omtrent verduurzaming, versterking en herstel in Groningen en Noord-Drenthe?

Vraag 4

Erkent u dat deze signalen niet in de geest van Nijbegun passen, namelijk milder, menselijker en makkelijker?

Vraag 5

Deelt u de mening dat er vanuit vertrouwen beoordeeld moet worden en niet vanuit wantrouwen?

Vraag 6

Hoe kijkt u, mocht dit vaker voorkomen, naar dit soort afwijzingen in het licht van het wantrouwen vanuit de Groningers en het doel om te handelen vanuit vertrouwen?

Vraag 7

Wat is het afwijzingspercentage bij de SNN-regelingen? Wat zijn de meest voorkomende redenen voor afwijzing?

Vraag 8

Hoeveel bezwaarschriften worden er na een afwijzing ingediend? Wat zijn de meest voorkomende redenen voor een bezwaarschrift?

Vraag 1

Bent u bekend met het bericht ««Strategische blunder»: vertrouwelijke data van Nederlanders in handen van Amerikanen»?1

Vraag 2

Wat is uw reactie op dit bericht?

Vraag 3

Bent u van mening dat vertrouwelijke data van Nederlanders bij voorkeur in Nederlandse handen moet zijn, dan wel Europese? Zo ja, waarom? Zo nee, waarom niet?

Vraag 4

Erkent u dat de overname van Zivver door het Amerikaanse bedrijf Kiteworks risico’s meedraagt voor de veiligheid en vertrouwelijkheid van de data die wordt uitgewisseld via deze dienst?

Vraag 5

Kunt u uitsluiten dat gegevens die uitgewisseld worden via deze dienst in de Verenigde Staten of Israël terechtkomen? Zo ja, hoe kunt u dat aantonen?

Vraag 6

Op welke manier maken overheidsorganisaties en departementen gebruik van Zivver? In hoeverre is de continuïteit van de overheidsdienstverlening afhankelijk van dit bedrijf?

Vraag 7

Heeft de Amerikaanse overname van Zivver gevolgen voor het gebruik van deze dienst door Nederlandse overheden? Vindt u het verantwoord om de huidige inzet van Zivver ongewijzigd te laten?

Vraag 8

Draagt het blijven gebruiken van Zivver, ook nu het is overgenomen door een Amerikaans bedrijf, bij aan de cyberveiligheid en autonomie van Nederland? Zo ja, kunt u onderbouwen waarom dit geen risico vormt? Zo nee, waarom gebruikt u deze dienst dan alsnog?

Vraag 9

Kunt u onafhankelijk aantonen dat Zivver na de overname van een Amerikaans bedrijf een gelijke mate van rechtsbescherming en vertrouwelijkheid waarborgt als voorheen? Zo nee, bent u bereid dit alsnog te onderzoeken en op basis van de uitkomsten het gebruik van deze dienst (her)evalueren?

Vraag 10

Vindt u het wenselijk dat een dienst die wordt gebruikt om vertrouwelijke informatie over burgers uit te wisselen valt onder de Amerikaanse CLOUD Act en de Foreign Intelligence Surveillance Act (FISA), die de regering-Trump toegang geeft tot deze data?

Vraag 11

Welke maatregelen gaat u op korte termijn nemen om de veiligheid en vertrouwelijkheid van burgerdata beter te waarborgen? Zijn er (Europese) alternatieven voorhanden die u kunt gebruiken in plaats van Zivver?

Vraag 12

Beschikt de Rijksoverheid over een eigen infrastructuur om vertrouwelijk te communiceren? Is het mogelijk om op korte termijn de diensten van Zivver in te wisselen voor een eigen alternatief?

Vraag 13

Bent u van mening dat overnames van bedrijven als Zivver voortaan getoetst moeten worden op gevolgen voor de (cyber)veiligheid? Bieden de Telecommunicatiewet en de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) hier al de mogelijkheid voor?

Vraag 14

Kunt u verklaren waarom bedrijven die de vertrouwelijke communicatie voor overheden verzorgen niet zijn aangemerkt als vitale infrastructuur, ook als de organisaties die ze gebruiken wel aangemerkt zijn als belangrijk/vitaal/essentieel?

Vraag 15

Biedt de Cyberbeveiligingswet of de Wet weerbaarheid kritieke entiteiten mogelijkheden om niet-Europese overnames van bedrijven als Zivver te voorkomen? Zo nee, vindt u dit wel wenselijk?

Vraag 16

Hoe beoordeelt u de betrokkenheid van Israëlische oud-spionnen aan de top van het bedrijf Kiteworks? Is dit voor u een reden om het gebruik van Zivver wel of niet te heroverwegen?

Vraag 17

Hoe reageert u op de bevindingen van Follow The Money waaruit blijkt dat informatie verstuurd via Zivver wordt teruggekoppeld naar de servers van het bedrijf? Welke gevolgen heeft dit voor de veiligheid en vertrouwelijkheid van deze informatie?

Vraag 18

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?

Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?

Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?

De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?

Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?

Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?

BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

De vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Hoe bestaat het dat het anno 2025, in tijden dat we maximaal weerbaar moeten zijn, mogelijk is om bij een zorgpartij van een half miljoen Nederlanders uiterst gevoelige medische gegevens en persoonsgegevens te stelen?

Bevolkingsonderzoek Nederland (BVO NL) heeft een onafhankelijk onderzoek ingesteld naar de exacte omvang en de oorzaak van deze hack. Ook de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn een onderzoek gestart. Los daarvan markeer ik hierbij het grote belang van adequate technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, in het bijzonder als het gaat om gezondheidsgegevens. Zorgaanbieders zijn daartoe wettelijk verplicht, onder andere op grond van de Algemene verordening gegevensbescherming (AVG). Ik betreur het dan ook ten zeerste dat gezondheidsgegevens zijn bemachtigd bij een hack bij Clinical Diagnostics.

Vraag 2

Wanneer werd het datalek bekend bij de Stichting Bevolkingsonderzoek Nederland en bij het Ministerie van Volksgezondheid, Welzijn en Sport? Kunt u een tijdlijn maken met de belangrijkste gebeurtenissen en wanneer zij ontdekt zijn? Kunt u daarop zeggen wanneer de diefstal plaatsvond, wanneer mensen en de Autoriteit Persoonsgegevens geïnformeerd zijn, wanneer het ministerie/de bewindspersonen geïnformeerd zijn en alle andere relevante gebeurtenissen?

BVO NL is op woensdag 6 augustus door het laboratorium Clinical Diagnostics geïnformeerd over de hack, nadat het laboratorium de hack op 6 juli heeft ontdekt. BVO NL heeft op 6 augustus een melding gemaakt bij de AP en heeft op dezelfde dag het RIVM, de opdrachtgever van BVO NL, geïnformeerd. Het Ministerie van VWS is op donderdag 7 augustus geïnformeerd door het RIVM. BVO NL heeft op zaterdag 9 augustus een melding gedaan bij de IGJ.
Op maandag 11 augustus heeft BVO NL een nieuwsbericht uitgebracht over de hack en is uw Kamer geïnformeerd. Op maandag 11 augustus heeft ook Z-Cert, het expertisecentrum voor cybersecurity in de zorg, bij het Ministerie van VWS melding gemaakt over de hack.
In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
Nadien heeft het laboratorium desgevraagd aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Zoals ik vrijdag 29 augustus en vandaag in aparte brieven aan uw Kamer heb laten weten, blijkt uit dit onderzoek dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack. BVO NL heeft hier op 29 augustus ook een nieuwsbericht over gepubliceerd. Deze deelnemers ontvangen van BVO NL een brief.

Vraag 3

Waarom wordt het lekken van persoonlijke en medische gegevens van een half miljoen Nederlanders pas meer dan vier weken later openbaar gemaakt? Klopt het dat er al eerder een lek bij dit laboratorium was gesignaleerd maar daar niet naar werd gehandeld, er geen consequenties waren?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de AP en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Bent u het ermee eens dat dit het vertrouwen van Nederlanders in het bevolkingsonderzoek, waar al steeds minder in wordt deelgenomen, ernstig ondermijnt?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over de hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ikwil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 5

Hoe kan het dat er met één hack zoveel gegevens van zoveel mensen in één keer buit kunnen worden gemaakt? Waarom worden medische uitslagen in combinatie met burgerservicenummers en adresgegevens opgeslagen? Wordt er in deze laboratoria gewerkt met het gespreid en versleuteld opslaan van een minimaal benodigde hoeveelheid gegevens? Welke concrete inspanningen worden er geleverd om te voldoen aan het beginsel van dataminimalisatie conform artikel 5 AVG?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In algemene zin markeer ik het grote belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens aan de wettelijke vereisten wordt voldaan, waaronder in ieder geval de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest).

Vraag 6

Valt dit lab, één van de grootste van Nederland, onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ)? Zo ja, wanneer heeft de Inspectie voor het laatst dit laboratorium bezocht en wat waren toen de bevindingen?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ is inmiddels een onderzoek gestart bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria.

Vraag 7

Wat zijn de minimumvereisten voor dataveiligheid van Stichting bevolkingsonderzoek? Aan welke standaarden moeten laboratoria voldoen om grootschalig labonderzoek te mogen verrichten?

Wat betreft de eerste vraag geldt dat voor zover BVO NL persoonsgegevens verwerkt ten aanzien waarvan BVO NL geldt als verwerkingsverantwoordelijke, BVO NL zich in ieder geval moet houden aan de AVG. Op grond van de AVG dient BVO NL in dat geval organisatorische en technische maatregelen te treffen ter beveiliging van persoonsgegevens. De AP houdt hierop toezicht. Daarbij betrekt het informatiebeveiligingsnormen als de NEN7510. Die normen gelden als gezaghebbende uitwerking van de algemene beveiligingsnorm uit de AVG. Die sectorspecifieke informatiebeveiligingsnormen zijn voor zorgaanbieders overigens verplicht gesteld in het Besluit elektronische gegevensverwerking door zorgaanbieders.
Wat betreft de tweede vraag geldt dat voor laboratoria wet- en regelgeving op het gebied van kwaliteit van de zorg en dataveiligheid kan gelden. Welke wet- en regelgeving dat precies betreft, hangt af van de concrete omstandigheden (zoals de aard van de werkzaamheden). De schaalgrootte van de labonderzoeken speelt hierbij in principe geen rol.

Vraag 8

Hoe was het gesteld met de datahuishouding en -veiligheid bij dit lab? Beschikte het laboratorium over de NEN 7510 certificering voor databeveiliging? Klopt het dat alle zorgpartijen die met bijzondere persoonsgegevens werken verplicht zijn om aan de NEN7510 richtlijn te voldoen? Voldeed dit lab hieraan? Gaan medische laboratoria onder de NIS-2 wetgeving vallen?

Het antwoord op deze vragen zal voortvloeien uit de verschillenden lopende onderzoeken naar de hack en het datalek. Algemeen geldt, in het kader van goede en veilige zorg, dat zorgaanbieders die persoonsgegevens verwerken in een zorginformatiesysteem, moeten kunnen laten zien dat ze werken volgens de daarvoor geldende informatiebeveiligingsnormen, waaronder de NEN 7510. De IGJ houdt hier toezicht op en de AP, voor zover het gaat om de bescherming van persoonsgegevens.
Er bestaat binnen de NIS2-richtlijn of het wetsvoorstel Cyberbeveilingswet (Cbw), dat de Minister van Justitie en Veiligheid op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer, geen categorie die zich specifiek richt op medische laboratoria. Een medisch laboratorium zou onder de NIS2-richtlijn kunnen vallen indien het bijvoorbeeld handelingen uitvoert die vallen onder de Wkkgz of wanneer het (deels) onderzoek doet naar geneesmiddelen en voor zover zij voldoen aan de eisen in de NIS-2-wetgeving op het gebied van omvang personeelsbestand en omzet. Het hangt dus af van de dienstverlening of een medisch laboratorium onder een van de categorieën van de NIS2-richtlijn of Cbw valt.

Vraag 9

Worden er vandaag nog steeds samples gestuurd vanuit het bevolkingsonderzoek of andere medische diagnostiek naar laboratoria waar deze data niet veilig zijn en worden verwerkt door systemen die niet aan de richtlijnen voldoen?

BVO NL heeft de samenwerking met het laboratorium tot nader order opgeschort. Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 10

Bij hoeveel Eurofins laboratoria speelt dit? Bij hoeveel andere medische laboratoria?

Er zijn bij mij geen signalen bekend dat de informatiebeveiliging bij andere laboratoria niet op orde zou zijn.

Vraag 11

Welke andere zorgpartijen beschikken over de medische en persoonsgegevens van honderdduizenden Nederlanders zonder dat de dataveiligheid op orde is?

Ik heb geen inzicht in de hoeveelheid gezondheidsdata waar de verschillende zorgpartijen over beschikken. De zorg digitaliseert in toenemende mate en dit brengt grote voordelen met zich mee, maar ook risico’s. Zorgpartijen zijn verantwoordelijk voor informatieveiligheid. Zij zijn verplicht te voldoen aan de wettelijke normen voor informatiebeveiliging in de zorg.
Zorginstellingen zijn in de eerste plaats zelf verantwoordelijk om de risico’s te beperken en de impact van incidenten zo klein mogelijk te maken wanneer deze toch plaatsvinden. Dit neemt echter niet weg dat ik me ook inzet op het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, door duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-Cert gespecialiseerde ondersteuning aan zorgaanbieders.

Vraag 12

Op welke termijn kunt u dit in kaart brengen?

Zie antwoord vraag 11.

Vraag 13

Wat bent u van plan om te doen als blijkt dat deze onveilige situatie bij andere zorgpartijen speelt?

Zie antwoord vraag 11.

Vraag 14

Wat verwacht u van de effecten van dit massale datalek voor de veiligheid van Nederlanders en hoe beoordeelt u de risico’s op onder andere identiteitsfraude, chantage of zorgmijden als gevolg hiervan? Hoe worden mensen met gevoelige adresgegevens, zoals penitentiaire inrichtingen, blijf-van-mijn-lijf-huizen en psychiatrische klinieken geholpen?

Hacks waarbij zoveel data worden bemachtigd vergroten het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
BVO NL informeert de getroffen deelnemers van het bevolkingsonderzoek baarmoederhalskanker. In de brief van BVO NL wordt ook gewezen op het risico op fraude. De betrokken (ex-)gedetineerden worden via een informatiebrief van Clinical Diagnostics over de hack geïnformeerd, met daarbij een begeleidende brief van de Dienst Justitiële Inrichtingen (DJI). In deze brieven is onder meer opgenomen wat betrokkenen kunnen doen.

Vraag 15

Kunt u deze vragen los van elkaar, zo snel mogelijk en zeker binnen drie weken beantwoorden?

Daar zet ik mij voor in.

Vraag 1

Heeft u kennis genomen van de Wet Open Overheid (WOO)-verzoeken waaruit blijkt dat Nederland al in 2011 software van Palantir heeft aangeschaft?1

Ja

Vraag 2

Kunt u aangeven a) welke (semi)overheidsorganisaties (in de breedste zin van het woord, dus inclusief bijvoorbeeld de politie, Defensie-onderdelen, de NCTV, de diensten, zorgorganisaties of onderwijsorganisaties) gebruik maken van Palantir en b) om welke softwarepakketten en functionaliteiten van Palantir het precies gaat?

In de beantwoording op de onlangs gestelde Kamervragen door het lid Van Houwelingen heb ik aangegeven dat geen organisatieonderdelen van het Ministerie van Justitie en Veiligheid en/of aan Justitie en Veiligheid gelieerde samenwerkingsverbanden gebruik maken van Palantir software, met uitzondering van de politie en in het verleden de zes veiligheidsregio’s.2 Voor het gebruik bij organisaties buiten het Ministerie van Justitie en Veiligheid verwijs ik naar de beantwoording van andere ministeries op de Kamervragen van het lid Van Houwelingen.

Vraag 3

Kunt u per gebruiker, die hierover wordt beschreven, aangeven:

Voor het gebruik van de producten door de politie in de analyseomgeving «de Raffinaderij» verwijs ik naar de beantwoording op de vragen van het lid Van Houwelingen over het gebruik van Palantir software.3 Ik hecht eraan om te benadrukken dat «de Raffinaderij» geen registratiesysteem is, maar enkel een analyseomgeving waarbinnen alleen politiegegevens worden geanalyseerd.
Het gaat om gegevens die door de politie rechtmatig verkregen zijn.
Over het (kortstondige) gebruik van Palantir software door de zes zuidelijke Veiligheidsregio’s ten behoeve van informatiegestuurde veiligheid is uw Kamer op 21 juni 2021 geïnformeerd.4 Dit gebruik is reeds in 2021 beëindigd en was op geen enkele wijze gelieerd aan de analyseomgeving «de Raffinaderij». Alleen openbare en publiek toegankelijke data zijn door zes Veiligheidsregio’s gebruikt, er zijn hierbij geen persoonsgegevens geanalyseerd.
De politie analyseert alleen politiegegevens. Voor de grondslag voor het gebruik door de politie verwijs ik naar de beantwoording op vraag 10. Betrokkenen kunnen met een beroep op artikel 25 van de Wet Politiegegevens (Wpg) inzage krijgen of er persoonsgegevens over hem/haar/hen worden verwerkt. Dit gaat volgens een standaard proces dat is vermeld op de privacyverklaring die te vinden is op de website van de politie. Een inzageverzoek gaat via de regionale Privacydesk. De Privacydesk geeft echter geen inzage op systeemniveau.

Vraag 4

Indien de voor het beantwoorden van vraag 3 benodigde informatie niet bij u bekend is, kunt u (de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties) de verantwoordelijk bewindspersoon conform artikel 6 Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, verzoeken deze informatie aan de Kamer te verstrekken?

Met de beantwoording van vraag 3 is deze informatie verstrekt.

Vraag 5

Heeft voor ieder gebruik een directe aanbesteding plaatsgevonden? Zo nee, voor welke onderdelen niet en waarom niet? Kunt u garanderen dat bij ieder gebruik een juiste aanbestedingsprocedure is gevolgd? En kunt u aangeven hoeveel geld gemoeid is met de Palantir contracten?

Voor een toelichting op de overeenkomst tussen de zes zuidelijke Veiligheidsregio’s en Palantir voor een pilot binnen het samenwerkingsproject Fieldlab Zuid6 verwijs ik naar de beantwoording die in 2021 hierover aan uw Kamer is gestuurd.5
De verwerving van Palantir software door de politie heeft in 2018 heimelijk plaatsgevonden met een beroep op art. 2.23, lid 1 sub e van de AW 2012. Voor een nadere toelichting op de aanbestedingsprocedure verwijs ik naar de beantwoording op de Kamervragen van het lid Van Houwelingen. De financiële details met betrekking tot het betrokken contract zijn vertrouwelijk en kunnen niet openbaar worden gemaakt.

Vraag 6

Is het juist dat veel gebruik van Palentir in Nederland indirect plaatsvindt, via Europese samenwerkingen of internationale netwerken zoals Europol, Frontex of NAVO? Hoe beoordeelt u de risico’s daarvan? Hoe zit het met de (parlementaire) controle hierop?

Nee. Europol en Interpol maken op dit moment geen gebruik van Palantir software. De software van Palantir wordt binnen de Nederlandse politie enkel gebruikt in de analyseomgeving «de Raffinaderij». Er is dan ook geen sprake van indirect gebruik via Europese samenwerking of internationale netwerken. Informatieproducten afkomstig uit «de Raffinaderij» worden niet gedeeld met partijen buiten de Nederlandse politie. Wel kan het zijn als op basis van een signaal afkomstig uit een informatieproduct vanuit de analyseomgeving «de Raffinaderij» sprake blijkt van hetzij een concrete verdenking van zware en georganiseerde criminaliteit dan wel een hoge kans op aanslagen, dat de politie op basis van dit signaal op casuïstiek niveau contact legt met haar ketenpartners. Het informatieproduct zelf wordt niet gedeeld.
Zoals door de Minister van Defensie gemeld6 wordt binnen de Nederlandse krijgsmacht gebruik gemaakt van de Palantir software in het kader van interoperabiliteit tussen NAVO-partners tijdens militaire inzet.

Vraag 7

Kunt u een lijst geven van indirect gebruik via internationale organisaties waarbij data van Nederlandse burgers geanalyseerd wordt?

Zie de beantwoording op vraag 6.

Vraag 8

Is onderzocht of het risico bestaat dat gegevens van Nederlandse inwoners op een of andere manier lekken naar de ontwikkelaar in de Verenigde Staten, dan wel elders? Indien wel, hoe schat u dit risico in? Indien niet, bent u het met ons eens dat de regering de zorgplicht heeft dit te onderzoeken en op welke wijze gaat u daarin voorzien?

Bij het kortstondige gebruik van Palantir software door de zes Veiligheidsregio’s is geen gebruik gemaakt van persoonsgegevens.
De data binnen «de Raffinaderij» blijft strikt binnen het domein van de politie en wordt op geen enkele manier met de leverancier gedeeld. Politiedata heeft nooit in een publieke cloud van Palantir gestaan, maar altijd bij de politie zelf. De analysesoftware wordt volledig door een eigen team van de politie beheerd en gehost in eigen rekencentra in een private cloud. Indien noodzakelijk is er incidentele ondersteuning mogelijk van gescreende medewerkers van Palantir die enkel onder toezicht en ter plaatse werkzaamheden verrichten. Deze medewerkers hebben geen toegang tot de politiedata.

Vraag 9

Hoe hebben de lessen van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) invloed gehad op het gebruik van Palantir en de waarborgen daaromtrent?

Naar aanleiding van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) heeft de politie deelgenomen aan het JenV-brede verbetertraject Informatiehuishouding op orde, waarbij verbeteringen op het gebied van datavoorziening zijn en worden doorgevoerd. In dit traject zijn geen bevindingen naar voren gekomen wat betreft het gebruik van Palantir software. De waarborgen dat de data alleen toegankelijk is en blijft voor politiefunctionarissen en op eigen dataservers van de politie wordt opgeslagen was reeds in de periode voor POK het geval.

Vraag 10

Is u bekend dat het Duitse Bundesverfassingsgericht al in 2023 heeft bepaald dat het gebruik van Palantir in strijd is met de Duitse Grondwet? Zo ja, hoe is hier te lande daarop dan geacteerd?2

Het grondwettelijk hof in Duitsland heeft in 2023 de wetten van Hessen en Hamburg die de inzet van deze software mogelijk maakte ongrondwettig verklaard. Het betreft een uitspraak over de wetten die over de inzet van de software gaan en niet zozeer over dat het gebruik van de software zelf ook (altijd) ongrondwettelijk zou zijn. De wetten hadden volgens het grondwettelijk hof niet voldoende waarborgen en waren niet voldoende specifiek over in welke gevallen de software ingezet mocht worden. Uit de uitspraak volgt dat dergelijke software op zich niet verboden is, maar dat de wetten op basis waarvan dit mag dan wel voldoende specifiek moeten zijn over in welke gevallen en onder welke voorwaarden dit mag als het gaat om een inbreuk op de privacy / gegevensbeschermingsrechten van burgers.
Dat wetgeving op basis waarvan inbreuk op de privacy van burgers voldoende specifiek, voorzienbaar en proportioneel moet zijn -bijvoorbeeld met waarborgen omkleed- volgt ook uit rechtspraak van bijvoorbeeld het EHRM en het HvJEU. Deze uitgangspunten gelden daarom ook voor Nederland.
De Nederlandse politie heeft op grond van de Wet Politiegegevens (Wpg) deze verwerkingen gedaan. «De Raffinaderij» verwerkt politiegegevens op grond van Wpg artikel 11 lid 1 en 2 door politiegegevens geautomatiseerd te vergelijken ter ondersteuning van de opsporing. De politiegegevens die in aanmerking komen om onder deze grondslag verwerkt te worden zijn uitsluitend politiegegevens als bedoeld in artikel 8, 9 en 10 Wpg. Deze politiegegevens zijn eerder in een andere context rechtmatig verkregen. Gebruikers van «de Raffinaderij» mogen daarbij ten behoeve van dat onderzoek op basis van het Besluit Politiegegevens (Bpg) artikel 2:11 in «de Raffinaderij» door Wpg artikel 8, 9 en 10-registraties in de verwerkingstermijn zoeken. Dit is beperkt tot het autorisatieniveau waarvoor gebruikers zijn geautoriseerd. Daarnaast voorziet artikel 2:11 Bpg ook in het achterwege laten van bepaalde politiegegevens voor gegevensvergelijking indien deze zijn gecodeerd als een vertrouwelijke verwerking. Deze politiegegevens worden dan ook niet verwerkt binnen de Raffinaderij.

Vraag 11

Bent u, in het licht van de controverse die bestaat omtrent dit bedrijf en haar software, bereid de Autoriteit Persoonsgegevens te vragen onderzoek te doen naar het gebruik van Palantir en wilt u de AP daartoe inzage geven in al het gebruik?

De Autoriteit Persoonsgegevens gaat zelf over welke zaken zij in onderzoek nemen. Het staat de Autoriteit Persoonsgegevens vrij om – indien zij dat aangewezen acht – een onderzoek te doen naar het gebruik van Palantir software bij de politie. De Autoriteit Persoonsgegevens heeft de bevoegdheid om daartoe gegevens op te vragen.

Vraag 12

Kunt u deze vragen een voor een en binnen 3 weken beantwoorden?

De vragen zijn zo snel mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht: «Fraude met visa explodeert, Nederlandse vakantiegangers al voor tienduizenden euro’s opgelicht: hier moet je op letten»? (De Telegraaf, 23 juli)

Ja.

Vraag 2

Hoeveel meldingen van fraude bij visumaanvragen zijn er tot nu toe gedaan? In hoeveel gevallen ging dit om phishing?

Uit navraag bij de Fraudehelpdesk blijkt dat er in het jaar 2024 12 meldingen over fraude met visumaanvragen zijn geregistreerd. Deze meldingen hadden betrekking op valse websites waarop zogenaamd een visum aangeschaft kon worden. In de eerste helft van 2025 kreeg de Fraudehelpdesk 189 meldingen, waarvan 154 melders aangaven financieel te zijn gedupeerd. Ook het Centraal Meldpunt Identiteitsfraude (CMI) heeft meldingen met betrekking tot fraude met visumaanvragen ontvangen. In 2024 ging het om 89 meldingen en in 2025 tot en met juli om 353 meldingen. Zowel de Fraudehelpdesk als het CMI schrijven de toename van het aantal meldingen toe aan de invoering (sinds 2 april 2025) van de verplichte ETA voor het Verenigd Koninkrijk, hoewel er ook andere typen visa tussen de meldingen zitten.
Er is op dit moment geen duidelijk verband te leggen tussen het aantal meldingen en in hoeveel gevallen hier sprake is van phishing. Phishing is een werkwijze die wordt ingezet door criminelen om bijvoorbeeld oplichting en fraude te plegen. Daarnaast wordt in het geval van een melding niet altijd aangegeven of het om phishing gaat. Er zijn meldingen over (valse) websites waarbij tussenpartijen te veel geld vragen voor het verzorgen van (kostenloze) visumaanvragen, maar vervolgens wel daadwerkelijk een geldig visum toesturen. Daarnaast zijn er meldingen waarbij melders denken dat zij een visumaanvraag doen en gegevens opgeven waarna er (soms meerdere keren) geld van hun creditcard wordt afgeschreven, maar er geen visum(aanvraag) wordt ontvangen.

Vraag 3

Hoe verhoudt het aantal gemelde gevallen via de Fraudehelpdesk zich tot officiële aangiften bij politie en meldingen bij visumverlenende instanties?

Er zijn op dit moment geen betrouwbare cijfers beschikbaar over het aantal aangiften over visumverstrekking bij de politie, noch over de verhouding van het aantal meldingen bij andere instanties dan de politie. Fraude met visa wordt net als phishing niet als aparte categorie geregistreerd en is daarmee niet eenvoudig uit het politiesysteem te halen. In de Veiligheidsagenda 2023–2026 zijn streefnormen voor de politie afgesproken omdat de groei van gedigitaliseerde criminaliteit moet worden geremd.1 Hier valt ook de bestrijding van online fraude onder. Er is geen centrale registratie van meldingen van visumverlenende instanties (zoals ambassades). Als mensen met deze vorm van fraude geconfronteerd worden, roep ik hen op aangifte te doen bij de politie.

Vraag 4

Wat is de rol van reizigers-adviesportals en luchtvaartmaatschappijen in het informeren over officiële visumkanalen? Wordt er samengewerkt om nepwebsites actief te signaleren?

Op de website www.nederlandwereldwijd.nl kan men het reisadvies van het land van bestemming lezen ter voorbereiding op de reis. Op de landenpagina staat een kopje met «Hoe bereid ik mijn reis voor?». Onder dit kopje staat onder andere uitgelegd of een visum nodig is en waar deze aangevraagd kan worden (met een link naar een officiële website). Op www.nederlandwereldwijd.nl wordt op alle Schengenvisum aanvraagpagina’s en inreisvisum aanvraagpagina’s het volgende geadviseerd: «Voorkom onnodige kosten en maak zelf uw afspraak. Maak geen afspraak bij een tussenpersoon.»
Desgevraagd geeft het Ministerie van Buitenlandse Zaken aan dat op de aanvraagpagina’s van sommige landen nog een extra waarschuwing staat. Als een ambassade bijvoorbeeld signaleert dat er veel fraude plaatsvindt in een bepaald land, dan wordt de informatie aangevuld. Zo is er onlangs door de ambassade in Turkije verzocht om toe te voegen dat de klant geen tolk via een tussenpersoon moet regelen.
Zo nu en dan plaatsen ook Nederlandse ambassades in diverse landen op eigen initiatief voorlichting of waarschuwingen op hun social mediakanalen. Zo heeft de Nederlandse ambassade in India onlangs op haar Instagram en Facebook account een waarschuwing geplaatst voor fraude met visa, alsook een verwijzing naar de officiële website.

Vraag 5

Wat doet u om online fraude via phishing te voorkomen en te bestrijden, onder andere bij visumaanvragen? Zijn deze maatregelen effectief gebleken?

In oktober 2024 zijn de Ministeries van Justitie en Veiligheid en van Binnenlandse zaken en Koninkrijksrelaties gestart met de meerjarige publiekscampagne «Laat je niet interneppen», om Nederlanders te wapenen tegen verschillende vormen van online oplichting, waaronder phishing. In de campagne komen de diverse signalen en overtuigingstechnieken aan bod, die online criminelen gebruiken en krijgen mensen handelingsperspectief mee om online oplichting te kunnen herkennen. Uit het meest recente campagne-effectonderzoek blijkt onder meer dat mensen zich meer waakzaam voelen als gevolg van de campagne en dat Nederlanders het belangrijk vinden dat de Rijksoverheid op dit onderwerp campagne voert, maar dat (nog) niet meer mensen zich beter in staat voelen de signalen en overtuigingstechnieken te herkennen.2 De aanbevelingen uit het campagne-effectonderzoek zullen worden meegenomen bij de volgende flight van de campagne in september 2025.
Naast bewustwordingscampagnes werkt de Nederlandse overheid aan de doorontwikkeling van het Register Internetdomeinen overheid zodat burgers in dat register bij twijfel een snelle check kunnen doen of websites van de Nederlandse overheid zijn of niet. Het Register is te raadplegen via https://organisaties.overheid.nl/domeinen. Bij twijfel over de echtheid van websites kan bovendien contact worden opgenomen met de gratis Digihulplijn (Bereikbaar via telefoon en chat op 0800 - 1508). Ook loopt een impactonderzoek naar de haalbaarheid van invoering van een uniforme domeinnaamextensie voor websites van de overheid, te beginnen bij de Rijksoverheid. Een uniforme domeinnaamextensie zoals .gov.nl of .overheid.nl maakt in één keer duidelijk dat de overheid afzender is van een website en is, mits consequent toegepast, makkelijk te communiceren richting het publiek.
Daarnaast voert mijn ministerie de regie op de integrale aanpak van online fraude.3 De integrale aanpak online fraude heeft als doel om meerjarig gezamenlijk de krachten te bundelen, de onderlinge informatiepositie te verstevigen, het kennisniveau te verhogen, te weten en te doen wat werkt om sneller, flexibeler en effectiever op te kunnen treden tegen online fraude teneinde het aantal slachtoffers te verminderen. Partners in deze publiek-private samenwerking zijn onder andere de politie, het Openbaar Ministerie, VNO-NCW/MKB Nederland, de Consumentenbond, de Nederlandse Vereniging van Banken (NVB), COIN, Thuiswinkel.org, de Vereniging Nederlandse Gemeenten (VNG), het Ministerie van Economische Zaken enhet Ministerie van Financiën. Het jaarbericht en het actieplan voor 2025 zijn in juni jl. door mijn ambtsvoorganger aan uw Kamer toegezonden.4

Vraag 6

Hoeveel gevallen van phishing zijn er jaarlijks in Nederland? Welk aandeel van de gevallen van online oplichting betreft phishing?

Bij de politie wordt phishing niet als een apart delict geregistreerd en daarom zijn hier geen precieze cijfers over te delen. Dit komt omdat phishing vaak een middel is om verschillende soorten criminaliteit te kunnen plegen.
Wel blijkt uit de Veiligheidsmonitor 2024 van het Centraal Bureau voor de Statistiek dat krap 1 procent van de mensen in 2024 zich slachtoffer noemt van phishing. Bij 17 procent van de slachtoffers ging het om wangirifraude: de dader probeert het slachtoffer te laten terugbellen naar (dure) betaalnummers. Verder kreeg 12 procent te maken met beleggingsfraude en eenzelfde deel werd slachtoffer van bankspoofing, waarbij de oplichter zich voordoet als een bankmedewerker. Nepboetes of nepfacturen werden door 11 procent van de slachtoffers genoemd. Vriend-in-nood-fraude, waarbij iemand geld betaalde aan een zogenaamde bekende (via een nepbericht of voice cloning), en nepacties troffen respectievelijk 9 en 6 procent van de slachtoffers. De andere vormen van phishing werden door 4 procent of minder genoemd.5

Vraag 7

Bent u bekend met Belgische phishing-schild, het BAPS-Systeem, waarmee in 2024 zo’n 1,6 miljoen verdachte links zijn gedetecteerd en omzeild op basis van meldingen van burgers?1

Ja.

Vraag 8

Kunt u nader toelichten wat het doel en de reikwijdte is van de pilot met een Anti-Phishing Shield (APS) die u heeft aangekondigd in deze zomer?2 Welke partijen zijn hier bij betrokken?

Het doel van de pilot is de effectiviteit van het Anti-Phishing Shield (APS) in kaart brengen. Op basis van de resultaten van de pilot wordt beoordeeld of een structureel APS in Nederland wenselijk is.
De pilot wordt uitgevoerd door het Nationaal Cyber Security Center in samenwerking met KPN en is gericht op een beperkte klantengroep van KPN. Deze groep heeft zich op vrijwillige basis via opt-in aangemeld voor de dienst Veilig browsen van KPN. Dit is een malwarefilter dat ervoor zorgt dat apparaten veilig online gaan. De denial list (een lijst van bronnen die als onveilig of verdacht zijn aangemerkt) uit deze APS-pilot wordt hierin verwerkt. Hiermee sluit de pilot aan bij de maatregelen die KPN al neemt binnen de bestaande, versterkte beveiliging voor KPN-klanten. De pilot wordt op een later moment mogelijk uitgebreid met meerdere partijen uit de telecomsector.

Vraag 9

Wanneer verwacht u de uitkomsten van deze pilot? Koppelt u deze terug aan de Kamer met een voorstel voor vervolgstappen?

De pilot is eind juli 2025 gestart en duurt zes maanden. De pilot wordt tussentijds en na afloop geëvalueerd. Op basis hiervan wordt een advies voor een eventuele landelijke uitrol uitgebracht. U wordt in de volgende Kamerbrief over de integrale aanpak van cybercrime geïnformeerd over het vervolg van het APS.

Vraag 10

Op welke manier is de Autoriteit Consument & Markt als toezichthouder betrokken bij de pilot? Hoe gaat u tegemoetkomen aan zorgen over netneutraliteit?

De Autoriteit Consument & Markt (ACM) is als onafhankelijke toezichthouder niet actief betrokken bij de pilot. In een eerder stadium is het APS met de ACM besproken. De pilot vindt plaats binnen de geldende wettelijke kaders. Uitgangspunt bij netneutraliteit is dat de internetaanbieder de toegang tot het internet niet mag beperken, vanwege het recht op open toegang tot het internet. Hierbij gelden in het kader van de Europese netneutraliteitsverordening enkele uitzonderingsmogelijkheden. Zo mag een internet serviceprovider wél beperkingen opleggen indien – en slechts zolang – dit nodig is om de integriteit en de veiligheid van het netwerk van de eindgebruikers te beschermen. Er dient daarbij een afweging gemaakt te worden over wanneer en onder welke omstandigheden dergelijke beperkingen noodzakelijk zijn. Binnen de pilot is het aan de deelnemende partijen om na te gaan of hun werkwijze in lijn is met de regels inzake netneutraliteit. Zie ook het antwoord op vraag 8.

Vraag 11

Wat doet u nog meer om slachtoffers van phishing te voorkomen? Hoe stimuleert u commerciële oplossingen om verdachte websites te blokkeren, met respect voor netneutraliteit?

Binnen de integrale aanpak cybercrime bestaan er meerdere initiatieven en worden in samenwerking met de Ministeries van Binnenlandse Zaken en Koninkrijkrelaties, en Economische Zaken voorlichtingscampagnes gehouden om ervoor te zorgen dat mensen zich kunnen beschermen tegen phishing. Enkele voorbeelden hiervan zijn de campagnes «Laat je niet interneppen» over online oplichting, «Dubbel beveiligd is dubbel zo veilig» over tweefactorauthenticatie, en «Doe je updates» over het uitvoeren van updates op slimme apparaten. Hierover bent u in de afgelopen Kamerbrief integrale aanpak cybercrime geïnformeerd.
Ik sta in beginsel positief tegenover commerciële oplossingen die mensen tegen online criminaliteit beschermen. Ook dergelijke oplossingen dienen te worden uitgevoerd binnen de geldende wet- en regelgeving.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht: «Digitale werkomgeving OM inderdaad gehackt, onderzoek moet uitwijzen welke informatie is gestolen»?1

Ja.

Vraag 2

Wat werd aangetroffen in de eerste scans van het Nationaal Cyber Security Centrum (NCSC) waaruit bleek dat onbevoegden de systemen van het Openbaar Ministerie (OM) zijn binnengedrongen?

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen had losgekoppeld van het internet. Het NCSC heeft met gerichte scans gezocht naar kwetsbare of mogelijk gecompromitteerde systemen. Een analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er gebruik is gemaakt van deze mogelijke kwetsbaarheid. Het NCSC heeft daarop het OM geïnformeerd en geadviseerd om nader onderzoek te verrichten. Inmiddels is een eerste technisch en forensisch onderzoek uitgevoerd.2 Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 3

Bent u op de hoogte van het soort gegevens dat mogelijk is ingezien of buitgemaakt door onbevoegden? Heeft u gericht maatregelen genomen op basis van deze informatie?

Zoals aangegeven in de beantwoording van vraag 2 is zijn er tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader onderzoek gedaan. Over het lopende strafrechtelijk onderzoek kan ik u gedurende dat onderzoek geen mededelingen doen.

Vraag 4

Zijn er aanwijzingen dat persoonsgegevens van medewerkers, zoals e-mailadressen, inloggegevens, telefoonnummers of privéadressen, zijn buitgemaakt of ingezien door onbevoegden?

Zie antwoord vraag 3.

Vraag 5

Wordt er onderzocht welke gevolgen deze hackaanval kunnen hebben voor de digitale en fysieke veiligheid van OM-medewerkers, met name zij die betrokken zijn bij zware strafzaken ten aanzien van ondermijnende criminaliteit? Zo nee, bent u bereid dit wel te doen?

Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 6

Zijn er aanwijzingen dat persoonsgegevens van getuigen of slachtoffers zijn buitgemaakt of ingezien door onbevoegden? Wat doet u om hun veiligheid te waarborgen?

Zie antwoord vraag 5.

Vraag 7

Is er een (voorlopige) risicoanalyse gemaakt en worden er op basis daarvan al maatregelen genomen om kwetsbaarheden af te dekken, naast het offline halen van het OM?

Er zijn maatregelen genomen om kwetsbaarheden af te dekken. Inmiddels gaat het OM stapsgewijs weer online. Dit proces moet zorgvuldig worden ingericht, met versterkte monitoring en detectie, omdat misbruik nooit helemaal kan worden uitgesloten.3

Vraag 8

Welke overheidsorganisaties maken nog meer gebruik van Citrix-software die dezelfde kwetsbaarheid bevat? Welke maatregelen nemen zij om mogelijke hackaanvallen te onderzoeken en zo nodig hun systemen veilig te stellen, gezien u in de brief van 23 juli j.l. schrijft dat het NCSC heeft geadviseerd dat alle organisaties die deze software gebruiken mogelijk misbruik moeten onderzoeken (Kamerstuk 26 643, nr. 1377)?

Het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk gebruik en misbruik van de kwetsbaarheden, ook als de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek en het handelingsperspectief van het NCSC bij alle departementen middels meerdere CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.
Het NCSC vervult een coördinerende rol in de informatie-uitwisseling door continu informatie samen te brengen en te delen, zodat organisaties zelf in staat zijn aanvullend onderzoek te verrichten. Binnen de juridische kaders verstrekt het NCSC informatie als duiding, handelingsperspectieven en beveiligingsadviezen via verschillende netwerken en (openbare) kanalen aan zowel publieke als private organisaties.
Ik kan alleen ingaan op de organisaties die onder mijn departement vallen en verwijs daarvoor onder meer naar de Kamerbrieven van 17 juli jl.4 en van 12 augustus jl.5

Vraag 9

Hoe wordt actuele en relevante informatie uit het onderzoek van het OM gedeeld met andere organisaties die mogelijk ook zijn getroffen door een hackaanval? Bent u bereid deze informatie ook proactief met commerciële partijen te delen?

Zie antwoord vraag 8.

Vraag 10

Hoe worden ketenpartners waar de systemen van het OM mee zijn geïntegreerd betrokken bij deze operatie? Ontvangen zij ook steun voor het onderzoeken van eigen systemen of om belemmeringen in hun werk te voorkomen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en alle samenwerkingspartners. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen heb ik u op 12 augustus jl. geïnformeerd.6

Vraag 11

Is het mogelijk om het herstel van de OM-systemen sneller te laten verlopen dan de verwachte wekenlange operatie? Zo ja, bent u bereid capaciteit vrij te maken om dit te versnellen?

Op basis van de onderzoeksresultaten van het technisch en forensisch onderzoek – en het naarmate het offline zijn van het OM langer duurt, steeds zwaarwegender belang van het goed functioneren van de strafrechtketen en de impact daarvan op de maatschappij – heeft het College van procureurs-generaal het besluit genomen dat het verantwoord en wenselijk is om het OM weer in fasen online te laten gaan. Over deze stapsgewijze livegang van het OM heb ik uw Kamer op 4 augustus geïnformeerd.7

Vraag 12

Wat zijn de praktische gevolgen van het offline halen van de systemen voor OM-medewerkers en lopende strafzaken? Is de organisatie voldoende uitgerust om taken analoog of met back-up systemen volwaardig op te pakken?

Medewerkers van het OM konden alleen inloggen op kantoorlocaties, waren niet per mail bereikbaar en er was sprake van een beperkte functionaliteit van de systemen.8 In de periode dat het OM geheel offline was kon er geen enkele digitale informatie van en naar het OM worden gestuurd. Dit raakten alle ketenpartners in en rondom de strafrechtketen. Het OM en ketenpartners stelden werkprocessen vast om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren. Daarnaast had het OM speciale aandacht voor het informeren van slachtoffers en hun gemachtigden. Dit toont de inventiviteit, enorme inzet en bereidheid om samen te werken in de strafrechtketen. Over de verdere impact op de organisaties in en rondom de strafrechtketen heb ik u op X augustus geïnformeerd.9

Vraag 13

Worden verdachten, advocaten, rechters en andere betrokkenen in de keten actief geïnformeerd over de gevolgen die zij mogelijk ondervinden?

Het OM heeft Q&A’s geplaatst op de eigen website met daarin de veelgestelde vragen op een rij voor de advocatuur, inclusief een apart overzicht voor slachtofferadvocatuur en daarnaast voor slachtoffers. Ook is informatie over de telefonische bereikbaarheid van het OM opgenomen.10 Deze overzichten worden steeds bijgewerkt. Ook op de website van de Rechtspraak is een overzicht met veelgestelde vragen te vinden over de invloed die de IT-problemen bij het OM kunnen hebben op lopende strafzaken.11 Het CJIB en Slachtofferhulp Nederland (SHN) geven op hun websites aan dat de situatie bij het OM gevolgen heeft voor de eigen werkzaamheden en dat – ook met de gegeven alternatieve oplossingen – als gevolg daarvan slachtoffers in bepaalde gevallen mogelijk minder goed geïnformeerd en/of proactief ondersteund kunnen worden.12

Vraag 14

Wanneer is er sprake van genoeg zekerheid om (delen van) het interne systeem weer online te brengen? Hoe voorkomt u dat er uit haast onvoldoende voorzorg wordt genomen, zolang niet precies bekend is wat de ernst van de hack is?

Zoals reeds aan uw Kamer gemeld, zijn er tot op heden er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Op 4 augustus jl. heb ik u geïnformeerd over het stapsgewijs weer online gaan van de systemen van het OM.13 Dit proces wordt zorgvuldig ingericht met versterkte monitoring en detectie. Ik heb het OM verzocht om bij deze gefaseerde livegang in afstemming met de keten te bezien welke essentiële processen met prioriteit weer gedigitaliseerd doorgang moeten vinden.

Vraag 15

Hoe draagt u bij aan het zo snel mogelijk inzicht krijgen van de gevolgen en het veilig online brengen van de het interne OM-netwerk? Stelt u hiervoor extra capaciteit beschikbaar?

Zie antwoord vraag 14.

Vraag 16

Is de Autoriteit Persoonsgegevens betrokken bij deze operatie? Kunt u hen nauw betrekken zodat er snel gehandeld kan worden als blijkt dat persoonsgegevens ingezien of buitgemaakt zijn?

De Autoriteit Persoonsgegevens is reeds door het OM en JIO ingelicht over de situatie. Waar nodig wordt vanzelfsprekend nauw contact onderhouden met de Autoriteit Persoonsgegevens.

Vraag 17

Heeft u contact gehad met Citrix over de kwetsbaarheid in hun software? Kan de leverancier bijdragen aan een oplossing voor het OM?

Ja, met Citrix is regelmatig contact over de kwetsbaarheden en oplossingen hiervoor.

Vraag 18

Kunt u, zo nodig vertrouwelijk, de Kamer informeren over de interne toelichting die is gegeven aan het OM en bekend is bij het NRC?

Ik acht het niet opportuun om in te gaan op mediaberichtgeving over interne communicatie binnen het OM. Het is aan het OM om daar al dan niet op te reageren. Voor het overige verwijs ik naar de Kamerbrieven die uw Kamer over dit onderwerp zijn toegestuurd.

Vraag 19

Kunt u deze vragen afzonderlijk van elkaar en spoedig beantwoorden, en indien mogelijk betrekken bij de eerstvolgende update over de situatie?

Waar relevant zijn antwoorden samengevoegd om herhaling te voorkomen.

Vraag 1

Staat u nog steeds achter uw meermaals herhaalde uitspraak dat bewoners die twijfelen over hun rapport bezwaar kunnen maken ook als de bezwaartermijn is verlopen, gezien er de afgelopen tijd veel debat is geweest over fouten in Nationaal Coördinator Groningen (NCG-)dossiers?

Ja, ik blijf achter mijn uitspraak staan dat NCG coulant en ruimhartig omgaat met bezwaartermijnen als een bewoner aangeeft meer tijd nodig te hebben. Ook als op dat moment de bezwaartermijn al is verstreken.1

Vraag 2

In juni kwamen er opnieuw signalen van bewoners dat er, in weerwil van uw beloftes, door de NCG niet coulant met bezwaartermijnen werd omgegaan, u herhaalde toen dat u coulance belangrijk vindt, welke stappen heeft u gezet om dit waar te maken?

Ik heb uw signaal besproken met NCG. NCG heeft nogmaals bevestigd dat zij niet te streng, oftewel coulant, omgaat met termijnen. Coulant betekent echter niet dat elk verzoek ook daadwerkelijk leidt tot een bezwaar dat inhoudelijk in behandeling kan worden genomen. Ik zal u schetsen wat ik hiermee bedoel door het proces te schetsen van persoonlijk gesprek naar beoordeling van een bezwaar buiten de termijn tot een alternatief voor bewoners als het bezwaar niet inhoudelijk in behandeling kan worden genomen.
Zoals u van mij weet, vind ik het belangrijk dat NCG altijd het gesprek aangaat met een bewoner, in dit geval de eigenaar, en zijn of haar advocaat of andere experts die hem of haar ondersteunt, wanneer die bijvoorbeeld zorgen heeft over de kwaliteit van zijn rapport. Het maakt mij niet uit of een bewoner zich direct meldt bij NCG of dit doet via een maatschappelijke organisatie of een andere weg. Ook in deze situatie begint het met een persoonlijk gesprek. NCG probeert in deze gesprekken erachter te komen wat eraan schort en hoe tegemoet gekomen kan worden aan de zorgen die een bewoner heeft. Wanneer een bewoner hierna alsnog de keuze maakt om bezwaar te maken buiten de bezwaartermijn, zal NCG uiteindelijk de keuze maken of een bezwaar alsnog in behandeling kan worden genomen.
Hierbij moet ik opmerken dat het zowel voor eigenaren als voor NCG ook noodzakelijk is om grenzen te stellen omwille van (procedurele) duidelijkheid en rechtszekerheid. Niemand is immers gediend bij onduidelijkheid over de status van een besluit. NCG kiest niet willekeurig of bezwaren in behandeling worden genomen, maar doet dit aan de hand van een beoordeling. Dit is ook nodig, bijvoorbeeld als het betreffende huis constructief verbonden is met andere huizen.
Het wettelijk kader waarbinnen de NCG opereert is de Algemene wet bestuursrecht (hierna: Awb). Deze geldt voor alle bestuursorganen. In de Awb is voor alle bestuursorganen voor alle besluiten geregeld dat er een vaste termijn van zes werken (artikel 6:7) geldt en dat het bestuursorgaan een overschrijding van die termijn als verschoonbaar kan aanmerken (artikel 6:11). De coulance van NCG houdt in deze in dat NCG per verzoek, ondanks dat de wettelijke termijn is overschreden, beoordeelt of het bezwaar toch inhoudelijk behandeld moet worden. Op deze wijze is niet het systeem leidend, maar de individuele situatie van de bewoner. NCG zal op haar website in algemene zin aangeven hoe zij omgaat met behandeling van bezwaren buiten de bezwaartermijn.
In haar beoordeling houdt NCG bijvoorbeeld rekening met de duur van de overschrijding van de bezwaartermijn, de reden of oorzaak dat de bewoner te laat in bezwaar is gegaan (dit kunnen privéomstandigheden zijn, maar ook externe omstandigheden), het onderwerp van het bezwaar, maar ook of er sprake is van constructief verbonden gebouwen, welke andere belangen van buren of andere partijen bestaan, etc.
Op basis van de beoordeling van het bezwaar kan het zo zijn dat een bezwaar niet-ontvankelijk wordt verklaard en daarom niet inhoudelijk in behandeling wordt genomen. Wanneer hiertoe behoefte bestaat kan de bewoner om een nadere toelichting vragen aan de NCG. Hiernaast is er ook de mogelijkheid voor de bewoner om – op een later moment – opnieuw naar een besluit te laten kijken door NCG. Bij nieuwe feiten en/of omstandigheden, kunnen bewoners altijd een herzieningsverzoek indienen.

Vraag 3

Hoe voert u de met 148 stemmen voor aangenomen motie Beckerman c.s. om daadwerkelijk coulant om te gaan met de wettelijke (bezwaar)termijnen uit?1

Zie mijn antwoord op vraag 2.

Vraag 4

Hoe voert u het al in februari aangenomen amendement Beckerman/Bushoff uit om expliciet mogelijk te maken dat besluiten kunnen worden herzien? Welke stappen zijn gezet en welke gaat u nog zetten?2

De wet omissies4, waarin het amendement is opgenomen, is op 17 juli 2025 in werking getreden.5 Hierdoor is de zinsnede «nadat het besluit onherroepelijk is geworden» geschrapt uit het artikel van de Tijdelijke wet Groningen dat gaat over het inschrijven van besluiten tot al dan niet versterken in de openbare registers. Uit de toelichting bij het amendement blijkt dat de indieners hiermee willen bevestigen dat besluiten, zoals een «op norm»-besluit of een besluit tot niet versterken, herzien kunnen worden. Zoals ik ook in mijn appreciatie van het amendement destijds6 en in de beantwoording van uw vragen d.d. 10 februari 2025 heb aangegeven, voorzag de wet daar al in, omdat eigenaren een herziening van besluiten kunnen aanvragen, bijvoorbeeld doordat er nieuwe feiten of omstandigheden ontstaan, of omdat eigenaren – nadat zij eerst een besluit tot niet versterken hebben aangevraagd bij NCG – toch wel hun huis willen laten versterken door NCG. Ook als het besluit al langer geleden genomen is en ook als zo'n besluit al is ingeschreven in de openbare registers.
Daarnaast kunnen eigenaren altijd in bezwaar gaan tegen een besluit en beroep aantekenen tegen een beslissing op bezwaar. Zij worden in de brief van NCG waarin het besluit is beschreven geïnformeerd over deze mogelijkheden. De termijn van 6 weken om bezwaar aan te tekenen is echter wettelijk vastgelegd in de Algemene wet bestuursrecht en geldt voor alle besluiten van alle overheidsinstanties. Dit amendement zorgt er in de praktijk niet voor dat deze termijn die in de wet staat, wordt verlengd. De praktische uitvoering door de NCG heb ik in antwoord 2 toegelicht.

Vraag 5

Kunt u uitleggen hoe het kan dat bewoners opnieuw brieven krijgen van de NCG (dagtekening 14 juli) dat er niet coulant omgegaan zal worden met hun bezwaar, gezien dit haaks staat op zowel uw beloftes als aangenomen Kamervoorstellen?

Zie het antwoord op vraag 2.

Vraag 6

Bent u van mening dat het voor bewoners die al jarenlang in onzekerheid zitten over hun huis en nu twijfelen over het rapport dat ze van de NCG hebben gekregen cruciaal is dat ze in bezwaar kunnen gaan?

Ja, als eigenaren twijfels hebben over hun rapport, dan moeten deze twijfels en vragen worden geadresseerd. Dit wil ik niet beperken tot het bezwaarproces, zie ook mijn antwoorden op eerdere Kamervragen.7 Daarom is dit tijdens het hele versterkingstraject, en na afloop, mogelijk. Het belangrijkste vind ik om juist met elkaar in gesprek te blijven. Eigenaren kunnen zich in het gehele versterkingstraject ook kosteloos laten bijstaan door een onafhankelijke bouwkundige adviseur die het rapport voor de eigenaar kan beoordelen en hem of haar kan bijstaan in het gesprek met NCG. Ook kunnen NCG en de eigenaar gezamenlijk besluiten om kosteloos een onafhankelijke mediator via de subsidieregeling rechtsbijstand in te schakelen om tot een oplossing te komen.

Vraag 7

Bent u voorts van mening dat het een slechte zaak is wanneer dit, ondanks de gedane beloftes en aangenomen voorstellen, door de NCG wordt geblokkeerd?

Zie mijn antwoord op vraag 2.

Vraag 8

Bent u van deze brieven op de hoogte, gezien de brieven die de NCG verstuurt worden ondertekend met «Hoogachtend, Namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties – Herstel Groningen»?

Ja, ik weet dat NCG deze brieven heeft gestuurd, maar ben uiteraard niet op de hoogte van de inhoud van elke brief, aangezien die situatieafhankelijk zijn. De ondertekening past echter binnen het mandaat van de NCG.

Vraag 9

Wat is er meer nodig dan een aangenomen amendement, een aangenomen motie en uw belofte om te zorgen dat bewoners die twijfelen over hun rapport daadwerkelijk in bezwaar kunnen gaan?

Zie mijn antwoord op vraag 2 en op vraag 6.

Vraag 10

Wat wilt u doen om te zorgen dat bewoners niet opnieuw een hele strijd aan hoeven gaan wanneer ze zorgen hebben over de kwaliteit van hun rapport?

Mede dankzij de Kamer zijn er tal van laagdrempelige manieren mogelijk gemaakt voor bewoners met zorgen om zich te melden. Ik heb het al vaker gezegd, maar bewoners hebben recht op een goed beoordelingsrapport. Als een bewoner zorgen of twijfels heeft, dan kunnen ze die altijd met NCG bespreken. Ook zijn er tal van formelere wegen, wanneer de eigenaar die verkiest. Als er fouten gemaakt zijn, dan moeten die rechtgezet worden. Zie ook mijn antwoord op vraag 6, waarin ik verwijs naar eerdere Kamervragen over dit onderwerp.

Vraag 11

Indien u toch van menig blijkt dat coulance slechts geldt voor een deel van de gedupeerden, welke criteria worden dan toegepast om te bepalen welke te late bezwaren wel en niet ontvankelijk zijn?

Zie het antwoord op vraag 2.

Vraag 1

Heeft u kennisgenomen van het artikel van Follow the Money van 20 juli 2025, getiteld «Schaduwvloot onder valse vlag», waarin wordt beschreven dat tientallen tankers van de Russische schaduwvloot onder de vlag van Aruba, Curaçao of Sint-Maarten varen?1

Ja, waarbij moet worden aangetekend dat Curaçao wel een internationaal scheepsregister heeft en dus schepen onder de Koninkrijksvlag geregistreerd in Curaçao niet per definitie onder een valse vlag varen.

Vraag 2

Hoe beoordeelt u het feit dat deze Caribische landen binnen het Koninkrijk der Nederlanden worden gebruikt om Russische olie via valse vlaggen te transporteren en daarmee internationale sancties te omzeilen?

De aanpak van omzeiling van internationale sancties door Rusland blijft een prioriteit voor het kabinet. Het kabinet acht het zeer onwenselijk dat deze sancties worden omzeild, in het bijzonder wanneer dit gebeurt door het onrechtmatig gebruik van een vlag van een de landen van het Koninkrijk.

Vraag 3

Bent u het eens dat dit het imago en de geloofwaardigheid van het Koninkrijk ernstige schade toebrengt? Zo ja, welke maatregelen overweegt u om dit tegen te gaan?

Het gebruik van niet-bestaande vlaggen, dan wel onrechtmatig gebruik van bestaande vlaggen acht ik zeer onwenselijk. Het is een steeds vaker voorkomend probleem en is daarom helaas niet uniek. Tegelijkertijd, het feit dat Nederland, Aruba, Curaçao en Sint Maarten internationaal actief zijn in het registreren en adresseren van dit soort frauduleuze praktijken, draagt bij aan de internationale reputatie van het Koninkrijk en hier blijf ik mij voor inzetten.

Vraag 4

Bent u het eens dat het ontwijken van sancties via Caribische scheepsregisters onacceptabel is, landen als Rusland en Iran in de kaart speelt en een ondermijning vormt van de internationale sanctieregimes?

Ja. Tegengaan van sanctieomzeiling is absolute prioriteit van het kabinet. Omzeiling ondermijnt de effectiviteit en het draagvlak van de sancties. Daarom heb ik recentelijk, samen met collega’s van 13 andere Europese landen, een verklaring uit doen gaan waarin wordt opgeroepen tot verdere gezamenlijke en gecoördineerde actie om Russische pogingen om internationale sancties te omzeilen, specifiek in relatie tot de Russische schaduwvloot, effectief aan te pakken.2

Vraag 5

Is er naar uw oordeel voldoende zicht binnen Nederland en de andere landen van het Koninkrijk op het aantal schepen met een Caribische vlag die momenteel zijn geregistreerd en olie vervoeren voor Rusland of Iran?

Behalve Nederland en Curaçao, hebben andere landen of eilanden in het Koninkrijk geen internationaal vlagregister. In de context van het zeerecht betekent dit dat schepen die varen onder de niet-bestaande vlag van Aruba of Sint Maarten in strijd handelen met internationale afspraken, waaronder het VN-Zeerechtverdrag (UNCLOS). Dit geldt ook voor schepen die met vervalste Curaçaose vlag- en scheepcertificaten varen. Op het moment van schrijven zijn er echter geen tankers formeel geregistreerd in het scheepsregister van Curaçao, want betekent dat alle tankers die momenteel rondvaren onder Curaçaose vlag- en scheepscertificaten frauduleus zijn.
Omdat deze schepen niet onder de maritieme registerverantwoordelijkheid vallen van de landen, is er ook geen (toe)zicht op deze schepen vanuit de landen van het Koninkrijk. In algemene zin geldt dat deze malafide schepen zeer lastig te traceren en aan te pakken zijn, juist vanwege het feit dat zij niet zijn geregistreerd. Het exacte aantal schepen is continu fluctuerend. Momenteel is er sprake van enkele tientallen schepen, waaronder zowel olietankers als andere soorten van schepen die niet geregistreerd zijn.

Vraag 6

Welke stappen heeft het kabinet sinds de invoering van de Europese Unie (EU)-sancties genomen om te voorkomen dat schepen die de vlag voeren van één van de landen van het Koninkrijk worden ingezet voor de Russische schaduwvloot, en welke aanvullende maatregelen neemt Nederland samen met Aruba, Curaçao en Sint-Maarten om te zorgen voor striktere controle op scheepsregistraties en de naleving van internationale sancties?

Schepen die staan geregistreerd in het Nederlandse of Curaçaose internationale vlagregister zijn onderhevig aan vlaggenstaatcontrole, inclusief de naleving van internationale sancties. De Inspectie voor Leefomgeving en Transport (ILT) van het Ministerie van Infrastructuur en Waterstaat is hiervoor in Nederland verantwoordelijk, de Maritieme Autoriteit Curaçao (MAC) draagt deze verantwoordelijkheid voor schepen in het internationale register van Curaçao. Dit geldt echter niet voor malafide registraties, ongeacht onder welk land in het Koninkrijk deze frauduleus geregistreerd staan. Voor de malafide registraties wordt in Koninkrijksverband nauw samengewerkt door de maritieme administraties van de vier landen van het Koninkrijk. Dat gebeurt in samenwerking met het Ministerie van Buitenlandse Zaken en de (Caribische) Kustwacht. De Koninkrijksdelegaties die deelnemen aan vergaderingen bij de Internationale Maritieme Organisatie (IMO) adresseren daar actief de problematiek aangaande de schaduwvloot.
Aanvullend zet Nederland zich actief in EU-verband in op het sanctioneren van individuele schepen, waarmee onder andere havenverboden kunnen worden opgelegd aan individuele schepen die sterke banden hebben met Rusland.

Vraag 7

Overwegende dat de regering van Sint-Maarten aangeeft niet de capaciteit te hebben om onderzoek te doen naar schepen buiten haar territoriale wateren en daarmee het risico blijft bestaan dat de Russische schaduwvloot wordt gefaciliteerd, op welke wijze gaat Nederland de andere landen binnen het Koninkrijk ondersteunen, en bent u bereid daarbij ook te kijken naar het opzetten of versterken van eigen scheepsregisters met verbeterd toezicht?

Sint Maarten is een autonoom land binnen het Koninkrijk der Nederlanden en het is dan ook aan Sint Maarten om te bepalen hoe op te treden tegen schepen die onterecht onder zijn vlag varen. Nederland zal Sint Maarten waar mogelijk ondersteuning aanbieden, met eerbiediging van de verdeling van verantwoordelijkheden zoals vastgelegd in het Statuut voor het Koninkrijk der Nederlanden.
Op dit moment wordt binnen de samenwerking vanuit Nederland en het Koninkrijk er al actief ingezet om alle belanghebbenden op de hoogte te brengen dat Sint Maarten en Aruba geen internationaal vlagregister hebben. Daarnaast blijven Nederland en het Koninkrijk met andere landen binnen en buiten Internationale Maritieme Organisatie (IMO) zoeken naar verdere mogelijkheden om deze praktijken te stoppen.

Vraag 8

Beschikt Nederland over juridische mogelijkheden om schepen die onder de vlag van Aruba, Curaçao of Sint-Maarten varen en betrokken zijn bij sanctieontwijking te inspecteren, aan te houden of hun vlagregistratie ongeldig te verklaren?

Zolang schepen onder de vlag van het Koninkrijk der Nederlanden varen en in het vlagregister van Nederland of Curaçao staan ingeschreven, is het voor de vlaggenstaat juridisch mogelijk deze aan te houden, beperkingen op te leggen of zelfs de vlag te ontnemen. Zoals al aangegeven in de antwoorden op vraag 5 en 7, handelen schepen die onder de in het zeerecht niet-bestaande vlag van Aruba of Sint Maarten varen in strijd met internationale verdragen en afspraken en kunnen deze schepen worden beschouwd als een schip zonder nationaliteit. Dit geldt ook voor schepen die met vervalste Curaçaose vlag- en scheepcertificaten varen. Er zijn juridische mogelijkheden om deze schepen, zodra zij de territoriale zee in varen, aan te houden. Daarnaast is het mogelijk om in Nederlandse havens inspecties uit te voeren. Buiten de territoriale zee zijn de mogelijkheden beperkter, echter kan wel op vrijwillige basis informatie opgevraagd worden en is het mogelijk schepen te begeleiden. De Kustwacht heeft recent met twee door de EU gesanctioneerde schaduwvlootschepen met een valse Arubaanse vlag contact gelegd met de kapiteins. Er is gewezen op de verantwoordelijkheid voor de veilige vaart van het schip, de scheepsdocumenten zijn opgevraagd en ook zijn deze schepen begeleid door een gedeelte van de Exclusieve Economische Zone (EEZ) van Nederland. Deze acties hebben plaatsgevonden van 17 op 18 augustus en van 27 op 28 augustus. Op dit moment werken de betrokken ministeries uit wat er aanvullend nog ondernomen kan worden, waarbij er zowel naar de juridische en operationele mogelijkheden gekeken wordt. Voorbereidingen worden getroffen om inspecties op ankerplaatsen mogelijk te maken van schepen onder de niet-bestaande scheepsregisters van landen in het Koninkrijk.

Vraag 9

Overwegende dat volgens het artikel westerse rederijen oude tankers hebben verkocht aan dubieuze partijen waardoor deze later deel zijn gaan uitmaken van de schaduwvloot, welke mogelijkheden ziet u om de verkoop van verouderde schepen naar derde landen beter te monitoren en te reguleren?

Er geldt nu al een meldplicht binnen de EU ten aanzien van de verkoop van olietankers. Op basis van informatie-uitwisseling binnen de EU kan hier vervolgens verder op gehandeld worden. Het kabinet zet zich tegelijkertijd voortdurend in Europees verband in om de sancties effectiever te maken en maatregelen te versterken, en zal zich daar ook in dit kader voor inzetten.

Vraag 1

Bent u van mening dat het loskoppelen van de interne digitale omgeving van het Openbaar Ministerie (OM) een zware maatregel is?

Het loskoppelen van het OM van het internet is inderdaad een zware maatregel. Het OM heeft mij echter laten weten dat die in dit geval onvermijdelijk werd geacht.

Vraag 2

Kunt u uitleggen waarom dit uit voorzorg gedaan is? Welke gebeurtenissen of risico’s gaven daar aanleiding toe?

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen heeft losgekoppeld van het internet vanwege signalen van een mogelijke kwetsbaarheid in de Citrix-systemen.2 Op basis van het technisch en forensisch onderzoek is vastgesteld dat er inderdaad gebruik is gemaakt van de kwetsbaarheden in die systemen. Tot op heden zijn er echter geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder forensisch en strafrechtelijk onderzoek vindt nog plaats. Inmiddels heeft het College van procureurs-generaal besloten om het OM stapsgewijs weer aan te laten sluiten op het internet. Hierover heb ik u op 4 augustus jl. geïnformeerd.3

Vraag 3

Zijn er mogelijk vertrouwelijke gegevens ingezien of gestolen?

Zoals reeds gemeld in de brief van 4 augustus jl. zijn er tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald.

Vraag 4

Zijn de back-ups van dossiers geborgd?

Ja.

Vraag 5

Bestaat het risico op vertraging of vormfouten in lopende strafzaken door het misbruik van deze kwetsbaarheid bij het OM? Of zijn er andere operationele risico’s?

In algemene zin had de gehele afsluiting van het OM van het internet impact op het OM zelf en alle samenwerkingspartners. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Het OM en alle ketenpartners hebben intensief samengewerkt. Het doorgaan van zittingen en behandelen van strafzaken hebben prioriteit gekregen en voor spoedeisende processen zijn afspraken gemaakt met ketenpartners.
Tegelijkertijd leidt de situatie tot verstoringen en vertragingen in de operationele werkprocessen met ketenpartners. Om deze operationele uitdagingen zoveel als mogelijk te mitigeren, zijn er verschillende maatregelen geïmplementeerd. Over de meest recente situatie, inclusief de knelpunten en effecten, heb ik uw Kamer op 12 augustus jl. geïnformeerd.4

Vraag 6

Zijn er maatregelen genomen om de bestaande, bekende kwetsbaarheden te verminderen?

In de periode vanaf juni 2025 tot aan 23 juli 2025 zijn er meerdere kwetsbaarheden bekend geworden van Citrix-systemen. Het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk gebruik van de kwetsbaarheden, ook als de kwetsbaarheden reeds waren verholpen middels de update. Het NCSC heeft hier verschillende beveiligingsadviezen voor uitgebracht.
Het OM heeft naar aanleiding hiervan verscheidene maatregelen genomen, waaronder het loskoppelen van de systemen van het internet, en het bijwerken onder meer van de software waardoor de kwetsbaarheid is ontstaan om het veiligheidslek te dichten. Ook loopt er een strafrechtelijk onderzoek. Daarnaast heeft het OM onderzoek gedaan om gebruik van de systemen te kunnen onderkennen of uit te kunnen sluiten. Er zijn tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald.
De livegang van de systemen van het OM dient stapsgewijs plaats te vinden, onder meer omdat deze zorgvuldig moet worden ingericht, met versterkte monitoring en detectie, omdat misbruik nooit helemaal kan worden uitgesloten.

Vraag 7

Welke maatregelen worden getroffen om te voorkomen dat rechters structureel door voorzorgsmaatregelen worden gehinderd in hun werkzaamheden, in het geval er toch een kwetsbaarheid aan het licht komt?

Met uitzondering van de (super) snelrechtzittingen hebben de zittingen voor het overgrote deel doorgang kunnen vinden. Wel zijn er alternatieve oplossingen bedacht voor werkprocessen om doorgang te kunnen waarborgen. Zo kon de advocatuur (proces)stukken die kort voor de behandeling van de zitting aangeleverd dienen te worden, sturen naar de Rechtspraak, die de processtukken vervolgens heeft verspreid naar de procespartijen. Daarnaast is er voor spoedeisende beslissingen geregeld dat de Rechtspraak – in plaats van het OM – deze naar het CJIB (Centraal Justitieel Incassobureau) stuurt. Het CJIB legt de beslissingen vervolgens op gebruikelijke en juiste wijze ten uitvoer. De focus ligt nu op de livegang van het OM. Het is nog te vroeg om te beoordelen of het nodig is om structurele maatregelen te treffen.

Vraag 8

Zijn er redenen waarom de beschikbare, uitgebrachte patch niet kon voorkomen dat deze kwetsbaarheid is gemitigeerd?

Het moment waarop gebruik is gemaakt van de kwetsbaarheid in relatie tot het moment van patchen hangt samen met onderdelen uit het strafrechtelijk onderzoek. Ik wil niet op de uitkomsten daarvan vooruitlopen.

Vraag 9

Wanneer heeft het OM de patch geïmplementeerd?

Zie antwoord vraag 8.

Vraag 10

Was de implementatietijd van de patch voldoende om de systemen te beschermen tegen de hack?

Zie antwoord vraag 8.

Vraag 11

Is er binnen het huidige audit- en screeningbeleid voldoende en tijdige aandacht geweest voor deze kwetsbaarheid? Geldt dit ook voor de leverancier van Citrix Netscaler?

Het NCSC heeft op verschillende momenten beveiligingsadviezen uitgebracht aan alle organisaties over de kwetsbaarheden in de Citrix-systemen, en heeft het OM naar aanleiding daarvan verschillende stappen gezet. Het OM volgt standaard operationele procedures om zo adequaat mogelijk te reageren op waarschuwingen. Er loopt nog nader onderzoek naar de omvang van het eventuele gebruik, de preventieve maatregelen die zijn genomen en de effecten daarvan.

Vraag 12

Heeft het OM tijdig en adequaat gereageerd op de waarschuwingen van het Nationaal Cyber Security Centrum (NCSC)?

Zie antwoord vraag 11.

Vraag 13

Wat zijn de protocollen voor het omgaan met dergelijke waarschuwingen en zijn deze gevolgd?

Zie antwoord vraag 11.

Vraag 14

Kunt u deze vragen een voor een beantwoorden?

De vragen zijn waar relevant in samenhang beantwoord ter voorkoming van herhaling.

Vraag 1

Bent u bekend met het bericht «WeTransfer haalt gebruik bestanden voor AI-training stilletjes uit voorwaarden»?1

Ja, hier ben ik mee bekend.

Vraag 2

Bent u bekend met de nieuwe gebruiksvoorwaarden van WeTransfer, een dienst waar veel mensen gebruik van maken om grote hoeveelheden data te delen met elkaar?

Ja, hier ben ik mee bekend. Overigens heeft WeTransfer zelf de eerdere berichtgeving hierover weersproken2.

Vraag 3

Is bij u bekend wat de gevolgen zijn van de nieuwe gebruiksvoorwaarden voor de consumenten-, privacy- en auteursrechten van gebruikers, die mogelijk worden geschonden als WeTransfer rechten krijgt over de data van gebruikers? Indien dit niet bekend bij u is, kunt u om een zienswijze vragen van de Autoriteit Consument & Markt (ACM) en/of de Autoriteit Persoonsgegevens (AP)?

Voor mogelijke schending van consumenten- en privacyrecht is het niet aan de regering, maar aan de gebruikers om zich tot de toezichthoudende autoriteit te wenden. Voor zover het de naleving betreft van de Algemene Verordening Gegevensbescherming (AVG) is dat de Autoriteit Persoonsgegevens (AP), nu WeTransfer B.V. haar hoofdzetel heeft in Amsterdam. Met betrekking tot de naleving van het consumentenrecht kan een melding worden gedaan bij de Autoriteit Consument en Markt (ACM). Er is geen toezichthouder voor de naleving van het auteursrecht. Als de voorwaarden die aan de inroepbaarheid van de uitzondering op het auteursrecht (neergelegd in artikel 15o van de Auteurswet) zijn geschonden (zie hierover nader het antwoord het vraag3 en de maker geen toestemming voor het gebruik van zijn werk heeft verleend, dan is sprake van een auteursrechtinbreuk. De maker kan een procedure bij de civiele rechter starten en daarin bijvoorbeeld een verbod en schadevergoeding vorderen.

Vraag 4

Is het trainen van AI-modellen op grote hoeveelheden data van gebruikers door techbedrijven, zoals mogelijk het geval is bij WeTransfer en eerder al het geval was bij Meta,2 toegestaan binnen de Nederlandse en Europese wet- en regelgeving? Welke beperkingen kent deze praktijk?

Het trainen van AI-modellen met data van gebruikers is onder bepaalde voorwaarden toegestaan. Het Europese Comité voor gegevensbescherming (EDPB), waarin de Europese toezichthouders samenwerken, heeft op 18 december 2024 een advies aangenomen over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen.5 Uit dat advies van de EDPB volgt dat een verwerkingsverantwoordelijke een gerechtvaardigd belang (artikel 6, eerste lid onder f AVG) kan hebben bij het gebruik van persoonsgegevens voor de ontwikkeling van een AI-model. Daarbij noemt de EDPB diverse voorwaarden voor het gebruik van deze grondslag bij het verwerken van persoonsgegevens ten behoeve van het ontwikkelen of inzetten van een AI-model. Een van die voorwaarden is dat uit een belangenafweging moet blijken dat het gebruik van persoonsgegevens noodzakelijk is en dat hetzelfde doel niet kan worden bereikt met, bijvoorbeeld, geanonimiseerde gegevens. In deze afweging spelen de redelijke verwachtingen van de betrokkenen een belangrijke rol. Bij het vaststellen daarvan dient onder meer rekening te worden gehouden met de context van de verwerking en de informatie die de verwerkingsverantwoordelijke aan de betrokkene aanbiedt. De verwerkingsverantwoordelijke kan daarbij op de concrete omstandigheden van het geval toegespitste maatregelen nemen om de impact van de verwerking op de belangen van de betrokkengebruikers te mitigeren. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of (en zo ja: welke) stappen moeten worden ondernomen tegen een vorm van verwerking.
In het geval AI-modellen worden getraind met auteursrechtelijk beschermde werken, geldt het volgende regime. De AI-verordening bepaalt dat het trainen van generatieve AI een vorm van tekst- en datamining is. Artikel 15o van de Auteurswet bepaalt dat het maken van een reproductie van een werk van letterkunde, wetenschap of kunst ten behoeve van tekst- en datamining onder bepaalde voorwaarden niet als inbreuk op het auteursrecht op het werk wordt beschouwd.6 Een reproductie van een werk mag zonder toestemming van de maker van het werk worden gemaakt, mits: (1) degene die de tekst- en datamining verricht rechtmatig toegang heeft tot het werk en (2) het auteursrecht door de maker of zijn rechtverkrijgenden niet uitdrukkelijk op passende wijze is voorbehouden. De reproductie mag slechts bewaard blijven zolang dat nodig is voor tekst- en datamining en moet daarna worden verwijderd.
Tot slot heeft de Europese Commissie op 10 juli 2025 de General-Purpose AI Code of Practice (GPAI-CoP) heeft gepubliceerd7. Deze (vrijwillige) gedragscode bundelt de belangrijkste uitgangspunten voor aanbieders in drie thematische hoofdstukken. Ook transparantie en auteursrecht maken daarvan onderdeel uit.

Vraag 5

Bent u van mening dat het beschikbaar stellen van gegevens voor doorverkoop en AI-trainingsdoeleinden ten alle tijden een goed geïnformeerde en individuele keuze voor gebruikers moet zijn?

In zijn algemeenheid merk ik op dat, zoals gezegd onder antwoord 4, de AVG ruimte biedt om – ook zonder toestemming van de betrokkene – op basis van de verwerkingsgrondslag «gerechtvaardigd belang» persoonsgegevens te verwerken. Of deze grondslag in een concrete situatie kan worden ingeroepen, wordt bepaald door de omstandigheden van het geval. De beoordeling daarvan komt (zoals toegelicht bij antwoord8 niet toe aan de regering en is aan de toezichthoudende autoriteit. Zij kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.
Artikel 15o van de Auteurswet schrijft, in het voetspoor van de EU-richtlijn auteursrecht in de digitale eengemaakte markt, voor dat het auteursrecht door de maker uitdrukkelijk op passende wijze kan worden voorbehouden zoals door middel van machinaal leesbare middelen bij een online ter beschikking gesteld werk (opt-out). Uit overweging 18 van de voornoemde richtlijn blijkt dat de rechthebbenden specifiek de rechten om reproducties te maken en opvragingen te verrichten ten behoeve van tekst- en datamining op passende wijze kunnen voorbehouden. Bij content die online voor het publiek beschikbaar is gesteld, moet het voorbehouden van die rechten enkel als passend worden beschouwd indien hierbij machinaal leesbare middelen worden gebruikt, waaronder metagegevens en de voorwaarden van een website of een dienst. In andere gevallen dan online gebruik kan het passend zijn om rechten voor te behouden met behulp van andere middelen, zoals contractuele overeenkomsten of een eenzijdige verklaring.

Vraag 6

Welke mogelijkheden heeft u om, nationaal of Europees, het afstaan van gegevens voor doorverkoop en AI-trainingsdoeleinden altijd een «opt-in» te maken? Zijn daartoe aanpassingen nodig van het consumentenrecht?

Een dergelijke «opt-in» zou veronderstellen dat de onderhavige verwerkingsvorm alleen rechtmatig is wanneer deze op toestemming van de gebruikers berust. Zoals ik in antwoorden 4 en 5 aangaf, kan onder omstandigheden ook de verwerkingsgrondslag «gerechtvaardigd belang» worden ingeroepen. Daarvoor weegt mee of de verwerkingsverantwoordelijke voldoende maatregelen heeft genomen om de impact van een gegevensverwerking op de belangen van betrokkenen te beperken. Het bieden van een onvoorwaardelijke «opt-out» kan volgens het eerdergenoemde advies van de EDPB worden beschouwd als een maatregel die de controle van individuen over de verwerking van hun persoonsgegevens versterkt.9 In artikel 4 van de Europese richtlijn auteursrecht in de digitale eengemaakte markt10 is ook gekozen voor een opt-out in plaats van een opt-in systeem. De AI-verordening haakt daarbij aan en bouwt daarop voort. De voornoemde richtlijn wordt volgend jaar onder het gezag van de Europese Commissie geëvalueerd.

Vraag 7

Bent u bereid om in gesprek te gaan met WeTransfer, een Nederlands bedrijf, om helderheid te krijgen over de gevolgen van de nieuwe voorwaarden en een garantie te krijgen dat data gewoon van de gebruikers blijft?

Dat zou een taak van de onafhankelijke toezichthouder zijn, indien deze dat opportuun vindt. In het stelsel van de AVG is het aan verwerkingsverantwoordelijken om verplichtingen na te leven, aan de betrokkenen om rechten uit te oefenen en is het toezicht bij onafhankelijke instanties belegd. Deze onafhankelijkheid vind ik belangrijk en ik wil dit dan ook niet doorkruisen.

Vraag 8

Kunt de vragen afzonderlijk van elkaar en vóór 8 augustus, wanneer de nieuwe gebruiksvoorwaarden ingaan, beantwoorden?

De vragen zijn afzonderlijk en zo snel mogelijk beantwoord.