Vraag 1

Bent u bekend met het bericht van de Consumentenbond «Tieneraccounts maken Instagram niet direct «veilig»»1?

Ja, hier zijn wij mee bekend.

Vraag 2

Deelt u de conclusies van het onderzoek? Kunt u afzonderlijk in gaan op de conclusies van de Consumentenbond?

Het kabinet vindt het belangrijk dat sociale mediaplatforms maatregelen nemen om minderjarigen op hun platforms te beschermen. Tieneraccounts kunnen een stap in de goede richting zijn, maar ook Tieneraccounts nemen niet alle risico’s weg. Zo moet er rekening mee worden gehouden dat kinderen vaak een andere leeftijd invullen dan dat ze daadwerkelijk zijn. Platforms kunnen daarom niet blind vertrouwen op Tieneraccounts en moeten ook aanvullende maatregelen nemen om te voorkomen dat kinderen worden blootgesteld aan schadelijke content, schadelijk contact of worden aangezet tot gedrag dat schadelijk voor hen is door bijvoorbeeld gebruik te maken van verslavende ontwerptechnieken om gebruikers zo lang mogelijk online te houden.
De Digitaledienstenverordening (DSA) verplicht onlineplatforms die toegankelijk zijn voor minderjarigen om passende en evenredige maatregelen te nemen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen.
Zeer grote online platforms moeten daarnaast op grond van de DSA ook de systeemrisico’s in kaart brengen en mitigeren. Het gaat hierbij onder andere om de werkelijke of voorzienbare negatieve effecten op de bescherming van minderjarigen.
Het is uiteindelijk aan de toezichthouders om vast te stellen of er sprake is van schending van wettelijke verplichtingen. Het is daarom ook aan de onafhankelijke toezichthouders, en daarna eventueel de rechter, om vast te stellen of de bevindingen van de Consumentenbond kloppen.

Vraag 3

Wat is uw reactie op de problemen die de Consumentenbond schetst rondom schermverslaving, een negatief zelfbeeld, en continue privacyschending door Instagram?

Het kabinet vindt het belangrijk dat de risico’s voor minderjarigen van online diensten zo veel mogelijk worden ingeperkt. Het is zorgelijk dat steeds meer minderjarigen te veel online zijn en beelden zien die slecht zijn voor hun zelfbeeld. Om de negatieve effecten van online diensten voor minderjarigen te beperken, wordt er ook in nieuwere wetgeving steeds meer rekening gehouden met de kwetsbare positie van kinderen, juist ook bij het gebruik van onlinediensten. Een voorbeeld daarvan is de onder vraag 2 genoemde DSA. De Europese Commissie is vorig jaar in dat kader ook een onderzoek gestart naar de naleving van de DSA door Meta bij hun dienst Instagram. Dit ziet het kabinet als een goede stap in de bescherming van kinderen tegen de schadelijke effecten van bijvoorbeeld sociale mediadiensten. Tegelijkertijd zijn de problemen nog niet opgelost.
De Europese Commissie is vorig jaar in het kader van de DSA een nalevingsonderzoek gestart naar de maatregelen die Meta heeft genomen om minderjarigen te beschermen tegen de risico’s van verslavende ontwerpkeuzes en ongepaste content, o.a. door te kijken naar de manieren van leeftijdsverificatie die Meta gebruikt. Ook kijkt de Commissie naar de standaard privacy instellingen voor minderjarigen als onderdeel van het ontwerp en de werking van hun aanbevelingssystemen. De resultaten van dit onderzoek zijn nog niet gepubliceerd. Het kabinet houdt dit nauwlettend in de gaten.

Vraag 4

Zijn de conclusies van het Consumentenbond-onderzoek voor u aanleiding om Meta aan te spreken op haar verantwoordelijkheid om jongeren daadwerkelijk te beschermen? Indien Meta «tieneraccounts» niet daadwerkelijk veilig maakt, welke gevolgen moet dat wat u betreft hebben?

Het kabinet vindt het belangrijk om in gesprek te blijven met de aanbieders van grote sociale mediaplatforms, zoals Meta, om hen te wijzen op hun verantwoordelijkheden en zorgplicht tegenover hun jonge gebruikers. Dit zijn stevige gesprekken. Het is echter uiteindelijk aan de toezichthouders om eventuele schendingen van wettelijke verplichtingen vast te stellen en hier waar nodig sancties aan te verbinden. Tijdens de (informele) EU-Gezondheidsraad heeft de voormalig Staatssecretaris van Jeugd, Preventie en Sport (JPS) nog benadrukt dat er op Europees niveau meer moet worden ondernomen om grote platforms te dwingen een gezonde en veilige online omgeving te bieden en zich aan Europese wet- en regelgeving te houden.

Vraag 5

Deelt u de mening van de indiener dat de online gezondheid van jongeren niet aan techgiganten moet worden overgelaten, maar een verantwoordelijkheid is van deskundigen en de overheid?

Het kabinet erkent dat commerciële belangen van deze bedrijven niet altijd in lijn zijn met de belangen van jongeren. De verantwoordelijkheid voor de online gezondheid van jongeren kan dan ook niet eenzijdig bij techbedrijven worden neergelegd. Het is een gezamenlijke opgave om minderjarigen online beter te beschermen. Gedeelde verantwoordelijkheid is echter geen excuus om niet het maximale te doen om het welzijn en de gezondheid van jongeren te beschermen. Het kabinet zet zich daarom actief in voor strenge kaders en toezicht op dit gebied. De eerder besproken verplichtingen uit de DSA zijn hiervan een goed voorbeeld. Deze regels zijn niet vrijblijvend, maar zijn afdwingbaar. De Europese Commissie en de ACM en de AP zien toe op de naleving hiervan. Naast handhaving zet de overheid ook in op het de ontwikkeling van instrumenten om ontwikkelaars van onlinediensten te ondersteunen bij het creëren van leeftijdsgeschikte ontwerpen, waarbij de risico’s op schending van kinderrechten zoveel mogelijk worden beperkt. Zo heeft het vorige kabinet een kinderrechten impact assessment (KIA) ontwikkeld en een geactualiseerde Code voor kinderrechten opgesteld. Deze KIA is toegepast op de drie grote sociale mediaplatforms Instagram, Snapchat en TikTok. De resultaten hiervan zullen binnenkort met uw Kamer worden gedeeld.
Ook ouders spelen een belangrijke rol bij de gedeelde opgave om minderjarigen online beter te beschermen. Om hen hierbij te ondersteunen zet het kabinet in op meer bewustwording en het versterken van opvoedvaardigheden. Er is een richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik opgesteld om ouders te ondersteunen bij de online opvoeding van hun kinderen. Deze richtlijn is 17 juni aan uw Kamer aangeboden2. Na de zomer gaat ook een publiekscampagne van start die zich primair richt op ouders/ opvoeders (zie meer hierover onder vraag 8).

Vraag 6

Welke verslavende ontwerpkeuzes kent Instagram? Kunt u deze op basis van onderzoek benoemen?

Het is niet bekend van welke verslavende ontwerpkeuzes precies gebruik wordt gemaakt op Instagram. De Europese Commissie doet echter, zoals toegelicht onder vraag 3, onderzoek naar o.a. verslavende ontwerpkeuzes en de werking van de aanbevelingsalgoritmen. Bij dit onderzoek kijkt de Commissie of de ontwerpkeuzes en aanbevelingsalgoritmen negatieve gevolgen hebben voor de veiligheid van minderjarigen. Dit onderzoek loopt nog en op dit moment is nog niet bekend wanneer dit wordt afgerond.

Vraag 7

Vindt u dat een Digitale Kijkwijzer voor sociale media, die de vertrouwde methodiek volgt van het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM), een effectieve methode zou zijn om verslavende ontwerpkeuzes te onderzoeken en gebruikers te behoeden voor de gezondheidsrisico’s daarvan?

Het rapport op basis waarvan de Gamecheck ontworpen kan worden, wordt in het najaar verwacht. De Staatssecretaris van BZK bekijkt in overleg met NICAM of de Gamecheck en de Gamewijzer van NICAM geïntegreerd kunnen worden. De daarmee opgedane ervaring wordt benut om te bezien of dit (geïntegreerde) instrument kan worden verbreed tot een digitale kijkwijzer. De richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik wordt daarin meegenomen.

Vraag 8

Deelt u de mening dat het adverteren van een «tieneraccount» dat niet daadwerkelijk doet wat het belooft een vorm van schijnveiligheid biedt, en daarmee jongeren en ouders verkeerd informeert?

We zijn van mening dat het geen goede ontwikkeling is als ouders het idee hebben dat door gebruik te maken van Tieneraccounts alle risico’s zijn weggenomen. Daarom vindt het kabinet het belangrijk dat ouders en kinderen handvatten wordt geboden hoe de risico’s online te herkennen en hiermee om te gaan. Na de zomer starten we daarom met een meerjarige publiekscampagne. Bij deze campagne worden ouders gestimuleerd om hun kinderen online te beschermen en hen hierbij te ondersteunen met praktische tips, bijvoorbeeld over hoe ze afspraken maken en met hun kinderen in gesprek kunnen gaan over de digitale wereld, hoe ze apps zo kunnen instellen dat hun kinderen zo veilig mogelijk zijn en hoe ze met hun kind kunnen praten over risico’s. We geven ouders een duidelijke richtlijn mee over gezond smartphone- en schermgebruik.

Vraag 9

Erkent u dat het commerciële belang van techbedrijven om zo lang mogelijk de aandacht van een gebruiker te trekken, fundamenteel in strijd is met de belangen van (mentale) gezondheid en online veiligheid?

Het kabinet erkent dat het commerciële belang van techbedrijven in strijd kan zijn met de belangen van (mentale) gezondheid en online veiligheid.
Jongeren besteden steeds meer tijd op sociale media, zoals Instagram, TikTok en Snapchat3. Onderzoek laat zien dat er steeds meer jongeren zijn die een risico lopen op problematisch social mediagebruik4. Van problematisch gebruik is sprake als het sociale media gebruik bijvoorbeeld leidt tot controleverlies, slaaptekort of een sociaal conflict. Deze toename is zorgwekkend, omdat jongeren die sociale media op een problematische manier gebruiken ook meer negatieve gevolgen ervaren, zoals angst, depressieve gevoelens en slaapproblemen.
Het kabinet vindt het daarom belangrijk om schadelijk en ongezond scherm- en sociale mediagebruik te ontmoedigen en gezond en positief gedrag te stimuleren. Dit doen we door, zoals in vraag 5 ook genoemd, inzet op meer bewustwording en het versterken van de online opvoedvaardigheden o.a. via de richtlijn voor «gezond en verantwoord scherm- en social mediagebruik» en de meerjarige publiekscampagne.

Vraag 10

Vindt u het uitlegbaar dat techbedrijven überhaupt zelf de voorwaarden voor een tieneraccount mogen stellen, nu blijkt dat het niet doet wat het belooft en de belangen in de kern tegenstrijdig zijn?

Bedrijven kunnen zelf afwegingen maken bij het inrichten van hun diensten. Uiteraard dient hierbij wel altijd te worden voldaan aan toepasselijke regelgeving, zoals de DSA, het consumentenrecht en de Algemene Verordening Gegevensbescherming (AVG). Commerciële belangen mogen hierbij niet zwaarder wegen dan de rechten van kinderen.

Vraag 11

Is de voorwaarde dat ouders zelf ook een Instagram-account moeten hebben om een tieneraccount in te stellen redelijk volgens u? Wat betekent dit voor ouders zonder Instagram-account?

Naast wetgeving en toezicht ziet het kabinet een belangrijke rol voor ouders. Zij hebben de verantwoordelijkheid om hun kinderen te begeleiden en het goede voorbeeld te geven. Wanneer ouders zelf actief zijn op een sociale mediaplatform, kunnen zij beter inzicht krijgen in de werking, gebruikersvoorwaarden, ouderlijke toezicht-instrumenten en risico’s van de dienst. Op deze manier kunnen ze hun kinderen begeleiden bij veilig en verantwoord sociale mediagebruik. Omdat ouders niet altijd goed weten hoe zij hun kinderen moeten begeleiden, start na de zomer een uitgebreide campagne hierover.
Tegelijkertijd ligt de verantwoordelijkheid zeker niet alleen bij de ouders. Niet alle ouders beschikken over voldoende digitale vaardigheid of hebben toegang tot de benodigde technologie. Ook staat het ouders natuurlijk vrij om zelf de keuze te maken om niet actief te zijn op sociale media. Het is belangrijk dat platforms ook rekening houden met deze ouders. Platforms moeten daarom niet enkel op Tieneraccounts leunen, maar er ook op toezien dat hun platforms in algemene zin veilig zijn voor minderjarigen en vrij zijn van schadelijke content en verslavende elementen.

Vraag 12

Hoe bent u van plan om nationaal de schermtijd te verlagen? Welke maatregelen nemen andere EU-landen om hier op te sturen? Zijn deze maatregelen effectief?

Het kabinet wil jongeren beschermen, gezond opgroeien van jeugdigen in de digitale wereld stimuleren en opvoeders meer handelingsperspectief bieden op dit gebied. Dat betekent ook de negatieve effecten van overmatig schermgebruik tegengaan. Op 17 juni jl. is door de voormalig Staatssecretaris van JPS de richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik aan uw Kamer aangeboden. Deze richtlijn bevat ook adviezen ten aanzien van schermtijd. De richtlijn wordt meegenomen bij de publiekscampagne die in het najaar start. Deze publiekscampagne is gericht op bewustwording bij ouders omtrent het gebruik van digitale middelen en diensten door hun kinderen.
Het kabinet heeft hiernaast onderzoek laten doen naar maatregelen van andere landen om van te leren. EU-landen zetten verschillende maatregelen in rondom schermtijd. Denk daarbij aan adviezen en richtlijnen, informatie-platforms met betrouwbare informatie over ongewenst gedrag online en inzet op mediavaardigheden en kennis over digitale balans. De verschillende maatregelen zijn over het algemeen onderdeel van een breder pakket van maatregelen gericht op (mentaal) gezond online opgroeien en veelal zijn deze maatregelen recent geïmplementeerd of moeten nog geïmplementeerd worden. Er kan daarom vooralsnog geen uitspraak worden gedaan over de resultaten van deze maatregelen.

Vraag 13

Hoe gaat u de motie-Kathmann [Kamerstuk 26 643-1302], die vraagt om een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes, uitvoeren?

Momenteel beziet het kabinet wat nodig is om verslavende ontwerpkeuzes verder aan te pakken.
We hebben onderzoek laten verrichten naar het huidige juridische kader op verslavende ontwerptechnieken. De uitkomsten van dit onderzoek zullen deze zomer nog met uw Kamer worden gedeeld. Mede op basis van dit onderzoek beziet het kabinet op welke wijze deze motie wordt uitgevoerd.

Vraag 14

Welke EU-lidstaten delen de opvatting van de Tweede Kamer dat er een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes moet komen? Hoe trekt u samen met hen op?

De problematiek over verslavend ontwerp staat bij verschillende lidstaten op het netvlies. Het is echter niet bekend of deze lidstaten ook voorstander zijn van een totaalverbod. Nadat de onder vraag 13 genoemde onderzoeksresultaten zijn geapprecieerd, zal het kabinet een strategie op EU-niveau gaan bepalen. Hierin zal ook een verkenning naar de standpunten van andere lidstaten op dit thema worden gedaan. Zodra deze strategie is bepaald zal uw Kamer hiervan op de hoogte worden gesteld.

Vraag 15

Steunt u de komst van een ambitieuze en sterke Digital Fairness Act (DFA) zoals voorgesteld door de Europese Commissie?2 Zou deze volgens u een verbod op verslavende ontwerpkeuzes moeten bevatten?

Ja, het kabinet steunt de komst van een sterke DFA om specifieke consumentenproblemen aan te pakken en hiermee ook duidelijkheid voor ondernemers te creëren. Verslavend ontwerp van digitale diensten maakt hier onderdeel van uit. We weten nog niet of een totaalverbod een geschikte oplossing is voor de aanpak van verslavend ontwerp. Zoals aangegeven in de beantwoording van vraag 13, hebben we een onderzoek naar het huidige juridische kader laten uitvoeren. Voor de zomer komen we hierop terug.

Vraag 16

Hoe reageert u op de uitspraken van de regering-Trump dat de Digital Services Act (DSA) niet verenigbaar is met Amerikaanse waarden?3

De DSA is gestoeld op de bescherming van grondrechten, waaronder de vrijheid van meningsuiting. De DSA schrijft expliciet voor dat bij contentmoderatie rekening moet worden gehouden met alle relevante belangen en fundamentele rechten, waaronder de vrijheid van meningsuiting. Niets in de DSA verplicht bedrijven om legale informatie te verwijderen. Nederland draagt daarom actief de boodschap uit dat de DSA geen «institutionalisering van censuur» is, dat alle partijen, en dus ook Amerikaanse bedrijven zich in Europa aan de Europese regels moeten houden en dat zij handhaving van de DSA jegens zeer grote online platforms door de Commissie ondersteunt.

Vraag 17

Zal u in Europees verband blijvend en ondubbelzinnig aandringen op maximale naleving, handhaving en waar nodig versteviging van digitale wetgeving, ongeacht politieke druk vanuit de Verenigde Staten?

Ja, daar blijven we op aandringen, met dien verstande dat het kabinet op dit moment nog geen aanleiding ziet om aan te dringen op versteviging van de digitale wetgeving

Vraag 18

Indien de regering-Trump wél aandringt op het afzwakken van Europese regelgeving, welke conclusie verbindt u daar in het uiterste geval aan? Bent u bereid om sociale media apps die willens en wetens EU-wetten niet naleven in het uiterste geval geheel te verbieden?

Dat is niet aan het kabinet. De DSA voorziet in een uitgebreid systeem van onafhankelijk toezicht op nationaal en Europees niveau. In Nederland zijn de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens aangewezen als bevoegde toezichthouders. De Europese Commissie houdt primair toezicht op aangewezen zeer grote online platforms- en zoekmachines. Het kabinet vertrouwt erop dat dit toezichtssysteem zijn werk doet.

Vraag 19

Bent u van mening dat het verhogen van de minimumleeftijd voor sociale media, nationaal of Europees, ook een vorm van schijnveiligheid biedt? Deelt u de mening van de indiener dat de oplossing ligt in een combinatie van niet-bindend wetenschappelijk advies en keiharde Europese regulering van sociale media apps?

De overheid is, naast o.a. ouders en het onderwijs, medeverantwoordelijk voor het beschermen jeugdigen, alsmede hen te stimuleren en te faciliteren om gezond en veilig (online) op te groeien.
Het stellen van een aanvullende wettelijke minimumleeftijd voor sociale media is als maatregel op zichzelf onvoldoende om een gezonde en veilige online omgeving voor jeugdigen te garanderen. Een minimumleeftijd is op dit moment nog eenvoudig te omzeilen en niet te handhaven. Er bestaat bovendien al wetgeving die van toepassing is op de toegang van minderjarigen tot sociale media. Uit de Algemene Verordening Gegevensbescherming (AVG) en uit de Uitvoeringswet (UAVG) volgt dat minderjarigen jonger dan 16 jaar, gebaseerd op de grondslag toestemming, geen gebruik mogen maken van internetdiensten als sociale media die persoonsgegevens verwerken, zonder toestemming of machtiging van de persoon die de ouderlijke verantwoordelijkheid voor de minderjarige draagt.
Het stellen van een aanvullende wettelijke minimumleeftijd voor sociale media is daarom niet wat het kabinet beoogt.
Het kabinet is van mening dat de oplossing ligt in een combinatie van maatregelen waaronder meer bewustwording en het vergroten van mediawijsheid, een duidelijke richtlijn en het versterken van online opvoedvaardigheden en duidelijke Europese regelgeving en toezicht voor de Tech-industrie in relatie tot het naleven van online kinderrechten en het bieden van een gezonde en veilige online omgeving.
Om ouders en opvoeders te ondersteunen bij het online opvoeden is, zoals hierboven al een paar keer genoemd de richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik aan uw Kamer aangeboden. De richtlijn is gebaseerd op wetenschappelijke kennis, alsmede praktijkkennis en de hulpvraag van ouders.
Op Europees niveau wordt op meerdere fronten ingezet op het beschermen van online kinderrechten en het tegengaan van de negatieve effecten van sociale media. Dit doen we bijvoorbeeld binnen de Telecomraad en de Gezondheidsraad. In dit laatste gremium is ook aandacht gevraagd voor eenduidige leeftijdsadviezen voor sociale media.

Vraag 20

Hoe gaat u komen tot nationale adviesleeftijden voor verschillende sociale media apps? Welke expertise betrekt u bij het maken van deze adviezen?

De voormalig staatsecretaris van JPS heeft onderzoekers Ina Koning (Vrije Universiteit) en Hellen Vossen (Universiteit Utrecht) de opdracht gegeven om in afstemming met andere wetenschappers en experts waaronder bijvoorbeeld het Trimbos Instituut, het NJi en Netwerk Mediawijsheid, ouders en jongeren tot een gedragen en (wetenschappelijk) onderbouwde richtlijn en adviezen voor gezond en verantwoord scherm- en sociale mediagebruik. Adviesleeftijden voor sociale media en eventuele differentiatie lopen mee als onderdeel van de bredere insteek van het onderzoek. Om tot de richtlijn te komen zijn een literatuuronderzoek en een Delphi-studie uitgevoerd. Ook wordt parallel een implementatieplan opgesteld, opdat de richtlijn goed gebruikt en opgevolgd gaan worden door ouders/opvoeders en partners in de praktijk.

Vraag 21

Wat is de rol van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in het maken van gezaghebbend gezondheidsadvies over schermtijd bij verschillende leeftijden en verschillende soorten schermtijd? Bent u bereid om het RIVM nauw te betrekken bij het maken van de nationale adviezen?

Er zijn veel partijen betrokken bij het opstellen van de richtlijn voor gezond- en verantwoord scherm- en social media gebruik. Het RIVM is een relevante partij op het terrein van een veilige en gezonde leefomgeving en onderdeel van de adviesgroep met diverse experts.

Vraag 22

Hoe gaat u de gezaghebbende adviezen van Nederlandse experts inzetten om tot een uniforme Europese informatievoorziening over de gezondheidseffecten van sociale media apps te komen?

De richtlijn waaraan wordt gewerkt is voornamelijk bedoeld voor de Nederlandse opvoeders. Wel zijn deze gebaseerd op internationaal en nationaal onderzoek en richtlijnen opgesteld in andere landen. Daarnaast zet de Staatsecretaris van JPS zich ook op Europees niveau in om te komen tot uniforme adviezen aan opvoeders.

Vraag 23

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Persoonsgegevens honderden militairen zichtbaar via sportapp Strava»?1

Ja.

Vraag 2

Hoe lang bent u al op de hoogte dat apps zoals Strava de veiligheid van Nederlandse militairen in gevaar brengen?

In 2018 heeft Defensie haar beleid voor het gebruik van dergelijke applicaties aangescherpt nadat een bedrijf een wereldwijde heatmap publiceerde waarop ook activiteiten van Defensie zichtbaar waren. Hierop waren onder meer de locaties van militaire bases zichtbaar.

Vraag 3

Met hoeveel zekerheid kunt u zeggen dat er al sprake is van het combineren van openbare of gelekte informatie over militairen door kwaadwillenden? Op welke schaal vindt dit plaats?

In brede zin is het aannemelijk dat locatiegegevens van militairen in handen zijn van andere partijen. Uit het Dreigingsbeeld Statelijke Actoren2 van november 2022 (bijlage bij Kamerbrief 4341330) blijkt dat statelijke actoren, waaronder China, op grote schaal persoonsgegevens verzamelen. Deze gegevens komen zowel uit open bronnen (zoals sociale media) als gesloten bronnen (door hacks). Ook in Nederland is deze vergaring van informatie waargenomen. Dat is een zorgelijke ontwikkeling waar ik me bewust van ben. Daarom zet ik me in om het cyberbewustzijn en de cyberveiligheid te vergroten.

Vraag 4

Deelt u de mening dat privacybescherming van militairen in direct verband staat met hun persoonlijke veiligheid en de nationale veiligheid?

Ja. Militairen vormen een doelgroep waarvan privégegevens en locatiegegevens waardevol zijn voor (vooral) statelijke actoren. Het onbewust delen van deze gegevens door militairen in een operatiegebied kan risico’s opleveren voor zowel de eigen veiligheid, als de operationele veiligheid. Daarom worden militairen die op uitzending gaan vooraf en tijdens de missie gewezen op de risico’s daarvan. Mede vanwege deze risico’s zijn vele applicaties, waaronder fitness-applicaties, niet togestaan op defensieapparatuur. De applicaties kunnen echter wel op de privéapparatuur worden geïnstalleerd, hetgeen door Defensie niet kan worden verboden. Het gebruik van privéapparatuur is in sommige situaties dan ook aan restricties onderhevig. Defensie besteedt verder veel aandacht aan de bewustwording van de risico’s.

Vraag 5

Deelt u de mening dat, vanuit het veiligheidsperspectief voor Nederlandse militairen, maximale privacybescherming op online platforms noodzakelijk is?

Ja. Defensie heeft echter geen zeggenschap over privéapparatuur en het privégebruik van het Internet. Defensie richt zich hierbij dus vooral op advisering en voorlichting.

Vraag 6

Op welke manier doet u aan advisering en voorlichting voor militairen over online veiligheid? Welke regels gelden er voor zowel werk- als privé telefoongebruik? Verschilt dit tussen militairen in Nederland en uitgezonden militairen?

Defensie informeert en traint militairen actief over (cyber)veiligheid van het gebruik van mobiele apparatuur. Elke militair doorloopt jaarlijks een training inzake militaire basisvaardigheden (MBV) en sinds twee jaar is aan die training een module cyberveiligheid toegevoegd.
Daarnaast is een Handboek Cyberveilig Gedrag uitgebracht, dat regels en aanbevelingen uiteen zet voor het gebruik van zowel privé als defensietelefoons. Een speciale cyberapplicatie is eveneens geïntroduceerd om militairen te informeren over cyberveiligheid. Elke defensiemedewerker heeft toegang tot deze applicatie.
Defensie heeft controle over de werktelefoons en kan daardoor bepaalde applicaties weren. Voor privételefoons is deze controle niet mogelijk, tenzij een militair op missie wordt gestuurd. In dat geval worden militairen geïnformeerd over de specifieke regels en risico's van telefoongebruik in het operatiegebied. Bovendien kunnen er tijdens een inzet aanvullende beveiligingseisen en restricties gelden voor zowel defensie- als privéapparatuur, om de veiligheid te waarborgen.

Vraag 7

Bent u bereid tot meer dwingende maatregelen, zoals het verbieden van sportapps en andere apps die de privacy van militairen schaden op militair terrein? Zo nee, waarom niet?

Op Defensieapparatuur zijn reeds bepaalde applicaties verboden waardoor deze niet geïnstalleerd en gebruikt kunnen worden. Om de digitale veiligheid van militairen te blijven waarborgen, monitort en analyseert Defensie continu de nieuwste technologische ontwikkelingen om eventuele risico's te identificeren. Wanneer nodig worden mitigerende maatregelen getroffen en worden de veiligheidsprotocollen bijgesteld en verbeterd.
Op apparaten die niet beheerd worden door Defensie is het stellen van dwingende maatregelen niet mogelijk. Zoals aangegeven werkt Defensie via training en opleiding aan het veiligheidsbewustzijn van haar medewerkers.

Vraag 8

Welke acties heeft u ondernomen om de online veiligheid van militairen beter te beschermen, ook na eerdere berichtgeving en Kamervragen over de privacygevolgen van datingapps en sportapps?2 3

Naar aanleiding van de eerdere berichtgeving en Kamervragen rondom het gebruik van dergelijke applicaties (2018), is het beleid aangescherpt. Bepaalde applicaties kunnen niet worden geïnstalleerd op defensieapparatuur. Voor de overige maatregelen verwijs ik naar de antwoorden op vragen 6 en 7.

Vraag 9

Hebben de acties die u heeft genomen om de online veiligheid van militairen beter te beschermen effect gehad? Kunt u dit onderbouwen?

Kenmerkend van het nemen van maatregelen ter verhoging van de informatiebeveiliging en de cybersecurity is, dat het lastig is om de effectiviteit te bepalen. Het is daarom van groot belang om constant alert te zijn op bestaande en nieuwe kwetsbaarheden en dreigingen, en op basis van risicoanalyses gepaste maatregelen te treffen.

Vraag 10

Bent u bekend met het onderzoek van de KU Leuven uit 2022, waaruit blijkt dat eerdere oplossingen van Strava vooral tot schijnveiligheid leiden?4

Ja. Het onderzoek onderstreept het belang van de door Defensie getroffen maatregelen.

Vraag 11

Welke technische mogelijkheden ziet u om de veiligheid van militairen beter te beschermen bij het gebruik van sportapps, datingapps of andere apps die hun data verzamelen?

Indien wordt gesignaleerd dat een bepaalde applicatie een risico vormt voor Defensie, wordt beoordeeld of deze applicatie beschikbaar gesteld kan worden. Op defensieapparatuur zijn maatregelen getroffen dat, indien een applicatie niet toegestaan is en de applicatie toch wordt geïnstalleerd, de defensieomgeving wordt geblokkeerd. Privéapparatuur is niet in beheer van Defensie en door Defensie kan dan ook technisch niet worden afgedwongen welke applicaties worden gebruikt en welke websites worden bezocht. Om risico’s op dit gebied toch te mitigeren, besteedt Defensie aandacht aan het veiligheidsbewustzijn van de defensiemedewerkers.

Vraag 12

Is het mogelijk om te achterhalen, al dan niet in overleg met Strava, of de openbare profielen van militairen mogelijk door kwaadwillenden zijn bekeken?

Juridisch gezien is dit niet mogelijk omdat Defensie geen grond heeft om deze persoonsgegevens op te vragen. De gegevens zijn vanaf privéapparatuur gegenereerd en volgens de AVG niet in te zien door Defensie. Daarnaast is het praktisch onuitvoerbaar om logbestanden van bezoeken op openbare profielen van militairen te onderzoeken op een bezichtiging van dat profiel door een mogelijk kwaadwillende actor.

Vraag 13

In hoeverre zijn militairen die een gesloten account hebben echt veilig? Welke derde partijen hebben toegang tot de informatie die Strava verzamelt, ook als een account gesloten is? Waaruit blijkt dit?

Defensie beschikt niet over deze gegevens. De applicatie mag niet op defensieapparatuur worden geïnstalleerd. Indien de militair een dergelijke applicatie toch wil installeren, volgt een waarschuwing om de applicatie te verwijderen. Indien dat niet gebeurt, zal de telefoon voor de defensieomgeving worden geblokkeerd.

Vraag 14

Ziet u gezien de onvoorspelbare geopolitieke situatie aanleiding om het beleid rondom het gebruik van Amerikaanse apps door militairen te heroverwegen en aan te scherpen?

De onvoorspelbare geopolitieke situatie biedt aanleiding om scherp te zijn op alle factoren die een potentieel risico vormen voor nationale, operationele en persoonlijke veiligheid. Dit beperkt zich niet tot apps afkomstig uit landen met een offensief cyberprogramma. De maatregelen die nu gelden voor gebruik van externe apps blijven van kracht. Indien blijkt dat een app een risico vormt voor Defensie dan kan de app worden geweerd. Dit is niet gebonden aan een specifiek land.

Vraag 15

Kunt u deze vragen afzonderlijk en uiterlijk drie dagen vóór het commissiedebat «Hybride dreigingen en maatschappelijke weerbaarheid» beantwoorden?

Nee, zoals gemeld in het uitstelbericht welke verzonden is op 8 april6, is in verband met de omvang en complexiteit van de vragen dit niet mogelijk gebleken.

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Kent u het bericht «Russische spionnen en de «hack van Amsterdam»»?1

Ja.

Vraag 2

Deelt u de mening dat de in het bericht genoemde casus een indicatie is dat Nederland geen goed antwoord heeft op digitale aanvallen vanuit statelijke actoren waarbij Europese of internationale instellingen in Nederland doelwit zijn? Zo ja, hoe komt dat en wat is er nodig om dit te verbeteren? Zo, nee waar blijkt uit deze casus dan dat er wel sprake was van een goed antwoord?

De verantwoordelijkheid voor de cyberveiligheid van internationale organisaties ligt in de eerste plaats bij de organisaties zelf. Niettemin heeft het gastland ook een inspanningsverplichting om het goed en continu functioneren van de organisatie te waarborgen. De Kabinetsinzet op cyberweerbaarheid, zoals beschreven in de NLCS, draagt daar aan bij.
Daarnaast is sinds januari 2024 de Europese verordening 2023/2841 van kracht, waarmee is beoogd de weerbaarheid van Europese instellingen, maar ook van coordinatie en afhandeling als er cyberincidenten bij deze instellingen plaatsvinden te bevorderen. Zo zijn Europese instellingen verplicht om cyberveiligheidsmaatregelen te nemen en om cyberincidenten te melden bij CERT-EU. Onder de coordinatierol van CERT-EU in crisisafhandeling schakelen zij onder andere met het Europese CSIRT-netwerk. Nederland is hierin via het NCSC vertegenwoordigd.

Vraag 3

Deelt u de mening dat, als Nederland geen bemoeienis heeft of mag hebben met het beschermen van internationale instellingen tegen digitale aanvallen, daarmee het risico op dergelijke aanvallen en schade kan toenemen? Zo ja, waarom? Zo nee, waarom niet?

Het kabinet hecht veel belang aan het werk van internationale organisaties en instellingen. Deze organisaties zijn vaak doelwit van cyberaanvallen. Ondanks dat de verantwoordelijkheid voor adequate cybersecuritymaatregelen in eerste instantie bij deze organisaties zelf ligt, kunnen deze organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident een vrijwillige melding doen bij het Nationaal Cybersecurity Centrum (NCSC) en om bijstand vragen. Daarmee kan de Nederlandse staat in die gevallen een bijdrage leveren aan het tegengaan van digitale aanvallen.
Het gastland heeft als gesteld een inspanningsverplichting om het functioneren van de internationale organisaties te faciliteren, voor zowel het fysieke als digitale domein. Voor een goede invulling van die verplichting is een goede samenwerking cruciaal. Bovendien kan Nederland zich als lidstaat van internationale organisaties actief inzetten voor (verbetering van) de cyberveiligheid van die organisatie. Zo werd na de cyberaanval op het Internationaal Strafhof met steun van Nederland een fonds voor het verhogen van de cyberveiligheid van het Hof ingesteld waaraan alle staten kunnen bijdragen.

Vraag 4

Wat is de rol van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in het geval een statelijke actor een digitale aanval op een Nederlandse organisatie dan wel een internationale organisatie in Nederland uitvoert? Is daar verschil tussen en zo ja, waarom?

De AIVD doet onderzoek naar de digitale dreiging van statelijke actoren in het belang van de nationale veiligheid, zoals benoemd in artikel 8, Wiv2017. In relatie tot de omgang van AIVD met slachtoffers van digitale aanvallen door statelijke actoren gebeurt dit, op basis van vrijwilligheid, eveneens binnen de kaders van de Wiv2017. Dit geldt zowel voor Nederlandse als voor internationale organisaties.

Vraag 5

In welke mate verschilt bovengenoemde rol van de AIVD in vergelijkbare situaties van inlichtingen- en veiligheidsdiensten in andere lidstaten van de Europese Unie (EU)?

Iedere EU-lidstaat richt zijn inlichtingen- en veiligheidsdiensten evenals zijn taken en bevoegdheden naar eigen zienswijze in. Om die reden heb ik u in het commissiedebat van 23 oktober 20242 toegezegd om de situaties in andere landen te onderzoeken. Op de invulling van een dergelijk onderzoek zal ik terugkomen bij de gesprekken over de herziening van de WIV.

Vraag 6

Welke Nederlandse of Europese instantie kan wel actie ondernemen in het geval er een internationale organisatie met vestiging in een lidstaat van de EU te maken krijgt met een digitale aanval? Zo er een dergelijke instantie is, welke afspraken zijn hiermee dan precies gemaakt? Kunt u hierbij ook het specifieke juridische kader schetsen?

Ten aanzien van internationale organisaties die in Nederland zijn gevestigd geldt, anders dan bijvoorbeeld voor organisaties die deel uitmaken van de rijksoverheid, dat het NCSC niet tot taak heeft om bij digitale dreigingen en incidenten ongevraagd bijstand te leveren. Wel kunnen deze internationale organisaties in geval van een incident met aanzienlijke gevolgen voor de continuiteit van de dienst van die organisatie, op grond van artikel 16 van de Wbni een vrijwillige melding doen bij het NCSC. Het NCSC kan in dat geval bijstand verlenen, mits het in behandeling nemen van de melding geen onevenredige of overmatige belasting voor het NCSC vormt.
Tevens doet de AIVD onderzoek naar dreigingen tegen de nationale veiligheid. Indien de AIVD constateert dat een organisatie in Nederland waarschijnlijk slachtoffer is van een digitale aanval, brengt de AIVD – vanuit de weerbaarheidstaak en binnen de kaders van de WIV2017- deze organisatie hiervan op de hoogte.
Voor in EU-lidstaten gevestigde EU-organisaties geldt dat zij andere Europese instellingen, organen en agentschappen zoals het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of CERT-EU kunnen helpen voor het verhogen van de cyberweerbaarheid of vragen om ondersteuning bij cyberincidentem De taken en bevoegdheden van ENISA en CERT-EU hieromtrent zijn vastgelegd in Verordening (EU) 2019/881 (de «Cybersecurity Act»), Raadsbesluit (EU) 2022/2504 alsook de NIS2-richtlijn (EU) 2022/2555 en in verordening 2023/2841 zoals in het antwoord op vraag 2 weergegeven. VN-instellingen kunnen zich richten tot het United Nations International Computing Centre (UNICC). In het UNICC Mandate and Governance Framework wordt bepaald dat UNICC diensten aanbiedt aan VN-entiteiten. Contractuele afspraken met VN-agentschappen zijn vastgelegd in Service Level Agreements.

Vraag 7

Deelt u de mening dat het zeer zorgelijk is dat er in Europees verband kennelijk onvoldoende samenwerking is en dat een door de Nederlandse politie in 2021 gegeven waarschuwing aan andere lidstaten geen opvolging kreeg? Zo nee, waarom niet? Zo ja, wat gaat het kabinet doen om te zorgen dat hier in de toekomst wel op geacteerd wordt?

Cyberaanvallen en digitale netwerken zijn niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak en zijn daarom van groot belang. Het Kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijn in nationale wetgeving in de Cyberveiligheidswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties te delen. Dit zal ook de samenwerking met deze landen bevorderen. Met de inwerkingtreding van de NIS1-richtlijn en de NIS2-richtlijn is het Europese CSIRT-netwerk opgericht en versterkt. Het CSIRT-netwerk bestaat uit vertegenwoordigers van de nationale CSIRT's van de Europese lidstaten en het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU). Dit CSIRT-netwerk heeft onder meer tot taak het uitwisselen van informatie over incidenten, bijna-incidenten, cyberdreigingen, risico's en kwetsbaarheden, het uitvoeren van een geco6rdineerde respons op incidenten, en het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten. Daarnaast bevordert ook de Europese verordening 2023/2841, zoals in het antwoord op vraag 2 weergegeven, de samenwerking.

Vraag 8

Deelt u de mening dat er sprake is van een lacune in de hulp aan deze internationale organisaties in het geval van een digitale aanval van een statelijke actor? Zo ja, waarom, hoe komt dat en hoe moet deze lacune opgevuld gaan worden? Zo nee, waarom niet?

Zoals geschetst in het antwoord op vraag 6, kunnen internationale organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident met aanzienlijke gevolgen voor de continufteit van hun dienst, een vrijwillige melding doen bij het NCSC en vragen om bijstand. Hierbij wil ik benadrukken dat de verantwoordelijkheid van digitale veiligheid van organisaties in Nederland primair bij de organisaties zelf ligt.

Vraag 9

Deelt u de mening dat uit de in het bericht genoemde casus blijkt dat de internationale samenwerking in het geval van digitale dreigingen niet optimaal werkt en verbetering behoeft? Zo ja, welke verbeteringen zijn er nodig en hoe en op welke termijn worden die bewerkstelligd? Zo nee, waarom niet en hoe kan het dan dat het weken duurt eer zelfs maar duidelijk is waar een verzoek tot onderzoek naar een dergelijke dreiging moet worden ingebracht?

Ik doe geen uitspraken over specifieke casussen van de AIVD. In het algemeen, zoals ook aangegeven bij vraag 7, zijn cyberaanvallen en digitale netwerken niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak zijn daarom van groot belang. Het kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking, zoals ook aangegeven bij vraag 2. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijnen in nationale wetgeving in de Cyberbeveiligingswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties to delen en versterkt de samenwerking binnen het Europese CSIRT-netwerk. Dit zal ook de samenwerking met deze landen bevorderen.

Vraag 10

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel» (Follow the Money, 20 januari)?1

Ja.

Vraag 2

Kunt u volledig uitleggen wat het doel en de functie is van het Preselect Recidive-algoritme? Hoe hangt dit samen met andere risicotaxatie-instrumenten?

Met het risicotaxatie-instrument Preselect Recidive wordt van jongeren die door de politie als verdachte worden verhoord een eerste inschatting gemaakt van het risico op herhaling. Deze inschatting wordt gemaakt met behulp van een wetenschappelijk gevalideerd analysemodel met informatie die bekend is bij de politie. In dit model zitten variabelen als eerdere politiecontacten, gepleegde delict(en) en leeftijd en geslacht van de jongere. De uitkomst van de Preselect Recidive wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg «ZSM» ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Er is bij de toepassing van de Preselect Recidive dus altijd sprake van een besluit door mensen, niet door een algoritme, waarbij ook andere informatie over de jongere wordt gebruikt. In het artikel van Follow the Money wordt de indruk gewekt dat de uitkomst van dit instrument bepalend is voor het vervolgtraject van een jeugdige verdachte. Dit is niet het geval. Het instrument wordt meegewogen bij de vraag of verdere risicotaxatie voor de jongere nodig is.
Voor een verdere toelichting op het doel en de functie van risicotaxatie-instrumenten in het algemeen en van de Preselect Recidive in het bijzonder, verwijs ik naar de brief van 6 maart 2025, waarin ik op verzoek van de vaste commissie voor Justitie en Veiligheid een reactie heb gegeven op het artikel van Follow the Money.In het antwoord op vraag 3 ga ik in op andere risicotaxatie-instrumenten en de samenhang met de Preselect Recidive.

Vraag 3

Welke soortgelijke instrumenten worden ook ingezet in de jeugdstrafrechtketen? Kunt u toelichten welke rol deze spelen, de relevante documentatie delen, en de systemen opnemen in het Algoritmeregister?

Diverse risicotaxatie-instrumenten uit de jeugdstrafrechtketen zijn gebundeld in het Landelijk Instrumentarium Jeugdstrafrechtketen (LIJ). Het gaat daarbij, naast de Preselect Recidive, om de volgende instrumenten:
Een uitgebreide omschrijving van de inhoud en werking van de verschillende instrumenten is te vinden in de Handleiding LIJ (zie bijlage 1).
Een van de doelstellingen van het LIJ als geheel is informatiedeling en een eenduidige werkwijze van ketenpartners. Ketenpartners bouwen waar mogelijk voort op informatie die al eerder in de keten verzameld is. Dit scheelt tijd en voorkomt dat jongeren en ouders steeds weer dezelfde vragen moeten beantwoorden.
Er zijn Rijksbrede afspraken om eind 2025 ten minste alle hoog risico AI-systemen in het Algoritmeregister te publiceren. Ik wil transparant zijn over de risicotaxatie-instrumenten uit de jeugdstrafrechtketen en deze in het Algoritmeregister publiceren. De Ritax, het meest uitgebreide instrument uit het LIJ, is in 2023 door de Raad voor de Kinderbescherming opgenomen in het Algoritmeregister. Deze publicatie wordt voor eind 2025 aangevuld met de aanvullende Module Zorg. De Politie voert de Preselect Recidive in 2025 op in het Algoritmeregister. Voor Halt-SI wordt door JenV, in samenwerking met Halt, bezien of dit een hoog risico of impactvol algoritme betreft. Indien dit het geval is worden met Halt afspraken gemaakt over opname in het Algoritmeregister in 2025.

Vraag 4

Hoe worden het Dynamisch Risico Profiel (DRP) en het Algemeen Recidive Risico (ARR) berekend? Welke rol spelen deze profielen in het jeugdrecht?

Het ARR is de uitkomst van het instrument Preselect Recidive. Het ARR geeft de geschatte kans dat een jongere opnieuw met politie en justitie in aanraking komt vanwege het plegen van een delict. Voor het vaststellen van het ARR («laag», «midden» of «hoog») wordt gebruik gemaakt van statische (onveranderbare) risicofactoren. De variabelen uit het model zijn te vinden in hoofdstuk 3 van de Handleiding LIJ, deze wordt voor de volledigheid meegezonden (zie bijlage 1).
Het ARR wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg ZSM ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Naast het gepleegde delict en het ARR wordt hierbij ook gebruik gemaakt van andere informatie over de jongere die op dat moment bij de ketenpartners bekend is. Het ARR is daarmee altijd ondersteunend aan menselijke besluitvorming. De rol van de Preselect Recidive en het ARR in de jeugdstrafrechtketen wordt toegelicht in de beantwoording van vraag 17, in de genoemde brief van 6 maart 2025 en de Handleiding LIJ (bijlage 1).
Het DRP is de uitkomst van de Ritax en wordt berekend door een optelsom van risico- en beschermende factoren van een jongere, gemeten op negen (leef)domeinen, zoals gezin, geestelijke gezondheid en agressie. Ieder domein kent diverse items, waarbij de professional vraagt naar onderwerpen zoals «Ernst/heftigheid van conflicten tussen gezinsleden», «Stemming» en «Meldingen van gewelddadig gedrag». De totaalscores per domein (domeinscore) worden berekend door de scores van de verschillende items uit de betreffende domeinen bij elkaar op te tellen. Het DRP vormt samen met het ARR een indicator om toe te leiden naar passende interventies die door de Raad voor de Kinderbescherming of de Jeugdreclassering worden geadviseerd aan OM, de rechter en/of ten behoeve van het plan van aanpak voor toezicht en begeleiding van de Jeugdreclassering.
Voor een verdere uitleg over de berekening van het DRP verwijs ik u naar de Handleiding LIJ die voor de volledigheid wordt meegezonden (bijlage 1). De rol van de Ritax en het DRP in de jeugdstrafrechtketen wordt toegelicht onder vraag 3.

Vraag 5

Klopt het dat u overwogen hebt Preselect uit werking te nemen? Waarom heeft het gebruik van het algoritme toch doorgang gevonden? Geldt dit ook voor soortgelijke instrumenten?

Ten tijde van oplevering van het meeste recente validatieonderzoek (2023), is met ketenpartners besproken of het instrument nog voldoende betrouwbaar was voor toepassing in de praktijk. Destijds is geconcludeerd dat dit het geval was. Wel werd van belang geacht dat doorontwikkeling zo snel mogelijk plaatsvindt vanwege een afname in de voorspelkracht (zie vraag 27 voor een toelichting op het doorontwikkeltraject van de Preselect Recidive). Voor deze afweging is onder meer gekeken naar de impact op de jeugdstrafrechtketen, en daarmee de jongeren, indien het instrument tijdelijk niet meer gebruikt wordt en het voldoen aan de geldende wet- en regelgeving rondom toepassing van dergelijke instrumenten. Ook de afgenomen voorspelkracht van het instrument is meegewogen. Aangezien deze nog steeds acceptabel is volgens internationale standaarden, is geoordeeld dat het instrument nog steeds van meerwaarde is voor de praktijk (zie toelichting in de alinea hieronder over het gestructureerd professioneel oordeel).
In de eerder genoemde brief van 6 maart 2025 beschrijf ik daarnaast dat de huidige versie van Preselect Recidive grotendeels voldoet aan de vijf voorwaarden zoals gesteld door de Autoriteit Persoonsgegevens (AP) en hierdoor nog op een verantwoorde wijze kan worden gebruikt tot de nieuwe versie wordt ingevoerd. In de afweging om de Preselect Recidive te blijven gebruiken wordt ook de waarde van dit instrument voor de praktijk meegenomen. Uit onderzoek blijkt namelijk dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik (zie vraag 17). Zonder een instrument ontstaat er een risico op tunnelvisie, waarmee de rechtsgelijkheid in het geding komt.
Voor de overige instrumenten van het LIJ wordt ook periodiek een validatieonderzoek uitgevoerd. Indien de resultaten van deze onderzoeken hier aanleiding toe geven, of wijzigingen in wet- en regelgeving, worden de instrumenten herzien.

Vraag 6

Waaruit blijkt dat Preselect voldoet aan wetenschappelijke normen en betrouwbaar genoeg is om gebruikt te worden in besluitvorming die kwetsbare jongeren aangaat?

Wetenschappelijke normen voor risicotaxatie-instrumenten kunnen betrekking hebben op: (a) theoretische onderbouwing, (b) betrouwbaarheid en (c) de predictieve validiteit.

Vraag 7

Kunt u alle documentatie over de ontwikkeling, technische werking en toepassing van dit algoritme delen met de Kamer?

Ik verwijs naar de Handleiding LIJ in bijlage 1. Hierin staat de ontwikkeling/opbouw, werking en toepassing van het algoritme beschreven (hoofdstuk 1 en 3).
Daarnaast verwijs ik naar diverse publicaties van Van der Put (Universiteit van Amsterdam). In deze publicaties staat de (statistische) ontwikkeling van de Preselect Recidive uitgewerkt:

Vraag 8

Is er een Privacy Impact Assessment (PIA) uitgevoerd voor het gebruik van Preselect? Wat waren de resultaten van deze PIA en is daar opvolging aan gegeven? Wanneer is voor het laatst een PIA uitgevoerd op Preselect en wanneer is de eerstvolgende PIA voorzien?

In 2025 wordt een gegevensbeschermingseffectbeoordeling (GEB/DPIA) uitgevoerd, als onderdeel van het implementatieproces van de herziene Preselect Recidive. Zie ook het antwoord op vraag 27 voor een toelichting op de herziening van de Preselect Recidive. Eerder is nog geen (D)PIA uitgevoerd voor de Preselect Recidive. De risicotaxatie-instrumenten die de politie gebruikt zijn ten tijde van ingebruikname getoetst in het kader van de toen geldende wettelijke privacykaders. De Preselect Recidive dateert uit 2013. Een (D)PIA, sinds 2018 verplicht, wordt door politie uitgevoerd in geval van de ingebruikname van een nieuw of vernieuwd instrument. De politie heeft in 2023 wel een toets gedaan op de kwaliteit van bronnen die gebruikt worden voor hun risicotaxatie-instrumenten in brede zin. Hier kwamen geen onregelmatigheden uit naar voren die aanleiding gaven tot aanpassing van de Preselect Recidive.

Vraag 9

Welke instanties maken gebruik van Preselect? Kunt u per instantie uitleggen met welk doel het algoritme wordt toegepast?

Ik verwijs u naar mijn antwoord op vraag 3 en de genoemde brief van 6 maart 2025.

Vraag 10

Hoe zorgt u ervoor dat instanties die Preselect momenteel gebruiken om voorspellende lijsten met verdachte jongeren op te stellen, deze werkwijze zo snel mogelijk stopzetten?

Preselect Recidive is ontwikkeld om in te schatten of aanvullende risicotaxatie nodig is voor een jeugdige verdachte in het strafrecht. De Preselect Recidive mag uitsluitend gebruikt worden op het ZSM-overleg en niet voor andere doeleinden. Waar eerder in de praktijk is gesignaleerd dat risicotaxatie-instrumenten of scores werden hergebruikt of toegepast in niet daarvoor bedoelde processen, zijn door de politie maatregelen genomen om dit te stoppen. Met politie worden periodiek overleggen gevoerd over onder andere de juiste toepassing van de Preselect Recidive.

Vraag 11

Is er één standaard vastgesteld voor het verantwoorde gebruik van Preselect? Zo ja, kunt u deze delen? Zo niet, kunt u deze zo snel mogelijk ontwikkelen?

Ja, er is één standaard vastgesteld voor het verantwoorde gebruik van de Preselect Recidive. Ik verwijs u naar de Handleiding LIJ (bijlage 1) voor een gedetailleerde beschrijving.

Vraag 12

Op basis van welke factoren berekent Preselect een score voor jongeren? Kunt u een lijst maken van alle bronnen die het algoritme raadpleegt?

De Preselect Recidive wordt gevuld op basis van het landelijke bedrijfsprocessensysteem van de Politie (BVI). Hieruit wordt informatie gehaald zoals het totaal aantal incidenten waarbij de jongere de rol van verdachte heeft, de leeftijd van de jongere ten tijde van het eerste delict en het totaal aantal incidenten waarbij de jongere de rol van betrokkene heeft. Voor een volledig overzicht verwijs ik u naar hoofdstuk 3 van de Handleiding LIJ.

Vraag 13

Worden registraties van verdenkingen die nooit zijn bewezen of hebben geleid tot vrijspraak ook meegerekend in de risicoscore van een jongere?

Bij een sepot onterecht verdachte of vrijspraak wordt de registratie niet meer meegerekend in de risicoscore van de jongere. Tevens worden registraties die ouder zijn dan vijf jaar verwijderd (conform artikel 8, zesde lid Wet politiegegevens) en hierdoor niet meegenomen in de berekening.

Vraag 14

Hoe voorkomt u dat er ongelijke behandeling plaatsvindt bij hetzelfde misdrijf door het gebruik van het algoritme?

Met de Preselect Recidive wordt op basis van een wetenschappelijk getoetst en genormeerd model een inschatting gemaakt of verdere risicotaxatie noodzakelijk is bij de jeugdige verdachte. Deze inschatting wordt gemaakt op basis van diverse factoren uit het politieregistratiesysteem (zie hoofdstuk 3 van de Handleiding LIJ voor de lijst met variabelen). Bij jongeren die eenzelfde delict plegen, maar op andere variabelen die voorspellend zijn voor recidive anders scoren (bijvoorbeeld het aantal eerdere registraties van de betreffende jongere in de rol van verdachte), volgt mogelijk een andere uitkomst van de Preselect Recidive. Hierbij is er geen sprake van een ongelijke behandeling ten nadele van de jongere, maar van een afweging over de meest passende interventie om het risico op recidive te beperken. De afweging over het vervolg en het advies van de Preselect Recidive hierbij is maatwerk, de uitkomst van het instrument is ondersteunend aan menselijke beoordeling. Bovendien versterkt juist de combinatie van de professionele blik en een objectief gestructureerd instrument een uniforme werkwijze en daarmee gelijkere bejegening. De toepassing van een instrument verkleint de kans dat het eigen interpretatiekader van professionals een (grote) rol speelt in het besluit over het vervolgtraject van de jeugdige verdachte.

Vraag 15

Vindt u het terecht dat variabelen als «omstander» of «huisgenoot» als risicofactor kunnen worden beschouwd in het Preselect-algoritme? Zo ja, kunt u aangeven hoe u dat relateert aan het concept «afgeleide schuld»?

Als een ARR-score wordt opgesteld, dan is de jongere inmiddels zelf in de rol van verdachte bekend bij politie. De Preselect Recidive wordt dus alleen afgenomen als een jeugdige zelf verdacht wordt van een strafbaar feit. Daarnaast weten we uit de wetenschappelijke literatuur dat blootstelling aan crimineel gedrag dan wel (ervaren) druk om mee te participeren risicofactoren zijn voor recidive. Dat blijkt ook uit onderzoeken uitgevoerd op politiegegevens. In het huidige model zijn deze variabelen (aantal registraties rol betrokken («omstander») en aantal registraties medebewoners rol verdachte («huisgenoot»)) opgenomen.
Voor de instrumenten van het LIJ wordt daarbij altijd kritisch gekeken naar de samenstelling van de instrumenten. Indien blijkt dat variabelen uit het model achterwege gelaten kunnen of moeten worden dan gebeurt dit ook. Voor alle variabelen uit het model wordt dit heroverwogen in de doorontwikkeling van de Preselect Recidive. Daarbij wordt ook afgewogen of er belangrijke informatie wordt gemist voor een passende behandeling.8
Het concept afgeleide schuld9 speelt hier geen rol: de Preselect Recidive geeft een advies over de noodzaak van aanvullende risicotaxatie en niet over schuldbepaling dan wel de benodigde strafmaat. Bovendien spelen variabelen als «omstander» of «huisgenoot» pas een rol als de jongere zelf wordt verdacht van een strafbaar feit en de Preselect Recidive wordt toegepast.

Vraag 16

Op welke data is Preselect getraind? Is deze data zuiver en voldoende representatief? Is er gecontroleerd voor (onbewuste en/of systematische) vooroordelen in de trainingsdata?

De Preselect Recidive maakt gebruik van statische (onveranderbare) risicofactoren. Bij het bepalen van deze factoren is gebruik gemaakt van twee (willekeurige) steekproeven in de data, waarbij de ene steekproef is gebruikt om Preselect Recidive op te ontwikkelen en de andere steekproef om deze te valideren.10 Deze data zijn afkomstig uit het landelijke bedrijfsprocessensysteem van de politie (BVI).
De kwaliteit van een dataset is altijd afhankelijk van de kwaliteit van ingevoerde data. Dat is voor de Preselect Recidive niet anders dan voor andere instrumenten. Pakkans en prevalentie van de doelgroep spelen ook een rol bij de representativiteit van de data. Daarom worden instrumenten van het LIJ periodiek geëvalueerd en ook tussentijds wordt continue afgewogen of er voldoende gerechtvaardigd belang en empirische onderbouwing is van het model.

Vraag 17

Deelt u de zorgen dat een algoritme in grote mate sturend kan zijn voor de betrokken (politie)medewerker die een casus beoordeelt? Hoe wordt waardevolle menselijke tussenkomst gegarandeerd?

Ik begrijp de zorg want het instrument geeft inderdaad mede richting aan het besluit, maar met betekenisvolle menselijke tussenkomst en het gebruik van diverse informatiebronnen ondervangen we dat er automatische en eenzijdige besluitvorming plaatsvindt. Dat gebeurt als volgt.
Betekenisvolle menselijke tussenkomst is een essentieel onderdeel in de opvolging van de Preselect Recidive. De inschatting van laag, midden of hoog risico (het ARR) is een van de informatiebronnen waar de het afstemmingsoverleg ZSM gebruik van maakt. In dit overleg wordt met de diverse betrokken professionals door het Openbaar Ministerie op basis van deze verschillende informatiebronnen besloten welk vervolg de jeugdige verdachte krijgt. Uit onderzoek blijkt dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik.11 Daarmee is de combinatie die op het ZSM-overleg wordt gehanteerd, namelijk een professioneel oordeel aangevuld met de analyse door een instrument, een meer betrouwbare manier waarop een besluit genomen kan worden dan uitsluitend op basis van het oordeel van de professional.

Vraag 18

Met welke regelmaat wordt de werking en het gebruik van Preselect onafhankelijk doorgelicht? Kunt u alle bij u bekende onderzoeken naar dit algoritme delen met de Kamer?

De doelstelling van het LIJ is om instrumenten eens in de vijf jaar te valideren. Deze termijn biedt de mogelijkheid om tot voldoende respondenten (jongeren) te komen waarbij het instrument is afgenomen, om vervolgens valide uitspraken te kunnen doen. Ook wordt hiermee aangesloten bij de termijn van drie tot vijf jaar voor recidivemetingen, zoals gehanteerd door het WODC en/of het CBS. Daarnaast worden alle instrumenten of aanpassingen daaraan steeds voorgelegd aan een onafhankelijke toetsingscommissie. Voor de Preselect Recidive heeft dit langer geduurd, vanwege vertraging in het leveren van de benodigde data. Zie onder vraag 7 welke documenten ik hierover met u deel.

Vraag 19

Wat is het percentage valspositieven dat Preselect oplevert? Hoe vaak komt het voor dat een jongere ten onrechte een te hoge of lage score wordt toebedeeld?

Het bepalen van valspositieven of -negatieven is complex, omdat:
De score wordt altijd bezien in het geheel van andere beschikbare informatie en heeft geen één-op-één-relatie met de gekozen interventie. Aan de Preselect Recidive score is geen direct gevolg gekoppeld; zie ook het antwoord op vraag 17.

Vraag 20

Waarom staat het algoritme niet opgenomen in het Algoritmeregister? Kunt u alsnog het algoritme zo snel als mogelijk volledig transparant in het Algoritmeregister opnemen?

In 2025 registreert de politie het algoritme van de Preselect Recidive in het Algoritmeregister.

Vraag 21

Gaat u ouders, jongeren en jeugdrechtadvocaten voortaan altijd informeren als en hoe Preselect is toegepast in de besluitvorming? Op welke termijn en op welke manier gaat u dit doen?

Ja, dat zal ik in 2025 doorvoeren voor alle jongeren bij wie de Preselect Recidive wordt afgenomen. Nu gebeurt dat al bij een deel van de jongeren, namelijk bij de jongeren voor wie de Raad voor de Kinderbescherming een onderzoek doet. Ik wil voor deze ontwikkeling aanhaken bij al bestaande voorzieningen om jongeren, ouder(s)/verzorger(s) en andere betrokken zo laagdrempelig mogelijk te informeren.

Vraag 22

Bent u bereid om een inschatting te (laten) maken of jongeren onrechtmatig of incorrect zijn geprofileerd door het gebruik van Preselect? Kunt u de eventuele gevolgen die dit heeft gehad ook inschatten?

Door voor de instrumenten uit het LIJ periodiek te toetsen of aanpassing nodig is, breng ik in kaart of de instrumenten werken zoals beoogd en voldoen aan wet- en regelgeving. In het IAMA dat uitgevoerd wordt voor de herziene Preselect Recidive is bovendien specifiek aandacht voor het naleven van de grondrechten en daarmee onder andere het risico op profilering bij de inzet van algoritmes. Waar nodig stuur ik bij. Het is echter inherent aan risicotaxatie-instrumenten dat deze geen perfecte schatting geven. De Preselect Recidive wordt daarom nooit gebruikt als automatische doorverwijzing, maar er is altijd sprake van betekenisvolle menselijke tussenkomst. Bovendien kan er op verschillende momenten in de jeugdstrafrechtketen bijgestuurd worden indien het ingezette traject toch te zwaar of te licht blijkt.12 Hiermee wordt ook voorzien in bijsturing op casusniveau. Een inschatting geven is daarnaast complex, omdat de Preselect Recidive in de besluitvorming niet de enige factor is die wordt meegewogen.

Vraag 23

Gaat u jongeren, ouders en jeugdrechtadvocaten in staat stellen om bezwaar te maken als zij vermoeden dat het algoritme heeft geleid tot een verkeerde uitkomst?

Zoals ook is toegelicht in het antwoord op vraag 17, liggen verschillende informatiebronnen ten grondslag aan de beslissing welk vervolg een jeugdige verdachte krijgt. Er is dus geen besluitvorming op basis van enkel de uitkomst van de Preselect Recidive. Ik zie daarom geen aanleiding om het bezwaar maken tegen een beslissing vanwege de uitkomst van de Preselect Recidive mogelijk te maken.

Vraag 24

Deelt u de conclusie van de vier wetenschappers van de Radboud Universiteit dat «de voorspellende waarde van Preselect beperkt [is] en voor jongeren riskante gevolgen [kan] hebben»?

De voorspellende waarde van Preselect is vergelijkbaar met instrumenten die wereldwijd worden toegepast om recidive te voorspellen; zie ook het antwoord op vraag 6. Omdat de voorspellende waarde nooit perfect is, is de uitkomst van het instrument nooit leidend. Preselect Recidive wordt gebruikt om te adviseren of aanvullende risicotaxatie nodig is. Daarmee deel ik de conclusie niet dat dit riskante gevolgen kan hebben voor een jeugdige verdachte, maar juist helpt te komen tot een goed passende interventie.

Vraag 25

Kunt u het onderzoek van de Universiteit van Amsterdam uit 2023, waaruit naar eigen zeggen blijkt dat de voorspellende waarde van Preselect laag is, delen met de Kamer?

Ja, zie mijn antwoord op vraag 7 voor de gevraagde publicatie.

Vraag 26

Hoe is er opvolging gegeven om de tekortkomingen die de Algemene Rekenkamer in 2022 constateerde bij de inzet van algoritmes in het jeugdrecht? Zijn alle aanbevelingen geïmplementeerd?2 3

Voor het antwoord op de vraag verwijs ik u naar het «Verantwoordingsonderzoek 2023 Ministerie van Justitie en Veiligheid» van de Algemene Rekenkamer.15 Hieruit is gebleken dat de aanbevelingen naar tevredenheid van de Algemene Rekenkamer zijn opgevolgd en dat het aandachtspunt16 dat de Algemene Rekenkamer meegaf, is komen te vervallen. De aanbevelingen en vereisten die hieruit naar voren kwamen, worden nu standaard meegenomen in de ontwikkeling rondom alle instrumenten van het LIJ waaronder de Preselect Recidive.

Vraag 27

Op welke manier wordt Preselect nu doorontwikkeld? Kunt u de Kamer blijvend informeren over het gebruik en de doorontwikkeling van het algoritme?

Voor de Preselect Recidive is het meest recente valideringsonderzoek in 2023 uitgevoerd. Met dit onderzoek is getoetst of het instrument nog werkt zoals beoogd. Hieruit bleek dat een aanpassing van het model zoals ontwikkeld in 2013 noodzakelijk was, vooral op de volgende punten:
Vervolgens heeft de Universiteit van Amsterdam in opdracht van mijn ministerie in 2024 een vervolgonderzoek uitgevoerd naar de benodigde aanpassingen. Dit onderzoek dient als uitgangspunt voor de verbeteringen die in 2025 worden doorgevoerd, zoals hierboven genoemd. Daartoe behoort het aanscherpen van de bestaande kwaliteitscyclus, zoals de standaard periodieke evaluaties, het uitvoeren van een Data protection impact assessment (DPIA) en een Impact Assessment Mensenrechten en Algoritmes (IAMA), het herinrichten van taken en verantwoordelijkheden en het verbeteren van de informatievoorziening aan jongeren, ouder(s)/verzorger(s). Over de voortgang van de doorontwikkeling zal ik de Kamer in de tweede helft van 2025 informeren.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Met bovenstaande beantwoording verwacht ik aan uw verzoek te hebben voldaan.

Vraag 1

Bent u bekend met het bericht «Bunq ondervraagt klant via bankapp na onlinekritiek»?1, 2

Ja, daar ben ik mee bekend.

Vraag 2

Wat is uw reactie op dit bericht?

Het Financieele Dagblad schreef dat Bunq klanten via haar bankapp zou hebben benaderd en zou hebben gedreigd met beëindiging van de klantrelatie nadat deze klanten online kritiek hadden geuit over de bank. Voor de beantwoording van deze Kamervragen heb ik contact opgenomen met Bunq. De bank zegt contact op te nemen met klanten met als doel om haar dienstverlening te verbeteren. Daarbij is Bunq niet actief op zoek naar klanten die zich negatief uitlaten online over de bank. Bunq geeft aan dat het de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd. De klanten die in het artikel van het Financieele Dagblad worden genoemd, zijn nog klanten bij Bunq.
In het algemeen geldt dat bankgegevens, zoals de naam van de cliënt, bankrekeningnummer en transactiegegevens, worden beschouwd als persoonsgegevens en vallen dus onder de privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) in combinatie met de Nederlandse Uitvoeringswet AVG (UAVG). Voor het verwerken van deze persoonsgegevens is een grondslag vereist. De Autoriteit Persoonsgegevens (AP) is de toezichthouder op naleving van de (U)AVG.

Vraag 3

Was u op de hoogte van deze signalen? Zo ja, hoe lang waren de signalen al bij u of betrokken toezichthouders bekend?

Nee, ik heb bij de publicatie van het artikel in het Financieel Dagblad voor het eerst kennisgenomen van deze berichten. De Nederlandsche Bank (DNB) is in dit geval de relevante financiële toezichthouder. DNB is over individuele instellingen geheimhouding verschuldigd. Ook de Autoriteit Persoonsgegevens (AP) heeft hier een rol. De AP kan op grond van klachten of uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving, waaronder oneigenlijk gebruik van bankgegevens. Ik heb van de AP hier geen signalen over ontvangen.

Vraag 4

Heeft u contact gehad met Bunq naar aanleiding van dit bericht? Zo ja, met welke boodschap zocht u contact? Zo nee, bent u bereid dit alsnog te doen?

Voor de beantwoording van deze Kamervragen ben ik in gesprek gegaan met Bunq. In het algemeen geeft Bunq aan dat zij dagelijks in contact staat met haar klanten om naar hun feedback en ervaringen te luisteren en dat veiligheid en privacy altijd voorop staan. Verder geeft Bunq aan dat de bank de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd. Voorts heeft Bunq aangegeven dat zij klanten benadert die op sociale media en fora berichten over de bank plaatsen, zodat zij haar dienstverlening kan verbeteren.

Vraag 5

Zijn er naar aanleiding van dit bericht en eerdere berichten over misstanden bij Bunq aanscherpingen geweest in het toezicht op deze bank? Is het u bekend of Bunq sindsdien interne procedures en toezicht heeft ingericht om dit soort praktijken te voorkomen?

Het is aan de AP om handhavend op te treden ten aanzien van de correcte naleving van de (U)AVG. Daarnaast zijn er verschillende wetten, waaronder de Wet op het financieel toezicht (Wft), de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) en de Sanctiewet 1977 (Sw) die het wettelijk kader aangeven waar banken zich aan moeten houden en waar DNB toezicht op houdt. DNB is geheimhouding verschuldigd over vertrouwelijke gegevens die zij in het kader van haar toezichttaak ontvangt en verwerkt. Over specifieke instellingen kan DNB daarom geen uitspraken doen. DNB hanteert in haar toezicht een risicogebaseerde aanpak en betrekt onder meer incidentmeldingen en andere signalen bij haar prioriteitstelling. Als DNB vaststelt dat een instelling de desbetreffende wetgeving onvoldoende naleeft, kan DNB maatregelen nemen, waaronder handhavende maatregelen.

Vraag 6

Bent u van mening dat Bunq een juiste afweging gemaakt tussen de privacy van haar klanten en het eigen economische belang als zij dreigt om de relatie met een klant te beëindigen als negatieve uitingen online niet worden verwijderd?

Bij navraag laat Bunq weten dat zij de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd.

Vraag 7

Bent u het met de indieners eens dat een bank onder geen enkele voorwaarden haar klanten onder druk mag zetten om zich op een bepaalde manier in het openbaar te uiten?

Ja, daar ben ik het mee eens.

Vraag 8

Kunt u bevestigen of Bunq daadwerkelijk klantrelaties heeft beëindigd nadat klanten kritiek hebben geuit? Hoe beoordeelt u dit in het licht van de afhankelijkheidsrelatie die een klant heeft tot zijn of haar bank?

Bij navraag laat Bunq weten dat het uiten van kritiek geen grond is om de klantrelatie te beëindigen. Volgens Bunq zijn er geen klantrelaties beëindigd vanwege het uiten van kritiek.

Vraag 9

Op welke gronden mag een bank haar relatie met een klant beëindigen? Welke bescherming geniet de klant bij een eenzijdige beëindiging van het contact aan de kant van de bank?

Beide partijen, zowel de bank als de klant, hebben het recht om de relatie te beëindigen. De gronden waarop een bank een klantrelatie kan beëindigen zijn wanneer een witwasrisico niet gemitigeerd kan worden of het cliëntonderzoek niet voltooid kan worden.3 Daarnaast kan de bank in kwestie opzeggingsgronden geformuleerd hebben in de algemene voorwaarden, zoals wanneer een betaalrekening van een particulier gebruikt wordt voor zakelijke doeleinden. In al deze gevallen hebben banken een algemene zorgplicht tegenover hun klanten, indien zij de rekening willen opzeggen. Dit betekent dat de bank op zorgvuldige wijze de belangen van de klant in acht moet nemen. Daarnaast mag de bank een klantrelatie niet beëindigen wanneer dit tot onaanvaardbare gevolgen leidt.
Wanneer een particuliere klant een klacht heeft over het handelen van een bank, kan de klant, na het doorlopen van de interne klachtprocedure van de bank, terecht bij Het Klachteninstituut Financiële Dienstverlening (Kifid). Daarnaast kan een klant naar de civiele rechter stappen.

Vraag 10

In welke wet- en regelgeving is vastgelegd hoe banken wel en niet om mogen gaan met klantgegevens? Zijn consumenten wettelijk beschermd van dit soort wanpraktijken? Zo ja, hoe wordt erop toegezien dat banken dit naleven?

Zoals in de beantwoording bij vraag 2 is aangegeven, worden bankgegevens beschouwd als persoonsgegevens en zij vallen dus onder de privacywetgeving: de AVG in combinatie met de UAVG. Voor het verwerken van deze persoonsgegevens is een geldige grondslag vereist. De AP is de primaire toezichthouder op naleving van de (U)AVG. De AP kan op grond van klachten of uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving. Het online uiten van kritiek op een bank is geen geldige grondslag voor het verwerken van klantgegevens.

Vraag 11

Heeft Bunq beleid om te mogen achterhalen welke gebruikers negatieve uitingen doen over de bank? Zo ja, vindt u dit terecht en worden klanten hier voldoende van op de hoogte gebracht?

Bunq heeft aangegeven dat zij online sociale media en fora in de gaten houdt om de veiligheid van klanten te bevorderen. Ook zegt Bunq te reageren op online uitingen om te achterhalen hoe zij haar dienstverlening kan verbeteren.
Bunq kijkt daarom naar openbare online content, maar geeft aan niet specifiek te zoeken naar negatieve reacties.

Vraag 12

Is het toegestaan dat Bunq klantgegevens, zoals gebruikersnamen, koppelt aan informatie verkregen op andere platforms, ook als dit eigen (anonieme) meningen betreft?

Het online uiten van kritiek op een bank is geen geldige grondslag voor het verwerken van klantgegevens.

Vraag 13

Bent u bereid om de Autoriteit Financiële Markten (AFM) en De Nederlandse Bank (DNB), in navolging van de Autoriteit Persoonsgegevens (AP), te vragen om deze situatie te onderzoeken?

De AFM en DNB zijn zelfstandige bestuursorganen en functioneren als onafhankelijke toezichthouders. Ik kan de toezichthouders daarom niet vragen om een specifieke situatie te onderzoeken. De toezichthouders maken zelf de afweging wat onderzocht dient te worden.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

De vragen zijn zo afzonderlijk van elkaar, zo spoedig en volledig als mogelijk beantwoord. Vanwege de vragen aan Bunq en de toezichthouders heeft de beantwoording wat langer geduurd.

Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Rechtbank wil zien welke data de politie over burgers verzamelt – maar de politie weigert dat» van Follow the Money?1

Ja, ik ben bekend met het bericht. Het past mij als Minister niet om uitspraken te doen in een lopende rechtszaak.

Vraag 2

Klopt het dat de politie weigert een rechterlijk bevel op te volgen om een forensisch onderzoeker toegang te geven tot haar datasystemen?

Zie antwoord vraag 1.

Vraag 3

Deelt u de mening dat de politie zich aan dergelijke rechterlijke uitspraken heeft te houden en dat politiesystemen ter inzage beschikbaar moeten worden gesteld aan door de rechter benoemde deskundigen? Deelt u de mening dat hiervoor geen dwangsommen nodig zouden moeten zijn?

Aan rechterlijke uitspraken dient in beginsel gevolg te worden gegeven. Indien een partij het oneens is met een einduitspraak van een rechter, kan daartegen hoger beroep worden ingesteld.
Over het algemeen geldt dat een rechter een deskundige kan benoemen die de opdracht krijgt een onderzoek in te stellen. Bestuursorganen dienen medewerking te verlenen aan het onderzoek. Anderzijds regelt de Wet politiegegevens (hierna: Wpg) uitputtend wie en wanneer toegang heeft tot welke politiegegevens in artikel 6a van de Wpg en verplicht de Wpg de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen ter bescherming van de rechten van betrokkenen. Bij de verwerking van politiegegevens dient de verwerkingsverantwoordelijke rekening te houden met de eisen uit de Wpg.
De korpschef heeft kenbaar gemaakt dat de politie in gesprek gaat met de deskundige over hoe zij deze kunnen faciliteren in het onderzoek zonder daarbij de bepalingen van de Wpg te overtreden.

Vraag 4

Hoe reflecteert u op de constatering van de rechtbank dat het feit dat de politie burgers onvoldoende inzage geeft in de data die in politiesystemen over hen verzameld is «helaas past in het beeld dat de rechtbank heeft»?

Het past mij niet te reflecteren op een uitspraak in een lopende rechtszaak. Iedere burger heeft recht op inzage in de persoonsgegevens die de politie over hem of haar verwerkt. De betrokkene kan daartoe een schriftelijk verzoek indienen op basis van artikel 25 van de Wpg. Een verzoek om inzage kan echter geheel of gedeeltelijk afgewezen worden wanneer een weigeringsgrond van toepassing is. De weigeringsgronden zijn opgenomen in artikel 27 van de Wpg en hebben onder andere betrekking op de bescherming van de openbare en nationale veiligheid, het vermijden van belemmeringen in gerechtelijke onderzoeken en procedures en de bescherming van rechten en vrijheden van derden. In de meest recente externe Wpg audit uit 2023 wordt de naleving van de Wpg op dit punt voldoende bevonden.2

Vraag 5

Vindt u dat burgers het recht hebben om inzage te krijgen in de gegevens die de politie van hen heeft? Zo ja, onder welke omstandigheden wel en niet? Welke stappen zet u om ervoor te zorgen dat de politie de inzagemogelijkheden voor burgers verbetert? Op welke termijn zijn deze verbeteringen aangebracht?

Zie antwoord vraag 4.

Vraag 6

Op welke termijn verwacht u dat de politie en de Koninklijke Marechaussee de aanbevelingen uit het rapport «Blind vertrouwen?»2 van de Nationale ombudsman uitvoeren? Hoe ziet u erop toe dat dit daadwerkelijk gebeurt? Kunt u hierover blijvend rapporteren aan de Kamer?

In mijn beleidsreactie heb ik aangegeven dat de Minister van Defensie en ik de politie en de KMar zullen vragen om het werkproces verder te verbeteren door te expliciteren hoe een signalering of informatie-uitwisseling met het buitenland impact kan hebben op het leven van burgers. Ik zal dit ook benoemen in mijn gesprekken met het OM. Daarnaast zal ik met betrokken instanties en relevante toezichthouders verkennen of en zo ja, hoe toezicht op de registraties en signalering van de betrokken instanties versterkt moet worden. Ik hoop deze verkenning afgerond te hebben in de eerste helft van 2025. Ik zal hierover berichten in het halfjaarbericht politie. De bij de beleidsreactie gevoegde handreiking zal gedurende het jaar via de reguliere kanalen onder de aandacht gebracht worden bij betrokken overheden en organisaties.

Vraag 7

Met welke instanties, zowel nationaal als internationaal, worden de gegevens van verdachten in de CTER-registratie gedeeld? Worden deze gegevens verwijderd als een registratie onterecht blijkt? Hoe wordt hier nationaal en internationaal op toegezien?

Ik verwijs u voor antwoorden naar het tweede halfjaarbericht politie 20234. Hier is uitgebreid ingegaan op het CTER-proces.

Vraag 8

Welke instanties hebben toegang tot de datasystemen van de politie? Klopt de stelling van de politie dat alleen de Autoriteit Persoonsgegevens hiertoe bevoegd zou zijn, een aanname die de AP zelf weerlegt?

De vereisten rondom de verwerking van politiegegevens zijn vastgelegd in de Wet politiegegevens. Voor het verlenen van toegang tot politiegegevens is een expliciete grondslag in de Wpg of lagere regelgeving (zoals het Besluit politiegegevens) noodzakelijk. Artikel 6a van de Wet politiegegevens stelt dat toegang kan worden verleend tot politiegegevens ten behoeve van het uitvoeren van toezichthoudende of controlerende taken. Dit betreft enkel diegenen die in deze wet zijn aangewezen. Dit zijn de Autoriteit Persoonsgegevens als toezichthouder, maar ook degenen die periodieke audits uitvoeren, privacyfunctionarissen en de functionaris gegevensbescherming. Er is een wijziging van de Wpg voorhanden, waarin ook de toegang tot politiesystemen nader zal worden bezien. Deze wijziging is ingegeven door de benodigde toegang door de Algemene Rekenkamer en Inspectie JenV.

Vraag 9

In welke wetgeving of (interne) protocollen is het recht op toegang tot politiegegevens vastgelegd? Waaruit blijkt dat er geen grondslag is om forensisch onderzoek te verrichten binnen de datasystemen van de politie?

Zie antwoord vraag 8.

Vraag 10

Hoe vaak is het eerder voorgekomen dat vanuit de rechtspraak een partij wordt benoemd die de opdracht krijgt om in de systemen van de politie te kijken? Hoe is daar in eventuele andere gevallen door de politie mee omgegaan?

De politie heeft mij geïnformeerd dat er bij de politie geen eerdere gevallen bekend zijn waarin de rechtbank in een bestuursrechtelijke procedure een deskundige heeft benoemd die toegang dient te worden verleend tot de politiesystemen.

Vraag 11

Wat is volgens u nodig om ervoor te zorgen dat de politie zich op dit gebied aan alle rechterlijke uitspraken houdt? Op welke termijn gaat u dit realiseren?

Ik verwijs u naar het antwoord op vraag 3.

Vraag 12

Hoe beoordeelt u de uitspraak van hoogleraar digitalisering en rechtsstaat Reijer Passchier dat er nieuwechecks and balances nodig zijn omdat de uitvoerende macht door digitalisering alleen maar machtiger wordt ten opzichte van de controlerende macht?

Ik merk op dat het in deze specifieke casus naar mijn idee niet gaat over digitalisering van de uitvoerende macht. Deze casus heeft mijn inziens betrekking op het functioneren van het rechtssysteem bij een verzoek tot inzage in de gegevens die de politie over hem of haar verwerkt. In algemene zin onderschrijf ik dat door digitalisering de mogelijkheden van politie en justitiële diensten toenemen. Het is daarbij van belang dat er een goede balans blijft bestaan tussen de taakuitvoering van deze diensten en de bescherming van de persoonlijke levenssfeer van betrokkenen. Daarbij is transparantie over het gebruik van dergelijke technologieën van groot belang.

Vraag 13

Wat zijn, in het licht van de prioriteit die u als Minister geeft aan werken aan het vertrouwen in de rechtsstaat, uw ambities om de machtsbalans tussen de uitvoerende macht en de controlerende macht te versterken? Wat is daarvoor uw tijdspad en welke middelen zijn nodig om dit te bereiken?

Het kabinet levert een gezamenlijke inspanning om het vertrouwen in onze rechtsstaat te vergroten. Om tot een sterke en beter functionerende democratische rechtsstaat te komen is het nodig te investeren in institutionele vernieuwing die leidt tot weerbare, sterke instituties en betere macht en tegenmacht. De maatregelen die het kabinet hiertoe neemt en de daarvoor beschikbare middelen zijn opgenomen in het regeerprogramma en worden de komende periode nader uitgewerkt.

Vraag 14

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Deze vragen zijn zo spoedig als mogelijk was beantwoord. Waar het de kwaliteit van de beantwoording ten goede komt zijn vragen tezamen behandeld.

Vraag 1

Bent u bekend met het bericht «De politie bewaart alles, altijd, van iedereen. Dat is in strijd met de wet» (Follow the Money, 16 oktober)?

Ja.

Vraag 2

Wat is uw reactie op dit bericht?

Het bericht van Follow the Money beschrijft de situatie waarover uw Kamer per brief is geïnformeerd in februari 2019.1

Vraag 3

Klopt het dat de Wet politiegegevens (Wpg) sinds de inwerkingtreding niet wordt nageleefd? Vanaf wanneer is dit het geval?

Mijn ambtsvoorgangers hebben reeds benadrukt dat zij belang hechten aan een zorgvuldige naleving van de Wpg.2 Ik sluit mij daarbij aan.
De Wpg is in 2008 inwerking getreden. Uit de eerste externe privacy audit, daterend uit 2015, is gebleken dat de politie op essentiële punten nog in onvoldoende mate aan de eisen van de Wpg voldoet. Mijn toenmalige ambtsvoorganger heeft uw Kamer daarvan destijds op de hoogte gesteld.3 Daarbij heeft hij aangegeven het van belang te achten dat de politie de regels uit de Wpg naleeft. Uit de eerste evaluatie van de Wpg in 2013 werd duidelijk dat de Wpg, de politiepraktijk en de huidige-ICT ondersteuning niet goed op elkaar aansluiten. De latere audits van de Wpg zijn in 2020 en 2023 aan uw Kamer aangeboden4. Uit deze audits blijkt dat de politie weliswaar nog steeds niet op alle punten compliant is aan de vereisten uit de Wpg, maar in dit opzicht wel voortgang boekt. Mijn ambtsvoorgangers hebben daarin een moeizame, maar stijgende lijn gezien. Wetgeving, praktijk en ICT sluiten steeds beter, maar op onderdelen nog onvoldoende op elkaar aan.
Ik hecht er aan te benadrukken dat er een verschil is tussen niet compliant zijn aan de Wpg en een bewust besluit van de korpschef, gesteund door mijn ambtsvoorganger, om een specifieke bepaling in de Wpg niet na te leven. Een bewust besluit tot niet naleven geldt alleen voor de vernietigingstermijn in artikel 14, met het oog op het gebruik van die gegevens voor cold cases en de vaststelling van PTSS. Daarbij zijn alleen zogeheten poortwachters geautoriseerd om politiegegevens in te zien die conform de Wpg verwijderd zijn.
Hiertoe is besloten met het oog op een voorgenomen herziening van de Wet politiegegevens, waarvan destijds sprake was.5 Bij de start van het vorige kabinet in 2022 zijn echter geen financiële middelen beschikbaar gesteld voor de realisatie en implementatie van een brede, integrale gegevenswet voor het politie- en justitiedomein. Hierbij was eveneens een overweging dat het realiseren en implementeren van een nieuw wettelijk kader op dat moment te veel zou vragen van de veranderkracht van alle betrokken taakorganisaties. Uw Kamer is hierover per brief geïnformeerd in januari 2022.6 Van een integrale herziening van de Wpg en Wjsg is daarmee afgezien, maar er is wel ingezet op enkele noodzakelijke aanpassingen. Het daartoe strekkende wetsvoorstel zal in de eerste helft van 2025 in consultatie worden gegeven. Indien wordt vastgesteld dat daartoe juridische mogelijkheden bestaan, zal het wetsvoorstel ook voorzien in een aanpassing van artikel 14 van de Wpg (waarin de termijn voor het bewaren van verwijderde gegevens is geregeld).

Vraag 4

Vindt u het acceptabel dat de politie niet aan de wet voldoet? Welke gevolgen heeft dit voor de betrouwbaarheid van dit instituut en de overheid?

Zie antwoord vraag 3.

Vraag 5

Mag alle informatie die de politie verzamelt nu oneindig lang bewaard worden omdat het ooit in een cold case onderzoek relevant kan zijn?

Artikel 14 van de Wpg geeft aan dat verwijderde gegevens voor een periode van vijf jaar mogen worden bewaard ten behoeve van (onder andere) het gebruik in cold cases. Na ommekomst van deze termijn moeten deze gegevens definitief worden vernietigd. De korpschef heeft in 2019 aangegeven een pas op de plaats te willen maken met het definitief vernietigen van deze gegevens, juist vanwege de mogelijke bruikbaarheid daarvan in cold cases. Mijn ambtsvoorganger heeft aangegeven de korpschef in dit besluit te steunen. Zoals ik heb aangegeven in het vragenuur op 22 oktober jl., heb ik de Raad van State om een voorlichting gevraagd over de juridische aspecten van het langer bewaren van bepaalde politiegegevens ten behoeve van het oplossen van nog niet opgeloste ernstige misdrijven, in het licht van Europeesrechtelijke en Grondwettelijke eisen. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het verruimen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 6

Hoe komt het dat er niet kan worden voldaan aan de bewaartermijn uit de Wpg, maar wel aan de wettelijke termijnen die volgen uit de Gemeentewet en het Wetboek van Strafverordening?

Het is in 2019 een bewuste keuze geweest van de korpschef om de gestelde termijn in artikel 14 niet na te leven. De bewuste keuze van de korpschef om de wet niet na te leven en de steun van de Minister daarbij is een uitzondering. Dat betekent niet dat de korpschef daarom alle wettelijke voorschriften kan negeren. Er is dan ook bewust gekozen om termijnen uit andere wetten (zoals de Gemeentewet en het Wetboek van Strafvordering) wel te blijven hanteren.

Vraag 7

Welke gegevens bewaart de politie langer dan wettelijk toegestaan? Welke gegevens vernietigt zij wel tijdig, zijn de systemen zodanig ingericht dat dit automatisch gebeurt?

In 2019 heeft mijn ambtsvoorganger uw Kamer geïnformeerd over de gegevens die niet vernietigd gaan worden. Voor een schets van de ontwikkeling van de benodigde software voor het vernietigen van die gegevens verwijs ik naar mijn antwoord op vraag 44.
De korpschef vernietigt wel die gegevens waarvan in de Gemeentewet (waaronder camerabeelden) en het Wetboek van Strafvordering (waaronder bijvoorbeeld geheimhoudersinformatie) bepalingen zijn opgenomen ter vernietiging. De keuze van de korpschef om op een specifiek onderdeel de wet niet na te leven is een bijzonderheid. Dat betekent niet dat de korpschef daarbij andere wettelijke bepalingen naast zich neer kan leggen. De gegevens waarop andere wettelijke bepalingen op het gebied van bewaartermijnen rusten, worden daarom vernietigd.

Vraag 8

Hoe vaak zijn oude gegevens, die nog geen onderdeel zijn van een opsporingsdossier, geraadpleegd in een cold case? Heeft dit het onderzoek verder gebracht? Kunt u onderbouwen dat de inbreuk op privacy proportioneel is aan wat het oplevert?

Een cijfermatige onderbouwing van het aantal cold cases waarin oude gegevens een rol hebben gespeeld, ontbreekt. Wel zijn er zaken bekend waarin verwijderde gegevens een belangrijke rol hebben gespeeld.
Wat betreft de proportionaliteit (de noodzaak en de evenredigheid) van de inbreuk door het bewaren van verwijderde gegevens heb ik de Raad van State gevraagd om een voorlichting. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het aanpassen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 9

Voor welke doeleinden mag de politie de Wpg op dit moment naast zich neer leggen? Heeft u of uw voorganger voor elk afzonderlijk doel expliciet toestemming gegeven?

Artikel 14 (het niet vernietigen van verwijderde gegevens) is de enige bepaling in de Wpg die de korpschef bewust naast zich neer legt. De politie toetst overeenkomstig art. 33 Wpg de naleving van de Wpg met behulp van (externe) auditrapporten. Door de audits in de tijd te plaatsen en de resultaten uit 2015, 2020 en 20232 te vergelijken, blijkt dat in de naleving van de vereisten uit de Wpg voortgang wordt geboekt. Ik benadruk dat mijn ambtsvoorganger in 20193 op het punt van het vernietigen van de betreffende politiegegevens zijn steun uitgesproken heeft voor het besluit van de korpschef als verwerkingsverantwoordelijke om bepaalde politiegegevens niet te vernietigen in afwachting van een wetswijziging.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 10

Wat is het doel van de Wpg? Kunt u onderbouwen hoe dat doel wordt bereikt als de politie de wet met uw goedkeuring naast zich neerlegt? Was de Wpg niet juist bedoeld om de regels voor gegevensverwerking te verruimen onder de voorwaarde dat de bewaartermijn ook wordt aangescherpt?

Het doel van de Wpg is het bereiken van een goede balans tussen enerzijds de taakuitvoering door de politie en anderzijds het respecteren en beschermen van de grondwettelijk geborgde persoonlijke levenssfeer van de burger. Het gaat hier om een delicate balans tussen twee ogenschijnlijk conflicterende belangen. Ogenschijnlijk, want uiteindelijk is de burger gebaat bij een effectief functionerende politie als randvoorwaarde voor een veilige en ordelijke samenleving waarin de burger zijn vrijheden ook daadwerkelijk kan genieten. Uiteraard is het essentieel dat de politie opereert binnen de wettelijke kaders, en dus ook met inachtneming van de wettelijke termijnen waarbinnen politiegegevens mogen worden verwerkt en daarna moeten worden verwijderd en uiteindelijk vernietigd. Met name de wettelijke bewaartermijn is echter al kort na inwerkingtreding van de Wpg onderwerp van aandacht geworden. Dat werd manifest bij de evaluatie van de Wpg in 2013.7 Eén van de aanbevelingen in het evaluatierapport luidde dat onderzocht dient te worden of voor bepaalde categorieën van politiegegevens de bewaartermijn kan worden verruimd. Mede in dat licht heeft de korpschef besloten om terughoudend te zijn met het definitief vernietigen van politiegegevens, vooral met het oog op de mogelijke betekenis daarvan bij het oplossen van cold case zaken. In 2019 heeft mijn toenmalige ambtsvoorganger uw Kamer daarover geïnformeerd.

Vraag 11

Wat is volgens u de reden dat de Wpg nog altijd niet wordt nageleefd?

Ik verwijs u naar het antwoord op vragen 3 en 4.

Vraag 12

Op welke termijn gaat u de Wpg herzien? Hoe verzekert u dat de belangen van opsporing en privacy zorgvuldig tegen elkaar worden afgewogen? Welke vragen heeft u hierover voorgelegd aan de Raad van State?1

In 2014 heeft mijn ambtsvoorganger naar aanleiding van de evaluaties van de Wpg en Wet justitiële en strafvorderlijke gegevens (Hierna: Wjsg) een integrale herziening van die wetten aangekondigd.8 Deze herziening moest echter worden uitgesteld in het licht van de totstandkoming en implementatie van nieuwe regelgeving van de EU, te weten de Algemene Verordening Gegevensbescherming en EU richtlijn 2016/680 voor de gegevensverwerking in het politie- en justitiedomein. Nadien is een verkenning uitgevoerd in samenwerking met vertegenwoordigers van de uitvoering. De resultaten van deze verkenning zijn in 2020 met uw Kamer gedeeld door de toenmalige Minister voor Rechtsbescherming.9 In deze verkenning zijn de termijnen voor het bewaren van gegevens ten behoeve van het gebruik in cold cases en de systematiek daaromheen expliciet als op te lossen knelpunt benoemd.
Bij de start van het vorige kabinet in 2022 zijn geen financiële middelen beschikbaar gesteld voor de realisatie en implementatie van een brede, integrale gegevenswet voor het politie- en justitiedomein. Hierbij was eveneens een overweging dat het realiseren en implementeren van een nieuw wettelijk kader veel vraagt van de veranderkracht van alle betrokken taakorganisaties. Met de inzet die de uitvoering van de modernisering van het Wetboek van Strafvordering al van alle strafrechtketenpartners vergde, was er een reëel risico dat de taakorganisaties met een nieuwe integrale gegevenswet zouden worden overvraagd. Uw Kamer is hierover per brief geïnformeerd in januari 2022.10 Van een integrale herziening van de Wpg en Wjsg is dus afgezien, maar is wel ingezet op enkele noodzakelijke aanpassingen. Het daartoe strekkende wetsvoorstel zal in de eerste helft van 2025 in consultatie worden gegeven. Indien wordt vastgesteld dat daartoe juridische mogelijkheden bestaan, zal het wetsvoorstel ook voorzien in een aanpassing van artikel 14 van de Wpg (waarin de termijn voor het bewaren van verwijderde gegevens is geregeld).
Bij een zorgvuldige weging van de belangen van opsporing en privacy hoort een zorgvuldige juridische weging van de eisen, gesteld in de EU-gegevensbeschermingsregelgeving, de Grondwet en het EVRM. In het kader van een zorgvuldige afweging heb ik de Raad van State verzocht om een voorlichting hierover. Aan de Raad van State is in dit licht de vraag voorgelegd naar de juridische mogelijkheden voor het bewaren van bepaalde politiegegevens ten behoeve van het oplossen van nog niet opgeloste ernstige misdrijven gelet op Europeesrechtelijke en Grondwettelijke eisen.

Vraag 13

Wat gaat u tot die tijd doen om ervoor te zorgen dat de politie de wet volgt? Gaat u de politie tot die tijd toestaan de wet te blijven negeren? Zo ja, op welke grondslag?

Ik verwijs u naar het antwoord op vragen 3 en 4.
In 2019 heeft de korpschef, met redenen omkleed, besloten om artikel 14 van de Wpg (het vernietigen van verwijderde gegevens) bewust niet na te leven. Mijn ambtsvoorganger heeft, als politiek verantwoordelijke voor de politie, de korpschef in dat besluit gesteund en heeft die steun openbaar gemaakt middels een brief aan uw Kamer. Deze situatie duurt tot op heden voort. Aan de hand van de aan de Raad van State gevraagde voorlichting zal een beslissing worden genomen over de juridische mogelijkheden voor een verlenging van de wettelijke bewaartermijn. Indien die mogelijkheden er zijn, kan een wijziging van de Wpg op dit punt worden meegenomen in het in het antwoord op vraag 12 genoemde wetsvoorstel.

Vraag 14

Kunt u de meest actuele beleidslijn en Data Protection Impact Assessment (DPIA) over het verwerken van onrechtmatig bewaarde gegevens door de politie met de Kamer delen?

Er is geen vastgestelde beleidslijn of specifiek DPIA over het verwerken van onrechtmatig bewaarde gegevens door de politie. DPIA's worden uitgevoerd op een proces of systeem op het moment dat een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert. Er is om deze reden geen DPIA op één specifieke verwerking zoals de verwerking van onrechtmatig bewaarde gegevens door de politie in het kader van een specifieke zaak.

Vraag 15

Mag de politie onrechtmatig bewaarde gegevens aandragen als geldig bewijsmateriaal? Is dit juridisch houdbaar en wenselijk?

De vraag welke juridische consequenties het heeft als de politie/het OM de voornoemde gegevens in een strafzaak aandraagt als bewijsmateriaal, hangt af van alle omstandigheden van het geval. Het is in beginsel aan de korpschef als verwerkingsverantwoordelijke en aan de officier van justitie als gezag om deze beslissing te nemen. Bij het schenden van strafvorderlijke voorschriften of rechtsbeginselen (bijv. recht op een eerlijk proces) is het aan de rechter om hier eventuele rechtsgevolgen aan te verbinden.

Vraag 16

Kunt u uitleggen op welke manier al die oude politiegegevens worden bewaard? Aan welke veiligheidseisen moet de opslag voldoen?

Alleen een zogeheten poortwachter is geautoriseerd om politiegegevens in te zien die conform de Wpg verwijderd zijn. De rol van poortwachter is niet specifiek benoemd in de Wpg, maar is door de politie ontwikkeld om invulling te kunnen geven aan art. 14 Wpg en gegevens zo nodig alsnog toegankelijk te maken ten behoeve van de verantwoording van verrichtingen, de behandeling van klachten en hernieuwde verwerking. Elke eenheid heeft een beperkt aantal poortwachters aangewezen. De politie heeft aan de rol van poortwachter verschillende voorwaarden verbonden, dit komt voort uit de zorgplicht die de organisatie heeft voor de rechtmatige omgang met politiegegevens. De poortwachter speelt een belangrijke rol bij de beoordeling of, onder welke voorwaarden en hoe politiegegevens, die zich in de bewaartermijn vinden, weer beschikbaar kunnen komen voor operationele verwerkingsdoelen. De poortwachter moet dan ook beschikken over de juiste kennis om deze rol te kunnen vervullen. De poortwachter vervult deze rol voor alle artikel 14 gegevens. Voor die artikel 14 gegevens waarvan de bewaartermijn reeds is verstreken heeft de korpschef kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.
Ook voor de verwijderde politiegegevens geldt dat de politie passende technische en organisatorische maatregelen treft om een beveiligingsniveau te waarborgen dat op het risico is afgestemd, op een zodanige manier dat de politiegegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging. De politie sluit daarbij zoveel mogelijk aan bij de Baseline Informatiebeveiliging Overheid (BIO) en neemt waar nodig strengere maatregelen. Het bewaren van de gegevens vergroot de kans op een hack of lek niet. Grotere hoeveelheden gegevens zouden wel tot een bredere impact kunnen leiden.

Vraag 17

Vergroot het niet vernietigen van politiegegevens de kans dat deze door een hack of een lek massaal op straat belanden? Is er onderzoek gedaan naar de mogelijke risico’s voor burgers door de huidige praktijk?

Zie antwoord vraag 16.

Vraag 18

Kunt u de relevante ambtelijke adviezen en contacten tussen betrokken ministeries die hebben geleid tot het gedoogbesluit van februari 2019 en het in stand houden / uitbreiden daarvan zo volledig mogelijk delen met de Kamer?

Er is geen sprake van een gedoogbesluit. De korpschef heeft besloten in afwachting van een wijziging van de bewaartermijnen in de Wpg niet over te gaan tot vernietiging van de betreffende gegevens. Mijn ambtsvoorganger heeft uw Kamer per brief op de hoogte gebracht van zijn steun voor dit besluit en de redenen daartoe. Ik verwijs u kortheidshalve naar deze brief.11
De korpschef is verwerkingsverantwoordelijke waar het gaat om de verwerking van politiegegevens door de politie. Ik ben als Minister van Justitie en Veiligheid beleidsverantwoordelijke voor de Wpg. Mijn ambtsvoorganger heeft in die hoedanigheid zijn steun uitgesproken voor het besluit van de korpschef. Daarmee is geen sprake van een kabinetsbesluit dat noodzaakt tot afstemming met andere departementen.

Vraag 19

Welke ministeries zijn betrokken geweest bij het maken van dit besluit? Vanuit welke belangen hebben zij het besluit om de wet niet na te leven gewogen? Welke zorgen zijn destijds tussen ministeries geuit?

Zie antwoord vraag 18.

Vraag 20

Heeft u sinds 2018 contact gehad met de Autoriteit Persoonsgegevens (AP) over het niet naleven van de Wpg door de politie?

De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder, die toezicht houdt op de naleving van de eisen in de Wpg door de politie. Ik heb daarin als Minister van Justitie en Veiligheid geen rol. Het past mij als Minister dan ook niet om een onafhankelijke toezichthouder te verzoeken om diens toezichthoudende rol al dan niet in te vullen. Er is regelmatig contact tussen de Autoriteit Persoonsgegevens, mijn departement en de politie.
Daarbij zijn de audit rapporten over de naleving van de Wpg, zoals ik die in 2015, 2020 en 2023 gedeeld heb met uw Kamer, ook door de politie naar de Autoriteit Persoonsgegevens gezonden.

Vraag 21

Bent u bereid de AP te vragen om zo snel als mogelijk de huidige praktijk te onderzoeken? Waarom is dit nog niet eerder gebeurd?

Zie antwoord vraag 20.

Vraag 22

Wanneer is de naleving van de Wpg door de politie het laatst onder de loep genomen, zoals de kritische audit door KPMG eind 2023?2 Is het meerjarig verbeterplan, opgesteld na een slopend advies van een externe audit in 2015,3 nu volledig uitgevoerd? Zo nee, wanneer wél?

Het Besluit politiegegevens schrijft voor dat de Wpg elke vier jaar een audit laat uitvoeren door een externe auditor. Direct na het verschijnen van het externe auditrapport, eind 2015, was duidelijk dat er nog veel tekortkomingen in de naleving van de Wpg waren. De Minister heeft destijds geconstateerd dat het eerder geschetste beeld van een «worstelende praktijk» bij de naleving van de Wpg is bevestigd, dat vanwege de reorganisatie nog onvoldoende centrale regie op het onderwerp was geweest en dat het mede daardoor nog niet was gelukt de juiste organisatorische en technische randvoorwaarden te creëren. De korpschef heeft in maart 2016 een verbeterplan opgeleverd aan de hand waarvan een verbeterprogramma is opgestart. Dit programma is in 2020 afgerond en heeft op een aantal thema’s tot verbeterde resultaten geleid.
De audit van KPMG uit het jaar 2023 is de meest recent uitgevoerde audit door een externe auditor en toont de meest recente stand van zaken. Door middel van een hercontrole zal beoordeeld worden of de maatregelen uit het verbeterrapport inmiddels zijn opgevolgd.

Vraag 23

Bent u tevens bekend met de inhoud van de stukken die de onderzoeksjournalisten hebben opgevraagd met de Wet open overheid?4

De stukken waarnaar u verwijst betreffen in algemene zin politie-interne stukken. Ik ben bekend met de stukken in zoverre dat ik de middels het Woo-verzoek opgevraagde stukken heb geraadpleegd waar dit voor de beantwoording van deze Kamervragen benodigd is.

Vraag 24

Kunt u reageren op de maatschappelijke vraagstukken geopperd in memo 017 uit 2016, namelijk: «Staat het met waarborgen omkleed bewaren en doorzoekbaar houden van informatie in verhouding tot het beoogde doel?»

Het signaleren van risico’s, het wegen van belangen en de inschatting of de in te zetten middelen in verhouding staan tot het te bereiken resultaat past bij een gedegen voorbereiding van besluitvorming.

Vraag 25

Wat is uw reactie op de vraag: «Vinden wij als samenleving de relatieve inbreuk op de privacy van burgers, omdat gegevens niet geschoond worden maar in systemen opgeslagen blijven, ernstiger dan het niet meer kunnen oplossen van een levensdelict?»

Het evenwicht tussen het belang van de privacy van burgers enerzijds en het belang van een effectieve opsporing anderzijds is een maatschappelijk én een (complex) juridisch vraagstuk. Het belang van het oplossen van een cold case zit zowel in de rechtvaardigheidsbeleving (misdrijven moeten worden opgelost) als in het gunnen van helderheid aan de nabestaande over wat destijds hun naaste is overkomen, ook na vele jaren. Anderzijds worden in de Grondwet, het Europees Verdrag voor de Rechten van de Mens en het EU-recht randvoorwaarden gesteld aan de gegevensverwerking door bevoegde autoriteiten in verband met de bescherming van de persoonlijke levenssfeer. Ik heb vanwege de complexiteit van dit vraagstuk de Raad van State gevraagd om een voorlichting. De voorlichting van de Raad van State zal ik betrekken bij mijn afweging over de verlenging van de termijn voor het vernietigen van verwijderde gegevens. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het verruimen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 26

Wat is uw reactie op de vraag: «Wat betekent het niet verjaren van zaken daadwerkelijk als onontbeerlijke informatie wel verjaart?»

Zie antwoord vraag 25.

Vraag 27

Wat is uw reactie op de vraag: «Welke gegevens vinden wij zo belangrijk dat ze bewaard en doorzoekbaar moeten blijven? Zijn er ook gegevens die wel mogen worden vernietigd en zo ja, welke dan?»

Zie antwoord vraag 25.

Vraag 28

Is het per ministerieel besluit opschorten van (onderdelen van) de Wpg, zoals aangehaald in memo 020, ooit overwogen door uw voorgangers? Zo ja, waarom is er toch gekozen om het niet naleven te gedogen?

De Wpg kent geen grondslag om de bewaartermijn voor verwijderde gegevens, genoemd in artikel 14, aan te passen middels gedelegeerde regelgeving. Dit vergt een wetswijziging. Zoals aangegeven in mijn antwoord op vraag 10 is de lengte van de wettelijke bewaartermijn al een punt van aandacht sinds inwerkingtreding van de Wpg. Zie verder het antwoord op vraag 10.

Vraag 29

Wat is uw reactie op het signaal dat de bewaartermijnen van het Wpg ook de aanpak van zware criminaliteit belemmert, zoals gesteld in memo 027? Bij welke vormen van zware criminaliteit is het gedoogd om onrechtmatig bewaarde gegevens te verwerken? Worden verouderde gegevens momenteel voor dit doel gebruikt?

Verwijderde gegevens worden alleen ter beschikking gesteld voor hernieuwde verwerking voor die doelen die zijn genoemd in artikel 14 van de Wpg.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 30

Wat is het verschil tussen cold cases en «andere onopgeloste zaken» zoals aangehaald in memo 027? Worden verouderde gegevens momenteel voor andere onopgeloste zaken gebruikt?

Het gesprek dat tussen mijn departement en vertegenwoordigers van de politie heeft plaatsgevonden ging over «oude zaken». Daarmee wordt gedoeld op cold cases, maar ook op bijvoorbeeld langdurige vermissingen en de identificatie van onbekende doden. De term «cold cases» heeft dus feitelijk betrekking op een beperkte categorie onopgehelderde misdrijven, maar wordt in de praktijk regelmatig gebruikt om een breder spectrum van oude zaken aan te duiden. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het aanpassen van de bewaartermijnen van bepaalde politiegegevens met het oog op het oplossen van oude zaken, gelet op Europeesrechtelijke en grondwettelijke eisen, dan zal ik in een daartoe strekkend wetsvoorstel precies neerleggen voor welke doelen de langer bewaarde gegevens mogen worden verwerkt.

Vraag 31

Klopt het beeld uit memo 029, waarin staat dat de korpschef eindverantwoordelijk is voor rechtmatige en zorgvuldige gegevensverwerking? Welke rol heeft u dan?

De korpschef is als verwerkingsverantwoordelijke verantwoordelijk voor de verwerking van politiegegevens door de politie. De Minister van Justitie en Veiligheid is politiek verantwoordelijk voor de politie en tevens beleidsverantwoordelijk voor de Wpg.

Vraag 32

Is er bij de huidige praktijk sprake van rechtmatige en zorgvuldige gegevensverwerking?

Rechtmatige en zorgvuldige gegevensverwerking zijn belangrijke voorschriften uit de Wpg. Voor de naleving van de Wpg door de politie verwijs ik u naar het antwoord op vragen 3 en 4.

Vraag 33

Klopt het dat het vernietigingsscript in de BVH nooit daadwerkelijk is ontwikkeld of in gebruik is genomen, zoals wordt gesteld in memo 043?5 Wat was er mis met het script waardoor dit niet gebeurd is?

Bij een evaluatie van de Wpg in 2014 bleek dat de bewaartermijnen niet goed werden nageleefd. Naar aanleiding van een daaropvolgende audit besloot de korpsleiding tot de opmaak van een meerjarig verbeterplan. Een onderdeel van dit plan was het instellen van een vernietigingsscript per 1 januari 2019. Er is destijds dus een begin gemaakt met de ontwikkeling van dit script, maar het is nog niet gereed om in gebruik te nemen en moet nog verder getest worden. Het middels een dergelijk vernietigingsscript vernietigen van gegevens is immers een onomkeerbare stap. Door het besluit van de korpschef om gegevens niet te vernietigen in afwachting van een wijziging van de Wpg op dit punt is het script nooit tot in productie doorontwikkeld.

Vraag 34

Hoe kan het dat in memo 020 wordt gesteld dat het aanzetten van het vernietigingsscript een onomkeerbare stap is, als er geen (bruikbaar) script blijkt te zijn? Wanneer was het bij uw voorganger bekend dat er nooit een (bruikbaar) script is geweest?

Zie antwoord vraag 33.

Vraag 35

Heeft het niet op orde hebben van de benodigde software een rol gespeeld bij uw besluit om het niet naleven van de Wpg te gedogen? Zo ja, in hoeverre was dit voor uw voorganger doorslaggevend?

De redenen die mijn ambtsvoorganger had om de korpschef te steunen in zijn besluit om de oude gegevens niet te vernietigen zijn beschreven in de brief die daarover in 2019 naar uw Kamer is gestuurd. Dat had te maken met de bewaartermijn voor oude gegevens ten behoeve van het onderzoek naar cold cases, die als te kort werd ervaren. De korpschef wilde geen onomkeerbare stappen nemen door de gegevens te vernietigen in afwachting van de toen aangekondigde wijziging van de wet.

Vraag 36

Klopt het dat de politie toestemming heeft gevraagd om tot de herziening van de Wpg «wat dan ook» voor data niet te vernietigen, zoals gesteld in memo 050? Wat is de precieze reikwijdte van het gedoogbesluit van uw voorganger en is dit nog steeds van kracht?

Er is geen sprake van een gedoogbesluit, zoals toegelicht in mijn antwoord op vraag 18. Het besluit dat de korpschef in 2019 nam, betrof het niet vernietigen van oude gegevens omdat deze bruikbaar kunnen zijn in cold cases. Mijn ambtsvoorganger heeft hem daarin gesteund. Het gaat dan om verwijderde gegevens, conform artikel 14 van de Wpg. De korpschef heeft kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.

Vraag 37

Voor welke «zwaarwegend[e] doel[en]» moesten volgens uw voorganger gegevens langer bewaard kunnen worden, zoals gesteld in memo 051? Deelt u deze opvatting?

Voor de als voorbeeld genoemde doelen verwijs ik u naar de desbetreffende brief die mijn ambtsvoorganger naar uw Kamer stuurde.10 Ik sluit mij aan bij de noodzaak een bewaartermijn vast te stellen waarin een nieuwe balans wordt gevonden tussen de taakuitvoering door de politie en anderzijds het respecteren en beschermen van de grondwettelijk geborgde persoonlijke levenssfeer van de burger. Daartoe heb ik de Raad van State gevraagd om een voorlichting over de juridische voorwaarden aan het verlengen van de termijn voor het bewaren van verwijderde gegevens. De voorlichting van de Raad neem ik mee in mijn afweging over het (eventueel) verlengen van de huidig gestelde bewaartermijn in artikel 14 van de Wpg.

Vraag 38

Is de enige logische conclusie bij de constatering uit memo 051 dat «op voorhand niet te beoordelen [is] welke informatie belangrijk is of zal zijn,» dat álle politiegegevens voor altijd dienen te worden opgeslagen?

Zie antwoord vraag 37.

Vraag 39

Hoe reageert u op de constatering uit memo 071, waarin mailcontact erkent dat openheid over de gedoogconstructie kan leiden tot een onderzoek van de AP met een boete en slechte pers als gevolg? Zijn de gevolgen voor burgers ook in acht genomen?

In deze situatie is er sprake van twee waardes die tegenover elkaar staan, namelijk het fundamentele recht op de bescherming van de privacy en het rechtstatelijke belang bij een effectieve opsporing en vervolging. Zoals ik die heb omschreven in beantwoording op deze vragen heeft het evenwicht tussen deze twee waardes gevolgen voor burgers, die baat hebben bij zowel het oplossen van cold cases als bij een zorgvuldige omgang met gegevens.
De Autoriteit Persoonsgegevens heeft een onafhankelijke toezichthoudende taak op de verwerking van politiegegevens onder de Wpg. De Autoriteit Persoonsgegevens besluit zelf of zij aanleiding ziet om onderzoek te doen. Daarin heb ik als Minister van Justitie en Veiligheid geen rol. Een onderzoek door de Autoriteit Persoonsgegevens kan ingegeven zijn door meldingen, maar ook door openbaar beschikbare informatie. Zoals vermeld in reactie op vragen 20 en 21 is er regelmatig contact tussen mijn departement, de Autoriteit Persoonsgegevens en de politie en zijn de auditrapporten over de naleving van de Wpg, zoals die in 2015, 2020 en 2023 gedeeld zijn met uw Kamer, ook door de politie naar de Autoriteit Persoonsgegevens gezonden.

Vraag 40

Was uw ambtsvoorganger destijds bekend met de zorgen over een onderzoek van de AP? Hebben deze zorgen enigszins een rol gespeeld in de afweging die uw voorganger heeft gemaakt? Kunt u dat hard maken?

Zie antwoord vraag 39.

Vraag 41

Waarom heeft uw voorganger er niet voor gekozen om de AP juist tijdig te betrekken bij de besluitvorming over het niet naleven van de wet en het ontwikkelen van intern beleid?

Zie antwoord vraag 39.

Vraag 42

Kunt u een uitleg geven over hoe het verwijderingsscript, aangehaald in memo 080, te werk gaat? Wat betekent het «schonen» van gegevens in technische zin?

Een verwijderingsscript zorgt ervoor dat de gegevens die op grond van art. 8 van de Wpg in de Basisvoorziening Handhaving (BVH) worden verwerkt niet meer toegankelijk zijn voor operationele doeleinden. In technische zin zijn ze dus «afgeschermd». De verwijderde gegevens zijn alleen toegankelijk voor een beperkt aantal geautoriseerde politieambtenaren, zogeheten poortwachters.

Vraag 43

Wat is het technische verschil tussen het verwijderen en vernietigen van gegevens? Kunnen verwijderde en / of vernietigde gegevens nog worden opgeroepen op een later tijdstip? Zit er verschil tussen gegevens onder artikel 8, 9 en 10 van de Wpg?

Drie verwerkingsdoelen in de Wpg (zijnde: de dagelijkse politietaak, de strafrechtelijke handhaving van de rechtsorde in een bepaald geval en het inzicht in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde) kennen weliswaar afwijkende verwijderingstermijnen, maar er zit met betrekking tot het principe van verwijderen en vernietigen geen verschil tussen de drie voornoemde doelen.

Vraag 44

Kunt u een tijdlijn schetsen van de ontwikkeling en het gebruik van de benodigde software die gegevens had moeten vernietigen? Tot welk stadium is een dergelijk systeem ooit uitgewerkt?

Zie antwoord vraag 33.

Vraag 45

Wat bedoelde uw voorganger in de Kamerbrief van 5 februari 2019 met: «Op dit moment is het beter om deze onvolkomenheid in de naleving van de wet te accepteren»?6 Is het niet passender om te spreken van het niet naleven van de wet?

Ik verwijs u naar het antwoord op vraag 5.

Vraag 46

Heeft uw voorganger destijds voorwaarden gesteld aan het gedogen van deze werkwijze? Zijn de precieze afspraken en / of toezeggingen rondom deze gedoogconstructie (intern) vastgelegd door de politie of uw ministerie? Zo ja, kunt u deze doen toekomen aan de Kamer?

Er is geen sprake van een gedoogconstructie zoals toegelicht in mijn antwoord op vraag 18. Mijn ambtsvoorganger heeft de korpschef gesteund in diens besluit om oude gegevens niet te vernietigen. De korpschef heeft daarbij maatregelen getroffen om gegevens die conform de wet vernietigd hadden moeten worden af te schermen van andere gegevens. De toegang tot de afgeschermde data is beperkt tot het strikt noodzakelijke. De korpschef heeft daartoe een beperkt aantal zogenoemde poortwachters aangewezen. Alleen deze poortwachters hebben, in opdracht van het gezag, toegang tot deze afgeschermde politiegegevens. Deze maatregelen zijn vermeld in de communicatie over dit besluit met uw Kamer.17

Vraag 47

Op welke wijze heeft u vanaf 2019 toezicht gehouden op het bewaren, verwijderen en vernietigen van politiegegevens ouder dan 10 jaar? Is er sprake van onafhankelijk toezicht?

Ik ben als Minister van Justitie en Veiligheid niet verantwoordelijk voor het houden van toezicht op het bewaren, verwijderen en vernietigen van politiegegevens ouder dan 10 jaar bij de politie. De Autoriteit Persoonsgegevens heeft een onafhankelijke toezichthoudende taak op de verwerking van politiegegevens onder de Wpg. Ik verwijs u naar de beantwoording van eerdere vragen over het toezicht door de Autoriteit Persoonsgegevens.

Vraag 48

Heeft uw voorganger toezeggingen gedaan of bepaalde verwachtingen geschept bij de politie over de termijn waarop een herziening van de Wpg gereed zou zijn? Om welke reden is de herziening enige tijd uitgesteld?

Ik verwijs u naar het antwoord op vraag 12.

Vraag 49

Klopt de conclusie uit de audit dat de politie door ICT-problemen niet in staat was om op tijd de wet na te leven, of is het een bewuste keuze geweest van de korpschef?7

Voor wat betreft het besluit van de korpschef om verwijderde gegevens na ommekomst van de termijn van vijf jaar niet te vernietigen, klopt deze conclusie niet. Het niet verwijderen was een bewuste keuze van de korpschef, gesteund door mijn ambtsvoorganger. In betreffende audit rapport is beschreven dat de politie beschikt over een retentiebeleid waarin de maximale bewaartermijnen zijn uitgewerkt en handvatten zijn beschreven om te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel. Voor de ontwikkeling van het vernietigingsscript en de samenhang met het verbeterprogramma verwijs ik naar mijn antwoorden op vragen 33, 34 en 44. Het niet-naleven van de vernietigingstermijn was daarmee een bewuste keuze van de korpschef, gesteund door mijn ambtsvoorganger.

Vraag 50

Welke maatregelen zijn er genomen om toegang tot niet vernietigde gegevens te beperken tot het strikt noodzakelijke, zoals volgens memo 094 in een interne notitie wordt vermeld?

Ik verwijs u naar het antwoord op de vragen 16 en 17.

Vraag 51

Wie hebben er toegang tot de onrechtmatig bewaarde gegevens? Hoe wordt er gecontroleerd en gehandhaafd dat men hier zo min mogelijk gebruik van maakt?

Zie antwoord vraag 50.

Vraag 52

Wordt er middels «logging» bijgehouden wie er oude gegevens verwerken en wanneer? Waarom is er wel / niet besloten om deze maatregel te nemen? Is dit het geval bij alle gegevensverwerking door de politie?

Van alle gegevensverwerkingen bij de politie wordt middels logging bijgehouden wie gegevens verwerkt en wanneer, ook bij verwijderde gegevens.

Vraag 53

Welke gegevens mag de Gegevensautoriteit volgens de korpsleiding niet vernietigen, zoals ook gevraagd wordt in memo 097 en 098? Is dit kader uiteindelijk verschaft aan de Gegevensautoriteit?

Het niet naleven van de termijnen voor vernietiging van de gegevens (met uitzondering van die gegevens zoals toegelicht in mijn antwoorden op vraag 6 en 7) was een bewust besluit van de korpschef, gesteund door mijn ambtsvoorganger. De Gegevensautoriteit van de politie heeft vervolgens een beleidslijn opgesteld die invulling geeft aan dat besluit. De Minister van Justitie en Veiligheid heeft geen rol in het opstellen van die beleidslijn. Ik zie geen aanleiding hierom te vragen gezien de lopende voorlichting bij de Raad van State.

Vraag 54

Heeft u kennis van de interne notitie waarnaar wordt verwezen in memo's 106, 111 en 113? Zo ja, wat is de strekking hiervan en hoe is uw ministerie betrokken geweest bij de totstandkoming hiervan? Kunt u de notitie delen met de Kamer?

De notitie waarnaar u verwijst betreft een politiedocument. De politie is zelf verantwoordelijk voor het behandelen van een Woo-verzoek en het beoordelen en openbaar maken van stukken die onder de reikwijdte van het verzoek vallen.

Vraag 55

Welke status heeft de notitie uit memo 114? Is uw ministerie betrokken geweest bij het opstellen?

De notitie waar u naar verwijst betreft een politiedocument dat bedoeld is voor interne besluitvorming.

Vraag 56

Kunt u los reageren op de volgende zorgen geuit in memo 114, zijnde: 1) het niet naleven van een wettelijke verplichting tast de betrouwbaarheid en legitimiteit van de politie ernstig aan; 2) de AP kan aanleiding zien om onderzoek te doen naar het op grote schaal niet-naleven van de Wpg en kunnen handhaven; 3) werkwijze zal bij audits en inspecties op het gebied van de Wpg en de Archiefwet 1995 tot negatieve conclusies leiden.

Ik verwijs u naar respectievelijk mijn reacties op vragen 3 en 4, 20 en 21 en 39 tot en met 41.

Vraag 57

Is de beleidslijn die geschetst wordt in memo 114 alleen van toepassing op cold cases, of ook voor andere «zwaarwegend[e] doel[en]» zoals geschreven in de Kamerbrief van 4 februari 2019, en omvat dit ook herzieningsonderzoeken en PTSS-onderzoek?

De korpschef heeft kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.
De korpschef heeft als werkgever een bijzondere zorgplicht met betrekking tot de psycho-sociale arbeidsbelasting. Zeker bij de uitvoering van politiewerkzaamheden kan langdurige blootstelling aan bepaalde incidenten leiden tot PTSS. Vaak overstijgt de termijn tussen incident en het moment waarop een potentieel PTSS slachtoffer zich als zodanig meldt de verwijderingstermijn voor politiegegevens in artikel 8 van de Wpg (5 jaar). Ter bescherming van de persoon in kwestie ligt het onderzoek naar de incidenten bij de korpschef. Het Besluit politiegegevens bevat de mogelijkheid om operationele (nog niet verwijderde) gegevens bij het onderzoek te betrekken. De korpschef gebruikt verwijderde gegevens vanaf het begin ook voor PTSS onderzoek bij collega’s. Daarbij moet gerealiseerd worden dat het hierbij te doen is om de betrokkenheid van collega’s bij bepaalde impactvolle incidenten. Het gaat daarbij om geanonimiseerde informatie, de persoonsgegevens van betrokken burgers zijn immers niet relevant voor de behandeling van het PTSS onderzoek.
Ik neem de verwerking van verwijderde gegevens mee in een aanpassing van de Wpg. De wijze waarop het gebruik van gegevens ten behoeve van PTSS in een aangepast artikel 14 vorm krijgt, kan ik pas beoordelen na ontvangst van de voorlichting die ik aan de Raad van State gevraagd heb. De juridische vraagstukken over het bewaren van grote hoeveelheden gegevens en de Europeesrechtelijke en grondwettelijke eisen daaraan zijn immers gelijk aan de vraagstukken op dit gebied rondom cold cases.

Vraag 58

Wie zijn de poortwachters? Onder welke voorwaarden verlenen zij toegang tot verwijderde gegevens en wie houdt hier toezicht op?

Ik verwijs u naar het antwoord op vraag 16.

Vraag 59

Hoe reageert u op de bevinding in memo 114 dat verzoeken van individuele betrokkenen om gegevens te vernietigen wél worden gehonoreerd? Zijn deze gegevens dan niet mogelijk doorslaggevend in cold cases?

Conform artikel 28, tweede lid, van de Wpg heeft een betrokkene het recht op vernietiging van de hem betreffende politiegegevens indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt. Van dit recht kan slechts worden afgeweken wanneer de juistheid of onjuistheid van de informatie niet kan worden geverifieerd of wanneer de gegevens moeten worden bewaard als bewijsmateriaal. In individuele gevallen als deze berust de verantwoordelijkheid bij de politie om te kunnen aantonen dat de specifieke informatie die het betreft moet worden bewaard als bewijsmateriaal. Het aantonen van dit verband is in een individuele casus complex, omdat het onmogelijk is om op voorhand te zeggen of de gegevens relevante informatie bevatten waarmee een specifieke cold case kan worden opgelost.

Vraag 60

Vindt u het acceptabel dat de wet slechts wordt nageleefd als betrokkenen zelf de moeite doen om zich op hun rechten te beroepen? Is het de taak van burgers om het naleven van de wet individueel af te dwingen?

Uiteraard dient de politie zich uit eigen beweging te houden aan de wet. Burgers mogen erop vertrouwen dat dat gebeurt. Slechts in zeer bijzondere omstandigheden kan het verdedigbaar zijn dat een wettelijke norm tijdelijk niet wordt nageleefd. Dat heeft mijn voorganger in zijn brief aan uw Kamer in februari 2019 onderbouwd.19

Vraag 61

Worden burgers op de hoogte gebracht dat hun gegevens worden verzameld en mogelijk voor onbeperkte termijn worden bewaard?

De politie informeert burgers in algemene zin op grond van artikel 24 van de Wpg over onder andere de verwerkingsverantwoordelijke, verwerkingsdoelen en rechten van betrokkenen. Dit doet de politie op haar website. Daarnaast worden burgers in voorkomende gevallen geïnformeerd over bijvoorbeeld de rechtsgrond of bewaartermijn van een verwerking. Dat kan bijvoorbeeld het geval zijn wanneer een burger optreedt als getuige of slachtoffer is. De burger heeft op grond van artikel 25 Wpg te allen tijde het recht op inzage in de hem of haar betreffende persoonsgegevens in bezit van de politie.

Vraag 62

Vindt u het belangrijk dat het beleid en de werkprocessen van de politie in opzet voldoen aan de Wpg, ook als deze in feite niet wordt uitgevoerd, zoals erkend in memo 114? Wekt dit niet de indruk bij audits, inspecties en onderzoeken dat er wordt voldaan aan de wet terwijl dit feitelijk niet zo is?

Ik vind het belangrijk dat de werkprocessen binnen de politie voldoen aan de daaraan gestelde eisen in de Wpg. De auditsystematiek is daarbij zodanig dat door de auditor getoetst wordt of de politie in opzet, bestaan en werking op adequate wijze invulling geeft aan de bepalingen bij of krachtens de Wpg. Ik verwijs u naar de auditrapporten die met uw Kamer zijn gedeeld.20

Vraag 63

Hoe reageert u op de waarschuwing over «function creep» zoals beschreven in memo 114, waarin staat dat gegevens enkel mogen worden gebruikt voor cold cases? Is er sprake geweest van function creep door niet vernietigde gegevens ook te betrekken bij onderzoek naar Posttraumatische stressstoornis (PTSS), herzieningsonderzoeken en het gebruik bij zware misdaad niet uit te sluiten?

Naleving van de vereisten uit de Wpg is een verantwoordelijkheid van de verwerkingsverantwoordelijke. De politie heeft een systeem van intern en extern toezicht opgezet om te toetsen of voorwaarden zijn getroffen om de naleving van de Wpg periodiek te toetsen. Dit gebeurt op basis van de Regeling periodieke audit politiegegevens. Op deze manier wordt getoetst of de voorwaarden uit de Wpg worden nageleefd. Daarnaast is de Autoriteit Persoonsgegevens als onafhankelijk toezichthouder bevoegd om toezicht te houden op de naleving van de Wpg.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 64

Kunt u met alle zekerheid zeggen dat onrechtmatig bewaarde gegevens in geen enkel geval gebruikt zijn voor data-analyse, het trainen van AI-systemen, uitwisseling met partners in de keten, of voor screeningsdoeleinden? Welke waarborgen zijn er ingesteld om dit te voorkomen? Als dit wel is gebeurd, kunt u dan duidelijk maken voor precies welke doeleinden deze gegevens zijn gebruikt?

De doelen voor welke verwijderde gegevens voor hernieuwde verwerking in aanmerking komen, zijn opgesomd in artikel 14 van de Wpg. Daarnaast heeft de korpschef kenbaar gemaakt dat de artikel 14 gegevens waarvan de bewaartermijn is verstreken enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.De politie heeft waarborgen ingericht rond het ter beschikking stellen voor hernieuwde verwerking van verwijderde gegevens. Dat betreft het afschermen van de verwijderde gegevens van de overige gegevensverzamelingen, het instellen van poortwachters en de toestemming van het gezag alvorens hernieuwde verwerking plaatsvindt. Daarnaast kan de Autoriteit Persoonsgegevens handhavend optreden bij normafwijkend handelen.

Vraag 65

Klopt de stelling in memo 114 dat er destijds (november 2020) eerste verkenningen zijn geweest over de herziening van de Wpg? Wat waren de uitkomsten van deze verkenningen?

Ik verwijs u naar het antwoord op vraag 12.

Vraag 66

Is er inmiddels een definitieve beleidslijn over hoe om te gaan met het vernietigen van politiegegevens, wat volgens memo 124 in juni 2021 nog altijd niet het geval was? Heeft uw ministerie hier om gevraagd? Zo niet, bent u bereid dit alsnog te doen?

Zie antwoord vraag 53.

Vraag 67

Kunt u uitleg geven over het lopende traject om de poortwachter organisatie beter in te richten, waar naar wordt verwezen in memo 137? Welke problemen waren er en zijn deze onderhand weggenomen?

De huidige werkwijze is in 2018 tot stand gekomen, deze wordt door de korpschef geactualiseerd.

Vraag 68

Vanaf wanneer is het gedoogbeleid zodanig verbreed dat ook PTSS-onderzoek bij collega's hieronder is komen te vallen, zoals benoemd in memo 137? Is hier toestemming van de Minister voor gevraagd / vereist?

Ik verwijs u naar het antwoord op vraag 57.

Vraag 69

Kunt u de nadere uitwerking van de beleidslijn waar memo 139 naar verwijst aan de Kamer doen toekomen?

De korpschef heeft mij gemeld dat de Gegevensautoriteit na het besluit van de korpschef om verwijderde gegevens niet te vernietigen, gesteund door mijn ambtsvoorganger, destijds in afwachting van een herziening van de Wpg, een beleidslijn heeft opgesteld over hoe om te gaan met de gegevens die vernietigd hadden moeten worden. Enkele van de door u gestelde vragen raken de inhoud van deze beleidslijn. Daarvoor verwijs ik u naar de antwoorden op de vragen 6, 7, 29, 46, 53, 57 en 66. Wat betreft de getroffen waarborgen met betrekking tot de verwijderde gegevens verwijs ik u naar mijn antwoord op vraag 17.

Vraag 70

Is er nog altijd geen beleidslijn vastgesteld over de waarborgen die nodig zijn om zorgvuldig met verwijderde politiegegevens te werken, zoals gevraagd in memo 139?

Zie antwoord vraag 69.

Vraag 71

Is het nu gedoogd om onrechtmatig bewaarde politiegegevens voor herzieningsonderzoeken te gebruiken, zoals opgenomen in memo 139? Bent u of is uw voorganger gevraagd om toestemming voor dit gebruik, of valt dit ook onder het staande gedoogbeleid?

De korpschef heeft kenbaar gemaakt dat de artikel 14 gegevens waarvan de bewaartermijn is verstreken enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS. Ik heb als Minister van Justitie en Veiligheid geen rol in het verlenen van toestemming om politiegegevens al dan niet voor herzieningsonderzoeken te gebruiken. De officier van justitie toetst of gegevens voor hernieuwde verwerking in aanmerking komen. De rechter doet in de betreffende zaak een uitspraak of de gegevens al dan niet rechtmatig voor het betreffende onderzoek zijn verwerkt.

Vraag 72

Welke lessen trekt u uit het proces rondom de Wpg? Hoe gaat u in de toekomst voorkomen dat de politie jarenlang de wet niet naleeft?

Allereerst wil ik benadrukken dat de politie de Wpg op veel vlakken naleeft en dat de auditrapporten hierin een stijgende lijn laten zien. De auditrapporten laten echter ook zien dat er sprake was en is van knelpunten. Mijn ambtsvoorgangers hebben in 2014, 2015, 2019, 2020 en 2023 in openheid met uw Kamer gecommuniceerd over de naleving van de Wpg en de uitdagingen die zich daarbij voordeden en voordoen. Ik acht het van belang dat wetgeving aansluit op de uitvoeringspraktijk en recht doet aan de verschillende maatschappelijke waarden die een rol spelen. Daarnaast kan dit vraagstuk niet los gezien worden van de in 2019 voorgenomen herziening van de Wpg. Hiervoor verwijs ik naar mijn antwoord op vraag 12.

Vraag 73

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Waar het de kwaliteit van de beantwoording ten goede komt zijn deze vragen tezamen behandeld.

Vraag 1

Bent u bekend met de briefing «In beeld bij de politie: camerasurveillance bij vreedzaam protest in Nederland» van Amnesty International?1

Ja.

Vraag 2

Kunt u dit rapport zo spoedig mogelijk voorzien van een appreciatie? Kunt u daarbij expliciet reageren op de afzonderlijke aanbevelingen?

Mijn reactie op de aanbevelingen van Amnesty International volgt in het eerstvolgende halfjaarbericht politie van december 2024.

Vraag 3

Bent u het eens met de mening dat u uiterst terughoudend dient te zijn met de inzet van camerasurveillance en gezichtsherkenning bij vreedzame demonstraties?

Allereerst wil ik benadrukken dat de politie geen realtime gezichtsherkenningstechnologie inzet bij demonstraties om demonstranten te identificeren. Enkel wanneer sprake is van strafbare feiten kan door de politie achteraf gezichtsherkenningstechnologie worden ingezet om verdachten te identificeren.
Ik ben me er goed van bewust dat het gebruik van camera’s een inbreuk vormt op de privacy van de burger en dus voorzien moet zijn bij wet, een legitiem doel moet dienen en noodzakelijk moet zijn in een democratische samenleving. Gelet op die inbreuk wordt de inzet goed overwogen. Voorafgaand aan een demonstratie wordt in de lokale driehoek een risicoafweging gemaakt op basis waarvan de politie-inzet wordt bepaald. Daarin wordt onder andere gekeken naar de complexiteit van een demonstratie en het risico op ongeregeldheden.
Cameratoezicht wordt ingezet om voldoende zicht te hebben op de demonstratie om zo te kunnen zorgen voor een ordelijk en veilig verloop ervan. Denk aan het voorkomen van onveilige (verkeers)situaties en het tijdig in kunnen grijpen als een groep/groepen de demonstratie willen verstoren. De inzet van camera’s is zeker niet standaard en vindt bij een klein deel van alle demonstraties plaats. Voor de goede orde: de politie doet niet aan biometrische surveillance.

Vraag 4

Deelt u de mening dat het inzetten van camerasurveillance bij vreedzame demonstraties een onwenselijk afschrikkend effect kan hebben voor het uitoefenen van dit grondrecht?

Ik ben me ervan bewust dat mensen het niet prettig kunnen vinden om gefilmd te worden. Mogelijk passen zij zelfs hun gedrag aan, bijvoorbeeld door af te zien van deelname aan een demonstratie. Dit zogenaamde «chilling effect» wordt niet licht bezien, en wordt meegewogen in het besluit om camera’s al dan niet in te zetten. Voor de goede orde: de politie doet niet aan biometrische surveillance.

Vraag 5

Vindt u ook dat adequaat toezicht op het gebruik van camerasurveillance en gezichtsherkenningstechnologie een randvoorwaarde is om het te mogen gebruiken? Kunt u onderbouwen dat de Autoriteit Persoonsgegevens voldoende is uitgerust om hierop toe te zien?

In de brief van 30 september jl. naar aanleiding van de motie van het lid Kathmann over het gebruik van gezichtsherkenningstechnologie heeft het kabinet de onderliggende zorgen van de motie onderschreven en aangegeven dat er heldere wettelijke kaders noodzakelijk zijn bij de inzet van gezichtsherkenning, toezicht en controle daarop.2
De Autoriteit Persoonsgegevens (AP) heeft voldoende expertise en middelen om toezicht te houden op het gebruik van cameratoezicht en gezichtsherkenningstechnologie. De wijze waarop de AP de middelen die hen ter beschikking worden gesteld verdeelt over de afzonderlijke taken is uitsluitend aan de AP, als onafhankelijke toezichthouder.

Vraag 6

In wat voor situaties vindt u het gerechtvaardigd dat de politie gezichtsherkenning gebruikt om demonstranten te identificeren? Binnen welke wettelijke kaders is dit toegestaan?

Enkel wanneer er strafbare feiten zijn gepleegd door demonstranten kan de politie achteraf proberen de identiteit van de verdachten te achterhalen door middel van gezichtsherkenningstechnologie. Dit doet de politie door afbeeldingen van de verdachten geautomatiseerd te vergelijken met afbeeldingen van veroordeelden en aangehouden verdachten van een strafbaar feit waar minimaal 4 jaar gevangenisstraf voor staat.
De gelaatsafbeelding van een verdachte kan afkomstig zijn van een tijdelijke politiecamera of een bodycam (beide op grond van artikel 3 Politiewet 2012), een gemeentelijke camera (artikel 151c Gemeentewet) of van een particuliere camera (gevorderd op grond van artikel 126nd Wetboek van Strafvordering). Ook kan het zo zijn dat beeldmateriaal door burgers of bedrijven aan de politie wordt verstrekt op grond van de AVG.
De gegevens worden gelet op artikel 3 Wet Politiegegevens (Wpg) slechts verwerkt voor zover dit noodzakelijk is voor de bij of krachtens de Wpg geformuleerde doeleinden. Het omzetten van een gelaatsafbeelding in biometrische kenmerken moet dan ook altijd noodzakelijk zijn voor een van de doeleinden in de Wpg. Bijvoorbeeld voor de uitvoering van de dagelijkse politietaak (artikel 8 Wpg). Met het extraheren van biometrische kenmerken uit een gelaatsafbeelding worden gegevens gecreëerd die die moeten worden aangemerkt als een bijzondere categorie van politiegegevens in de zin van artikel 5 van de Wpg. Dergelijke politiegegevens mogen alleen worden verwerkt voor zover dat onvermijdelijk is voor het doel van de verwerking en in aanvulling op andere politiegegevens. Dit vereist dan ook een extra zware noodzakelijkheidstoets. Ook moeten de gegevens afdoende worden beveiligd.
Politiegegevens kunnen geautomatiseerd vergeleken worden op grond van artikel 8, lid 2 en artikel 11, lid 1 en 2 Wpg. Vergelijking van gelaatsafbeeldingen aan de hand van biometrische kenmerken is daarvan niet uitgesloten.
Er is geen sprake van inzet van gezichtsherkenningstechnologie voor het identificeren van demonstranten. Daarnaast wordt geen gebruik gemaakt van realtime gezichtsherkenningstechnologie.

Vraag 7

Kunt u alle relevante interne protocollen en afwegingskaders voor het inzetten van gezichtsherkenning door de overheid delen met de Kamer?

In februari 2023 is de Kamer geïnformeerd over het inzetkader gezichtsherkenningstechnologie dat de politie heeft ontwikkeld.3 In het tweede halfjaarbericht politie 2023 is de Kamer geïnformeerd over de eerste ervaringen met dit inzetkader.4

Vraag 8

Op welke termijn verwacht u moderne wet- en regelgeving aan de Kamer aan te bieden over de strikte inzet van gezichtsherkenning en geautomatiseerde besluitvorming van de overheid, zoals aangekondigd in het regeerprogramma?2

Het voornemen in het regeerprogramma om te zorgen voor passende, moderne wet- en regelgeving op het gebied van gezichtsherkenning wordt uitgewerkt in het kader van de implementatie van de Europese Verordening Kunstmatige Intelligentie (AI-verordening).
De AI-verordening is in augustus 2024 van kracht geworden. Deze verordening verbiedt de inzet van realtime gezichtsherkenningstechnologie in de openbare ruimte met het oog op de rechtshandhaving. Uitzonderingen op dat verbod zijn mogelijk als daar nationale wetgeving voor wordt gecreëerd. Het Ministerie van Justitie en Veiligheid onderzoekt nu of dat wenselijk en noodzakelijk is. Als onderdeel van dat traject wordt ook gekeken naar het steviger wettelijk borgen van de huidige toepassing van deze technologie (niet real time) door de politie. Dit traject bevindt zich in een verkennende fase.
In het kader van geautomatiseerde besluitvorming door de overheid is een reflectiedocument «Algoritmische besluitvorming en de Awb» in internetconsultatie gegeven waarop tot en met 31 juli jl. 53 openbare reacties zijn ontvangen. Tijdens de plenaire behandeling van de begroting van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is toegezegd dat de Kamer uiterlijk in het eerste kwartaal van 2025 een brief ontvangt waarin een analyse is opgenomen van de consultatiereacties op het reflectiedocument. In die brief zal nader worden ingegaan op de vraag waarin de wet- en regelgeving momenteel tekortschiet en binnen welke termijn een wetsvoorstel kan worden verwacht.

Vraag 9

Op welke manieren moet de aangekondigde wet- en regelgeving de bestaande praktijk aanvullen? Waarin schiet wet- en regelgeving momenteel tekort en hoe gaat u deze gebreken nader invullen?

Zie antwoord vraag 8.

Vraag 10

Welke technologie(ën) gebruikt Nederland momenteel voor gezichtsherkenning? Kunt u per toepassing aangeven of deze gebruikmaken van een algoritme of kunstmatige intelligentie (AI)? In het geval van AI-toepassingen: kunt u aangeven op welke datasets de modellen getraind zijn?

Ik lees uw vraag in de context van het rapport van Amnesty International. Ik beperk me in mijn antwoord tot het gebruik van gezichtsherkenningstechnologie door de politie.
De politie maakt gebruikt van het systeem CATCH. Daarnaast zijn er twee databases: CATCH-strafrecht en CATCH-vreemdelingen. De laatste is de Vreemdelingendatabase die onder de verantwoordelijkheid van de Minister van Asiel en Migratie valt. In de Kamerbrief van november 2019 worden de juridische kaders en waarborgen rondom het gebruik van gezichtsherkenningstechnologie door de politie beschreven en wordt er dieper ingegaan op het gebruik van CATCH-strafrecht.5 In maart 2023 is in antwoord op schriftelijke vragen over CATCH-vreemdelingen uitleg gegeven over de wettelijke grondslag.6 De algoritmes die CATCH gebruikt zijn niet door de politie getraind. Ze zijn getraind aangekocht.
Momenteel is de politie bezig met het inrichten van een nadere kwaliteitstoets op algoritmen. De aanleiding hiervoor is de AI-verordening. In artikel 6 van deze verordening zijn verplichtingen opgenomen voor hoog-risico AI-systemen. CATCH is in het huidige gebruik door de politie zeer waarschijnlijk aan te merken als een hoog-risico systeem. De verplichtingen en verantwoordelijkheden die hier mee samenhangen treden op 1 augustus 2026 in werking. Dit behelst, ten behoeve van de verscherping en nadere toetsing op de juridische en technische kwaliteit, ook een uitvoeriger bestudering van de initiële datasets waar het model op is gerealiseerd.

Vraag 11

Met welke toepassingen van gezichtsherkenning wordt er momenteel geëxperimenteerd, zoals aangegeven door de vorige Minister van Justitie en Veiligheid in haar antwoorden op vragen van het lid Sneller?3

In haar antwoord op vragen van het lid Sneller geeft mijn ambtsvoorganger aan dat eventuele experimenten plaats vinden binnen de daarvoor geldende wettelijke bepalingen. Bij het Centrum voor Biometrie van de politie vinden geen experimenten plaats. Bij de toetsingscommissie gezichtsherkenningstechnologie van de politie is geen experiment bekend.

Vraag 12

Deelt u de mening van uw ambtsvoorganger dat nieuwe experimenten met gezichtsherkenning zonder expliciete wettelijke grondslag moeten worden toegestaan? Acht u dit in lijn met de aangenomen motie-Kathmann (Kamerstuk 26 643, nr. 1172), die vraagt om toepassingen altijd van een expliciete grondslag te voorzien en anders te beëindigen?

Ik hecht eraan om de mening van mijn ambtsvoorganger in context te lezen. Het ontbreken van een expliciete wettelijke grondslag betekent niet dat er geen wettelijke grondslag bestaat voor de toepassing van een technologie door de politie. Voor de uitleg van die wettelijke grondslag verwijs ik naar mijn antwoord op vraag 6. Als de politie binnen de kaders van onze wetgeving handelt en de voorgeschreven waarborgen treft, zoals het uitvoeren van een gegevensbeschermingseffeceoordeling, dan zie ik geen bezwaren. In dat opzicht deel ik de mening van mijn ambtsvoorganger.
De motie waar u naar verwijst is op verzoek van de indiener aangehouden.8 Ik verwijs u voor een reactie op de aangenomen motie 1171 naar de brief van de Staatssecretaris van Justitie en Veiligheid van 9 oktober 2024.9

Vraag 13

Klopt het dat er momenteel geen centraal overzicht is van de plekken en manieren waarop de overheid gezichtsherkenning toepast? Waarom is dit nog niet inzichtelijk gemaakt?4

De AI-verordening verplicht de registratie van hoog risico AI-systemen door aanbieders en gebruiksverantwoordelijken van deze systemen in een EU-databank. Deze verplichting geldt per 2 augustus 2026 voor nieuwe hoog risico AI-systemen. Voor hoog risico AI-systemen op het gebied van rechtshandhaving, migratie, asiel en grenstoezichtbeheer vindt registratie plaats in een niet openbaar gedeelte van de databank, die wel toegankelijk is voor toezichthouders. Het kabinet onderschrijft de noodzaak van transparantie over het gebruik van AI-systemen door de overheid. Op nationaal niveau wordt daarom aanvullend invulling gegeven aan deze transparantie middels het algoritmeregister. Met uw Kamer is afgesproken dat voor zover het de Rijksoverheid betreft, ten minste alle hoog risico AI-systemen eind 2025 in het register zijn gepubliceerd. Voor registratie in het algoritmeregister geldt dat publicatie in het register begrensd kan worden door wettelijke of gerechtvaardigde uitzonderingen die van toepassing zijn in het kader van bijvoorbeeld opsporing, rechtshandhaving, defensie of inlichtingenverzameling.

Vraag 14

Kunt u met een tijdlijn aangeven hoe u zo snel mogelijk gaat voldoen aan de registratieverplichting van hoogrisico AI-systemen, die per 2026 geldt? Deelt u de mening dat Nederland transparant dient te zijn en hierin vooruit moet lopen op de deadline uit de Europese AI-verordening?

Zie antwoord vraag 13.

Vraag 15

Welke toetsen gaan vooraf aan het besluit om camerasurveillance bij vreedzame demonstraties in te zetten? Met welke organisaties moeten deze gedeeld worden?

Ik wil hier benadrukken dat iedere demonstratie uniek is en een unieke afweging vraagt. Voorafgaand aan een demonstratie wordt binnen de lokale driehoek een risicoafweging gemaakt op basis waarvan de politie-inzet wordt bepaald. Daarin wordt onder andere gekeken naar de complexiteit van een demonstratie en het risico op ongeregeldheden.
Onderdeel van die afweging is dat er geen onnodige inbreuk op de privacy van burgers wordt gemaakt en dat de veiligheid van demonstranten en omstanders wordt gewaarborgd. Cameratoezicht wordt ingezet om voldoende zicht te hebben op de demonstratie om zo te kunnen zorgen voor een ordelijk en veilig verloop ervan. Denk aan het voorkomen van onveilige (verkeers)situaties en het tijdig in kunnen grijpen als een groep/groepen de demonstratie willen verstoren. De inzet van camera’s is zeker niet standaard en vindt bij een klein deel van alle demonstraties plaats. Er wordt niet geregistreerd hoe vaak cameratoezicht wordt toegewezen.

Vraag 16

Worden alle relevante rapportages en stukken die de toezichthouders nodig hebben om de inzet van gezichtsherkenning te toetsen altijd in volledigheid met hen gedeeld? Kunt u deze vraag ter bevestiging aan de relevante toezichthouder(s) voorleggen en, indien hier niet aan wordt voldaan, alsnog alle stukken met hen delen?

Ja. Uit de terugkoppeling die ik heb ontvangen van de politie blijkt niets anders dan volledige medewerking.

Vraag 17

In hoeveel gevallen is de inzet van camerasurveillance bij vreedzame demonstraties, al dan niet in combinatie met gezichtsherkenning, vooraf óf achteraf afgekeurd? Om welke redenen is dit gebeurd?

De politie inzet bij demonstraties wordt bepaald door een risicoafweging in de lokale driehoek. Zoals uiteengezet wordt de inzet van cameratoezicht niet licht bezien gelet op die potentiële inbreuk op de privacy van burgers of het zogenaamde «chilling effect» dat kan optreden. Vanzelfsprekend kan een risicoafweging ook leiden tot een negatief besluit over de inzet van camera’s. Bijvoorbeeld omdat het voorziene veiligheidsrisico niet opweegt tegen de beschreven inbreuk. Bij de meeste demonstraties wordt dan ook geen gebruik gemaakt van cameratoezicht. Daarnaast kan gezichtsherkenningstechnologie enkel achteraf toegepast worden voor de identificatie van verdachten van strafbare feiten. Bij een vreedzame demonstratie zal dit in de regel niet aan de orde zijn.
Er wordt niet geregistreerd hoe vaak cameratoezicht wordt toe- of afgewezen.

Vraag 18

Welke toetsen gaan vooraf aan het besluit om gezichtsherkenning ter identificatie in te zetten in politieonderzoek? Met welke organisaties moeten deze gedeeld worden?

De politie maakt op dit moment alleen gebruik van het systeem CATCH. Ieder voornemen voor een andere toepassing van gezichtsherkenningstechnologie dan CATCH moet worden getoetst door de toetsingscommissie gezichtsherkenningstechnologie van de politie. Die commissie doet dit aan de hand van het inzetkader gezichtsherkenning. Een positief advies van de toetsingscommissie moet voorafgaand aan de operationele inzet worden bekrachtigd door de korpschef.
Indien de politie in het kader van een opsporingszaak beschikt over een gelaatsafbeelding van de verdachte, dan kan de politie trachten de identiteit te achterhalen met behulp van gezichtsherkenningstechnologie. Voor zowel de verkrijging van de verdachtenfoto als voor de verdere verwerking is een wettelijke grondslag nodig. Voor de toepassing van CATCH-Strafrecht voert de betrokken opsporingsambtenaar deze toets uit. In bijzondere gevallen kan als laatste redmiddel gebruik worden gemaakt van de Vreemdelingendatabase (CATCH-vreemdelingen) in het kader van de opsporing. Hiervoor moet de officier van justitie een schriftelijke machtiging van de rechter-commissaris hebben alvorens hij deze informatie kan vorderen, zie voor de eisen artikel 107 zesde lid, Vreemdelingenwet 2000.

Vraag 19

Hoeveel verdachten worden jaarlijks succesvol herkend door het gebruik van gezichtsherkenning? Hoeveel mensen worden jaarlijks aangehouden of ondervraagd op basis van een foutieve match?

In 2023 zijn er 1693 gezichtsafbeeldingen van Nederlandse opsporingsonderzoeken aangeboden voor vergelijking. Hiervan bleken 660 gezichtsafbeeldingen niet geschikt voor verdere verwerking. Van de 1033 geschikt bevonden gezichtsafbeeldingen, leidden 424 gezichtsafbeeldingen tot een herkenning. De overige 609 werden niet herkend.
Een herkenning door middel van de inzet van deze technologie én de beoordeling van biometrie-experts levert ondersteunend bewijs op in het onderzoek naar verdachten.

Vraag 20

Welke foutmarges kennen de systemen voor gezichtsherkenning die nu in gebruik zijn? Zijn deze gelijk voor alle huidskleuren en geslachten? Kunt u in een percentage uitdrukken welke foutmarge volgens u acceptabel is?

De gebruikte gezichtsherkenningstechnologie genereert een «shortlist» van personen die een zekere mate van gelijkenis vertonen met de persoon op de verdachtenfoto. De uiteindelijke beoordeling wordt uitgevoerd door meerdere, onafhankelijk van elkaar werkende, biometrie-experts. Door dit principe van «human-in-the-loop» is er altijd sprake van menselijke interactie.
De politie is bezig een intern proces op te zetten om, naast de staande processen, een aanvullende kwaliteitstoets op algoritmen te implementeren. Nu kan er nog geen uitspraak worden gedaan naar wat acceptabel is.
Rondom de initiële inzet van CATCH is gekeken naar de daartoe beschikbare externe kwaliteitsrapportages. In dit geval van het Amerikaanse National Institute of Standards and Technology (NIST). CATCH is gebaseerd op een model van IDEMIA waar het NIST een evaluatie op heeft uitgevoerd.11

Vraag 21

Welke middelen, zoals bodycams en videosurveillanceauto's, mag de politie gebruiken voor camerasurveillance? Met welke regelmaat worden de beelden gebruikt om met gezichtsherkenningstechnologie mensen te identificeren?

Camerasurveillance, of cameratoezicht in het Nederlands, is een breed begrip. Daaronder vallen o.a. de volgende vormen: bodycams, drones en helikopters die zijn uitgerust met een camera, videosurveillancewagens, tijdelijke camera’s, of vast bevestigde tijdelijke camera’s (om tijdelijk een bepaald gebied of bepaalde locatie te monitoren). Ook kan de politie beschikken over de beelden van Openbare orde camera’s (op grond van artikel 151c Gemeentewet). ANPR-camera’s zijn, hoewel specifiek gericht op het herkennen van voertuigen, ook een vorm van cameratoezicht.
Voor het tweede deel van deze vraag verwijs ik naar mijn antwoord op vraag 19.

Vraag 22

Welke eisen stelt u aan de camera's die voor opsporing en handhaving worden ingezet? Kunt u garanderen dat Nederland geen gebruik maakt van hardware of software die ontwikkeld is in landen met offensieve cyberprogramma's tegen ons land?

De politie is bij de aanschaf van technologische middelen gehouden aan de Europese en nationale aanbestedingsregels, zoals de Aanbestedingswet 2012. Het uitgangspunt is dat het gebruik van apparatuur en programmatuur veilig moet zijn en dat eventuele risico’s beperkt en/of gemonitord worden. Het risicobeleid ten aanzien van nationale veiligheid bij inkoop en aanbesteding is constant in ontwikkeling en heeft blijvende aandacht van de politie.
Bij de aanschaf en implementatie van apparatuur of programmatuur waarbij risico’s optreden voor de nationale veiligheid wordt geanticipeerd op zowel algemene risico’s in relatie tot leveranciers, als op specifiekere risico’s met betrekking tot het concrete gebruik van de systemen, bijvoorbeeld als het gaat om fysieke of digitale toegang door derden. Per praktijksituatie moet worden bezien of en zo ja, hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Een belangrijk uitgangspunt hierbij is dat maatregelen die hiertoe genomen worden proportioneel zijn. Er kunnen bijvoorbeeld technische beveiligings- of organisatorische maatregelen worden getroffen binnen de eigen organisatie. Ook kunnen strenge eisen gesteld worden aan de beveiliging van producten en diensten en kunnen ondernemers gevestigd in bepaalde landen uitgesloten worden van aanbestedingsprocedures.
De politie kan niet garanderen dat er geen gebruik wordt gemaakt van hardware of software die ontwikkeld is in landen met offensieve cyberprogramma's tegen ons land. Dat komt deels omdat de politie niet alle camera’s zelf aanschaft. Deels stond de Aanbestedingswet 2012 tot voor kort het niet toe om bepaalde aanbieders uit te sluiten.

Vraag 23

Welke databronnen worden gebruikt als referentiemateriaal bij gezichtsherkenning? Kunt u expliciet maken welke open en gesloten bronnen hiervoor gebruikt mogen worden of mogen worden opgevraagd?

De politie maakt voor gezichtsherkenning gebruik van het eerder genoemde systeem CATCH. CATCH kan een gezichtsvergelijking uitvoeren door een verdachtenfoto te vergelijken met referentiemateriaal. Dat referentiemateriaal is opgeslagen in twee bestanden: één met gelaatsafbeeldingen van aangehouden verdachten van een strafbaar feit waarvoor minimaal 4 jaar celstraf staat en van veroordeelden (CATCH Strafrecht) en één met gelaatsafbeeldingen van vreemdelingen (CATCH Vreemdelingen). Slechts in zeer uitzonderlijke gevallen (enkele keren per jaar) kan er worden gekeken of de verdachte voorkomt in de Vreemdelingendatabank. Zie hiervoor ook mijn antwoord op vraag 18.
De grondslag voor het verkrijgen van het referentiemateriaal is artikel 55c Wetboek van strafrecht voor de afbeeldingen van verdachten en veroordeelden. En artikel 107, vijfde lid, van de Vreemdelingenwet 2000 voor de gelaatsafbeeldingen van vreemdelingen.
De politie maakt geen gebruik van open of andere gesloten bronnen bij de operationele inzet van de genoemde CATCH varianten.

Vraag 24

Worden opgeslagen beelden van vreedzame demonstraties gebruikt als referentiemateriaal om verdachten op te sporen, ook als hun vermeende misdrijf niks met de demonstratie te maken heeft?

Zoals omschreven in reactie op vraag 23 wordt in de huidige toepassing van gezichtsherkenningstechnologie door de politie geen gebruik gemaakt van beelden van vreedzame demonstraties als referentiemateriaal. Wel kan het voorkomen dat op beeldmateriaal van een demonstratie een strafbaar feit zichtbaar is. In dat geval kan dat beeldmateriaal worden gebruikt als bewijsmateriaal en voor de identificatie van de verdachte. Het maakt hierbij geen verschil of de verdachte wel of niet als demonstrant wordt aangemerkt.

Vraag 25

Welke bewaartermijn hanteert de politie voor beelden van vreedzame demonstraties? Hoe wordt erop toegezien dat de beelden na deze termijn daadwerkelijk worden verwijderd? Heeft de politie op dit moment beelden van vreedzame demonstraties bewaard die reeds vernietigd hadden moeten worden?

De Wet politiegegevens (Wpg) en de Gemeentewet regelen de bewaartermijnen. Afgeleid van artikel 151c Gemeentewet bewaart de politie camerabeelden maximaal 28 dagen. Beelden waarop een strafbaar feit zichtbaar is, mogen worden bewaard zolang het opsporingsonderzoek loopt.
Jaarlijks wordt er een interne privacyaudit uitgevoerd (de zogenaamde Wpg-audit). Eens in de 4 jaar wordt er een externe privacyaudit uitgevoerd.
Op uw vraag of de politie op dit moment beelden van vreedzame demonstraties bewaart die reeds vernietigd hadden moeten worden, kan de politie in zijn algemeenheid geen uitspraak doen. De procedure is zodanig dat de camerabeelden binnen 28 moeten zijn beoordeeld en er een besluit moet zijn genomen.

Vraag 26

Worden politiebeelden waarvan blijkt dat ze achteraf onrechtmatig verkregen zijn altijd op tijd verwijderd? Waaruit blijkt dit?

De betrokken officier van justitie maakt de afweging welk belang het zwaarst weegt: het belang van waarheidsvinding of het belang van de rechten van de op de politiebeelden zichtbare personen. Als blijkt dat de politiebeelden onrechtmatig zijn verkregen, dan kan een rechter besluiten dit niet als bewijs toe te laten. Bij een onrechtmatige inbreuk op de persoonlijke levenssfeer kan dit worden meegewogen in de strafmaat.

Vraag 27

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Deze vragen zijn zo goed mogelijk beantwoord, waarvoor het in gevallen wenselijk is ze gezamenlijk te behandelen.

Vraag 1

Bent u bekend met het bericht «TikTok schrapt honderden banen: wil meer AI inzetten voor contentmoderatie» (11-10-2024)?1

Ja

Vraag 2

Heeft u voor of na het ontslag van het complete moderatieteam van TikTok in Nederland contact gehad met een vertegenwoordiger van TikTok over deze ontslagen? Zo ja, wat heeft u besproken? Zo nee, waarom niet?

Ja, er is contact opgenomen door het Ministerie van BZK met TikTok in Nederland nadat bekend werd dat het contentmoderatieteam daar was ontslagen. TikTok gaf aan dat dit ontslag geen invloed heeft op het totale aantal moderatoren binnen de EU. Het platform heeft ook aangegeven dat er geen grote veranderingen zijn in het aantal moderatoren per taalgroep en dat het niet van plan is het aantal menselijke contentmoderatoren aanzienlijk te verminderen.

Vraag 3

Kunt u een inschatting maken van wat het schrappen van het Nederlandse moderatieteam betekent voor de moderatie van Nederlandstalige content op TikTok?

Zoals aangegeven, stelt TikTok dat het ontslag van het moderatieteam in Nederland geen grote impact heeft op het aantal moderatoren per taalgroep. Dit betekent dat er niet aanzienlijk minder Nederlandstalige moderatoren zijn en dat Nederlandse content niet minder gemodereerd wordt. Mocht echter blijken dat TikTok’s informatie onjuist is en er wel beduidend minder Nederlandse moderatoren zijn, waardoor systeemrisico’s toenemen, dan is het aan de Europese Commissie (EC), als toezichthouder, om dit verder te onderzoeken en te evalueren.

Vraag 4

Deelt u de mening dat er voor effectieve contentmoderatie niet enkel vertrouwd kan worden op foutgevoelige AI-systemen, maar dat er ook altijd sprake zou moeten zijn van menselijk toezicht dat op de hoogte is van de lokale (Nederlandse) context waarin de content wordt geproduceerd? Zo nee, waarom niet?

Ik begrijp de wens om menselijke controle in contentmoderatie. Zoals ook aangegegeven in de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie is het kabinet van mening dat te veel sociale media platformen hebben nagelaten voldoende investeringen te doen in context-specifieke, talige en culturele menselijke expertise in Nederland. Ik heb dan ook een onderzoek uitgezet naar de beste praktijken in contentmoderatie op zeer grote online platforms en zoekmachines, zodat er geleerd kan worden welke contentmoderatiesystemen het beste werk verrichten. De resultaten van dit onderzoek zullen in het najaar van 2025 beschikbaar zijn en zullen ook met de Europese Commissie gedeeld worden.

Vraag 5

Kunt u reflecteren op dit ontslag van het Nederlandse moderatieteam in het kader van artikel 16 van de Digital Services Act (DSA), welke eisen stelt aan het voldoen aan meldings- en actieverplichtingen, en artikel 20 van de DSA, dat platforms verplicht stelt om «gemotiveerde beslissingen» te nemen «onder toezicht van passend gekwalificeerd personeel, en niet uitsluitend op basis van geautomatiseerde middelen»?

Artikel 16 van de DSA gaat over het inrichten van een toegankelijk en gebruiksvriendelijk kennisgevings- en actiemechanisme. Hierin zijn aanbieders van online hostingsdiensten verplicht om gebruikers op de hoogte te stellen wanneer zij voor die verwerking of besluitvorming geautomatiseerde middelen gebruiken. Ook artikel 17 van de DSA geeft aan dat gebruikers geïnformeerd moeten worden als content wordt gemodereerd met geautomatiseerde middelen. De gebruiker heeft vervolgens het recht om daar een klacht over in te dienen, die beslissing voor te leggen aan een externe geschilbeslechtscommissie als die er is, of naar de rechter te gaan. Het kabinet wil burgers beter in staat stellen om hun rechten te halen bij sociale mediaplatformen. Zoals vermeld in de Voortgangsbrief Rijksbrede strategie voor een effectieve aanpak van desinformatie, werkt het Ministerie van BZK daarom aan de verkenning van een meldvoorziening en een onafhankelijk geschillenorgaan, zoals beschreven in artikel 21 van de DSA.
Artikel 20 van de DSA verwijst naar de inrichting van een klachtensysteem. Hierin zijn aanbieders van online diensten verplicht om een doeltreffend intern klachtenafhandelingssysteem in te stellen dat elektronisch en gratis te gebruiken is voor gebruikers. De verwijzing dat aanbieders van onlineplatforms verplicht zijn om genomen besluiten onder toezicht van gekwalificeerd personeel te nemen en niet louter geautomatiseerde middelen in te zetten, verwijst naar de genomen besluiten in een interne klachtenhandelingssysteem en niet in hun inhoudsmoderatie.
Met betrekking tot inhoudsmoderatiebeslissingen, al dan niet geautomatiseerd, zijn de artikelen 42 en 15 relevant. Artikel 42 van de DSA verplicht zeer grote onlineplatforms om rapporten te publiceren met details over hun inhoudsmoderatie-inspanningen. Deze rapporten moeten onder andere aangeven hoeveel personeel ze inzetten per officiële taal van de EU-lidstaten, hun kwalificaties en taalkennis, en hoe goed hun moderatie werkt in elke taal.
Artikel 15 van de DSA verplicht zeer grote onlineplatforms om te rapporteren over hun inhoudsmoderatie. Deze rapporten moeten duidelijk en eenvoudig te begrijpen zijn en informatie bevatten over acties die ze hebben genomen om inhoud te modereren, zoals het gebruik van geautomatiseerde tools. Ze moeten ook details geven over de nauwkeurigheid van deze tools, mogelijke fouten, en welke maatregelen ze hebben genomen om fouten te beperken. De informatie moet ook worden ingedeeld op basis van het type illegale inhoud en de gebruikte moderatiemethode.

Vraag 6

Bent u van mening dat het mogelijk is om te voldoen aan de verplichtingen uit artikel 34 en 35 van de DSA om, rekening houdend met specifieke regionale of taalkundige aspecten (ook wanneer deze specifiek zijn voor een lidstaat), systemische risico’s voor platforms als TikTok te identificeren, analyseren en effectief te beperken zonder dat er in Nederland personeel voor contentmoderatie aanwezig is? Kunt u dit toelichten?

Ja, dat is mogelijk en hangt ervan af of TikTok elders voldoende Nederlandstalige moderatoren met kennis van de context in dienst heeft. TikTok dient in transparantieverslagen aan te geven hoeveel personeel ze inzetten per officiële taal van de EU-lidstaten. Hierbij is het belangrijk om erop te wijzen dat de DSA vraagt om een uiteenzetting van de hoeveelheid personeel per officiële taal binnen de EU, ongeacht de locatie van deze contentmoderatoren.
In het meest recente transparantieverslag (januari-juni 2024) vermeldt TikTok 160 Nederlandstalige inhoudsmoderatoren. Als in het volgende transparantieverslag blijkt dat TikTok een significante vermindering van Nederlandstalige contentmoderatoren heeft en dit leidt tot een systeemrisico, kan het bedrijf nog steeds voldoen aan artikel 34 en 35 van de DSA, mits er voldoende mitigerende maatregelen zijn genomen om deze risico’s te beheersen, zoals bijvoorbeeld de aanpassing van inhoudsmoderatieprocedures en daarvoor gebruikte besluitvormingsprocedures of moderatiemiddelen.

Vraag 7

Deelt u de mening dat er voldoende lokaal personeel en gekwalificeerd menselijk toezicht nodig is om te voldoen aan artikel 16 van de DSA, met name in het geval van zeer grote onlineplatforms, en artikel 34 van de DSA? Zo nee, waarom niet?

Vraag 8

Gelet op voorgaande vragen, bent u van mening dat TikTok blijft voldoen aan de DSA? Zo ja, waarom? Zo nee, kunt u aangeven welke acties u kunt en gaat ondernemen om TikTok wel te laten voldoen aan de DSA?

Het oordeel of TikTok de DSA correct genoeg naleeft is aan de Europese Commissie. De Europese Commissie is namelijk de primaire toezichthouder voor het naleven van de DSA door zeer grote platforms, waaronder TikTok. Sinds de inwerkingtreding van de DSA heeft de EC haar rol als toezichthouder voortvarend opgepakt en wij volgen nauwlettend de ontwikkelingen. Zo startte de Commissie in 2024 twee formele procedures tegen TikTok om te onderzoeken of er sprake is van overtredingen van de DSA.2 Artikelen 74 en 76 van de DSA geven de Commissie een bevoegdheid om een boete of last onder dwangsom op te leggen als er daadwerkelijk sprake is van een overtreding.
De Nederlandse overheid volgt de verdere uitvoering van de DSA en ondersteunt de Commissie waar het kan. Zoals in antwoord vier is aangegeven is er namens het Ministerie van BZK een onderzoek uitgezet, waarin wordt onderzocht welke beste moderatiepraktijken er bestaan bij zeer grote online platformen en zoekmachines. De resultaten hiervan zullen in het najaar van 2025 bekendgemaakt worden.

Vraag 9

Is bij u bekend of alle platforms aangemerkt als «Very Large Online Platform» (VLOP) nu (nog) zijn voorzien van een moderatieteam in Nederland? Hoe kunt u verzekeren dat berichtjes op deze platformen blijvend door mensen worden gemodereerd?

Het is publiekelijk beschikbare informatie hoeveel personeel VLOP’s hebben die in het Nederlands modereren. Artikel 42 van de DSA verplicht VLOP’s namelijk om halfjaarlijks transparantieverslagen te publiceren met details over onder andere hun inhoudsmoderatie-inspanningen. Deze rapporten moeten bijvoorbeeld aangeven hoeveel personeel ze inzetten per officiële taal van de EU-lidstaten, hun kwalificaties en taalkennis, en hoe goed hun moderatie werkt in elke taal. Zoals reeds aangegeven had TikTok 160 Nederlandstalige inhoudsmoderatoren in de periode januari-juni 2024. Meta3 dat verantwoordelijk is voor de VLOP’s Instagram en Facebook had in totaal 96 Nederlandstalige moderatoren in de periode van april-september 2024. En X/Twitter had geen enkele Nederlandstalige contentmoderator in de periode van april-september 2024.4 Verder is het niet verplicht om in de transparantieverslagen op te nemen in welke landen de contentmoderatoren gevestigd zijn.
De DSA verbiedt ook niet dat een platform gebruik maakt van geautomatiseerde middelen voor het verrichten van moderatie. Maar als dat gebeurt dan moet het platform dat benoemen in het bericht waarmee ze een gebruiker informeren dat ze diens content hebben gemodereerd (artikel 17). De gebruiker heeft vervolgens het recht om daar een klacht over in te dienen, die beslissing voor te leggen aan een externe geschilbeslechtscommissie als die er is, of naar de rechter te gaan.
Indien een gebrek aan menselijke controle leidt tot dusdanige risico’s dat het een systeemrisico in de zin van artikel 34 DSA vormt, dan moeten zeer grote online platforms en zoekmachines daar mitigerende maatregelen tegen nemen. Zoals bijvoorbeeld de aanpassing van inhoudsmoderatieprocedures en daarvoor gebruikte besluitvormingsprocedures of moderatiemiddelen. Ook de opleiding en lokale deskundigheid van moderatoren behoort hiertoe.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja

Vraag 1

Bent u bekend met de uitspraak van het Europese Hof van Justitie van 4 oktober 2024, waarin wordt gesteld dat nationale wetgeving mag bepalen dat ook kleine misdrijven kunnen leiden tot het doorzoeken van telefoons?1

Ja.

Vraag 2

Wat is uw reactie op deze uitspraak van het Europese Hof? Wat is de reactie van de Nationale Politie? Kunt u ook de Autoriteit Persoonsgegevens vragen om haar zienswijze en deze doen toekomen aan de Kamer?

De rechtspraktijk in Nederland zal moeten uitwijzen wat de precieze betekenis van deze uitspraak is. Met de toepassing van de prejudiciële procedure wordt het Europese Hof van Justitie in toenemende mate om uitleg gevraagd van het EU-recht op het gebied van bevoegdheden in het kader van het strafrechtelijk onderzoek. De uitspraak in de zaak Bezirkshauptmannschaft Landeck past in deze ontwikkeling. De betekenis en de reikwijdte van deze rechtspraak voor de rechtspraktijk zijn nog onzeker. Zoals aangekondigd in de memorie van toelichting bij het wetsvoorstel tot vaststelling van een nieuw Wetboek van Strafvordering, wordt van de zijde van de regering een voorstel gedaan, zodra de betekenis en de reikwijdte van de rechtspraak van het Europese Hof van Justitie daarvoor voldoende zijn uitgekristalliseerd om deze in samenhang te kunnen codificeren2. Dan zal zoals gebruikelijk een wetsvoorstel in dit verband ter consultatie worden voorgelegd aan (onder meer) de politie en de Autoriteit persoonsgegevens. Dergelijke consultatieadviezen worden meegezonden aan uw Kamer bij de indiening van een wetsvoorstel.

Vraag 3

Bent u het met de indiener(s) eens dat men uiterst terughoudend moet zijn om het uitlezen van telefoons makkelijker te maken? Vindt u ook dat deze bevoegdheid enkel ingezet moet worden met toestemming van de rechter bij zware misdrijven?

Het Europese Hof van Justitie heeft bepaald dat de mogelijkheid om toegang te krijgen tot gegevens in een mobiele telefoon niet is beperkt tot strafrechtelijk onderzoek naar zware misdrijven, omdat anders een risico op straffeloosheid bij niet-zware misdrijven zou ontstaan en het doel van het in stand houden van een ruimte van vrijheid, veiligheid en rechtvaardigheid binnen de EU kan worden ondermijnd3. De ernst van het feit speelt volgens het Europese Hof van Justitie wel een belangrijke rol in de afweging die moet worden gemaakt. De betekenis van deze uitspraak voor de Nederlandse rechtsorde zal gaan blijken uit de rechtspraak in concrete gevallen.

Vraag 4

Wat is het huidige protocol voor het uitlezen van telefoons van verdachten? Wanneer wordt hier wel/niet toe besloten en welke toestemming is vereist voordat dit gebeurt? Is het protocol hetzelfde bij privételefoons als bij tweede telefoons die vermoedelijk gebruikt worden voor criminele activiteiten?

De voorwaarden voor toegang tot gegevens in een mobiele telefoon ten behoeve van de opsporing van strafbare feiten zijn vastgelegd in het Wetboek van Strafvordering, en verder ontwikkeld in het smartphonearrest van de Hoge Raad4. Oorspronkelijk is de toegang gestoeld op de bevoegdheid tot inbeslagneming van voorwerpen. De inbeslagnemingsbevoegdheid impliceert dat het inbeslaggenomen voorwerp kan worden onderzocht. De mobiele telefoon heeft zich als voorwerp echter zo ontwikkeld dat zeer veel (gevoelige) gegevens over de gebruiker of derden daarop kunnen worden opgeslagen, met als gevolg dat de toegang tot gegevens op een mobiele telefoon (zeer) ingrijpend kan zijn. Dit is voor de Hoge Raad aanleiding geweest tot het wijzen van het eerdergenoemde smartphonearrest. In dat arrest zijn voorwaarden gesteld wegens de mate van inbreuk op de persoonlijke levenssfeer die de toegang tot gegevens in een mobiele telefoon kan hebben. De algemene beginselen van proportionaliteit en subsidiariteit zijn bovendien van toepassing. Daarbij worden alle relevante feiten en omstandigheden gewogen, waaronder of er sprake is van een privé mobiele telefoon of een tweede mobiele telefoon die vermoedelijk gebruikt wordt voor criminele activiteiten. De rechtspraktijk zal gaan uitwijzen in hoeverre de toegang tot mobiele telefoons anders gaat verlopen dan voorheen door deze uitspraak van het Europese Hof van Justitie.

Vraag 5

Ziet u aanleiding om de bevoegdheid in nationale regelgeving verder uit te breiden tot lichte misdrijven? Zo ja, waaruit blijkt de noodzaak hiertoe? Hoe zwaar moet een misdrijf zijn voordat hiertoe volgens u besloten mag worden?

Het EU-recht noch het nationaal recht vereist een verdenking van een zwaar misdrijf voor de toegang tot gegevens in een mobiele telefoon. Wel geldt dat de ernst van het strafbaar feit een belangrijke factor is bij de beoordeling van de toegang in een concreet geval.

Vraag 6

Hoe worden de belangen van opsporing, privacy, onschuldpresumptie en cyberveiligheid tegen elkaar afgewogen bij het besluit om wel of niet een telefoon uit te lezen?

Zie het antwoord op vraag 4.

Vraag 7

Hoe gaat het uitlezen van telefoons momenteel in werking, als de politie hiertoe besluit? Op welke manier wordt toegang verkregen tot een toestel? Wordt er wel eens gebruik gemaakt van biometrische gegevens van verdachten, zoals vingerafdrukken voor vingerafdrukscanners of gezichten (FaceID), om bij weigering van verdachten om een telefoon te ontgrendelen dit alsnog voor elkaar te krijgen en zo ja, hoe vaak komt dat voor? Wordt de data op een telefoon gericht uitgelezen op basis van het strafbare feit of wordt de hele telefoon – inclusief privécommunicatie – doorzocht? Worden de gegevens gekopieerd en opgeslagen, en zo ja, met welke bewaartermijn?

De politie sluit de telefoon over het algemeen aan op uitleesapparatuur en maakt een forensische kopie van bepaalde bestanden op het toestel of een exacte kopie van alle computergegevens, afhankelijk van de inhoud van het bevel. Soms wordt de mobiele telefoon handmatig onderzocht. Het komt voor dat een mobiele telefoon alleen ontgrendeld kan worden met behulp van biometrische gegevens van de gebruiker van dat toestel. De politie mag in die gevallen de verdachte vragen zijn toestel te ontgrendelen. Als de verdachte hier niet aan wil meewerken, mag de politie dwang gebruiken. Dit is bekrachtigd door de Hoge Raad in een arrest uit 20215. Deze bevoegdheid is via de Innovatiewet Strafvordering vooralsnog opgenomen in artikel 558 van het Wetboek van Strafvordering. De rapporten waarin verslag is gedaan van de evaluatie van de Innovatiewet Strafvordering zijn onlangs verzonden aan uw Kamer6. Volgens de onderzoekers wordt de bevoegdheid regelmatig toegepast. Exacte cijfers zijn niet beschikbaar. Voor het einde van het jaar ontvangt uw Kamer de beleidsreactie op de evaluatierapporten.
De gegevens die zijn overgenomen worden door de politie opgeslagen, waarna (een deel van) deze gegevens toegankelijk worden voor gebruik door daartoe geautoriseerde opsporingsambtenaren die belast zijn met de opsporing van het strafbare feit waarvoor de mobiele telefoon in beslag is genomen. Deze gegevens vallen onder het regime artikel 9 in de Wet politiegegevens (Wpg). Deze gegevens kunnen worden gebruikt voor het opsporingsonderzoek en het eventueel daarop volgende strafproces, totdat een onherroepelijke beslissing in de betreffende zaak is genomen of de straf/maatregel volledig ten uitvoer is gelegd. Uiterlijk een half jaar nadat het doel van het onderzoek is bereikt, moeten de gegevens worden verwijderd. De systematiek in de Wpg schermt verwijderde gegevens af van andere gegevens en deze worden gedurende een periode van vijf jaar bewaard. Gedurende deze periode zijn de gegevens alleen toegankelijk voor een beperkt aantal poortwachters en kunnen slechts gebruikt worden voor enkele genoemde doelen. Na ommekomst van deze termijn moeten gegevens worden vernietigd.

Vraag 8

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel in de Telegraaf van 11 september 2024, waarin wordt bericht over de stortvloed aan pakketjes van Chinese webshops die de Nederlandse markt overspoelen?1

Ja.

Vraag 2

Bent u bekend met de gezamenlijke klacht die 18 consumentenorganisaties hebben ingediend tegen Temu?2

Ja.

Vraag 3

Bent u bekend met de brief die naar u is gestuurd waarin de Consumentenbond en retailbrancheverenigingen hun zorgen uiten over de onveilige en oneerlijke handelspraktijken door nieuwkomers op de Europese markt? Deelt u deze zorgen en bent u bereid om te spreken met de opstellers van de brief en de Kamer te informeren over de uitkomsten van dat gesprek?

Ja, ik ben hiermee bekend en deel deze zorgen. Ik ben bereid om in gesprek te gaan met de Consumentenbond en de retailbrancheverenigingen en de Kamer te informeren over relevante uitkomsten.

Vraag 4

Erkent u dat het niet naleven van deze spelers uit derde landen aan Europese wet- en regelgeving op het gebied van duurzaamheid, consumentenbescherming en productveiligheid ertoe leidt dat er geen gelijk speelveld is voor Nederlandse en Europese ondernemers ten opzichte van deze bedrijven?

Ik vind het gebrek aan naleving van Europese wet- en regelgeving op gebied van consumentenbescherming en productveiligheid door online marktplaatsen uit derde landen zorgwekkend. Dat gaf ik ook aan in mijn eerdere antwoorden op de Kamervragen van leden Van Dijk en Krul3. Ik erken dat de opkomst van deze marktplaatsen de concurrentiepositie van Nederlandse en Europese ondernemers beïnvloedt.

Vraag 5

In uw antwoorden op de Kamervragen van de leden Inge van Dijk en Krul (Kamerstuk 2024D32798) verwijst u meermaals naar de verantwoordelijkheid van de toezichthouder, maar wat kunt u zelf doen om een gelijk speelveld te creëren ten aanzien van Chinese webshops en de consument, het milieu en het Nederlandse bedrijfsleven te beschermen?

Ik vind het belangrijk dat consumenten kunnen vertrouwen op producten die voldoen aan de regels op het gebied van veiligheid, duurzaamheid en gezondheid én dat er een gelijk speelveld voor ondernemers is. Bij de totstandkoming van de Europese regelgeving, zoals toegelicht in mijn antwoorden op de Kamervragen van de leden Van Dijk en Krul4, pleitte mijn ministerie voor passende verantwoordelijkheden voor zowel e-commerce bedrijven die gevestigd zijn in de EU als daarbuiten. Het nieuwe Europese wetgevingskader vereist bijvoorbeeld van deze partijen dat de producten die zij aanbieden voldoen aan de Europese veiligheidswetgeving en dat zij meer en betrouwbare informatie aanbieden over de herkomst van het product. De nationale toezichthouders, maar ook de Europese Commissie in het geval van de digitale dienstenverordening (hierna: DSA), kunnen handhavend optreden in het geval e-commerce bedrijven zich niet aan deze regels houden.
Concreet biedt de DSA de mogelijkheid om Very Large Online Platforms (hierna: VLOPS) verantwoordelijk te stellen voor de verkoop van onveilige producten en de advertenties op deze platforms voor dergelijke producten te laten verwijderen. De Europese Commissie (EC) ziet hierop toe. De DSA biedt de Autoriteit Consument en Markt (ACM) de mogelijkheid de Commissie te ondersteunen bij de handhaving door haar informatie te delen over overtredingen door de VLOPS.
Verder is het beheersbaar maken van de grote stroom van e-commerce zendingen een belangrijke prioriteit van Nederland in de Europese onderhandelingen over het nieuwe Douane Wetboek van de Unie. Nederland heeft daarom in de besprekingen in de EU over een nieuw Douanewetboek van de Unie gepleit voor regelgeving die afdwingt dat het bedrijf dat de goederen importeert in de EU ook daadwerkelijk voldoet aan de EU wet- en regelgeving. Daarnaast pleit Nederland ervoor om bedrijven één aangifte te laten doen voor grote hoeveelheid goederen van één soort. Dan kan de Douane in één keer meer aangiften en goederen controleren dan in het geval van één aangifte per pakketje voor één consument. Nederland is verder voorstander van het afschaffen van de vrijstelling van 150 euro op invoerrechten, aangezien dit leidt tot een beter level playing field tussen e-commerce en traditionele handel.
Ook heb ik recent de Productenmeldwijzer gelanceerd5. Het doel van de Productenmeldwijzer is het verwijzen van consumenten en bedrijven naar de juiste toezichthouder. Bij deze toezichthouder kunnen zij producten melden die niet voldoen aan de productregels op het gebied van onder meer veiligheid, gezondheid en milieu. Dit kan de toezichthouders helpen in hun risico-gebaseerd toezicht, omdat dit hen kan wijzen op het aanbod van onveilige producten. Ook biedt de Productenmeldwijzer informatie waar consumenten en ondernemers op moeten letten bij het doen van online aankopen.
Vanwege de enorme instroom van producten van ongeveer 3 miljoen douaneaangiften voor e-commerce per dag op dit moment en de complexiteit van de problematiek, is het van belang dat in eerste instantie de marktdeelnemers, inclusief e-commerce bedrijven, meer verantwoordelijk worden voor het aanbieden van conforme producten. De voorgenoemde initiatieven helpen dit af te dwingen. Uiteraard zijn ook in de afgelopen jaren, tijdens de opkomst van e-commerce, stappen gezet die de samenwerking tussen Europese toezichthouders bevorderden. Zo is er bijvoorbeeld een informatie-en communicatie systeem (ICSMS) opgezet die de informatie-uitwisseling tussen Europese toezichthouders over onveilige producten bevordert.
Aanvullend zet ik mij als stelselverantwoordelijk Minister in voor een integrale aanpak waarbij alle partijen worden betrokken. Mijn ministerie blijft via verschillende gremia in overleg met Europese en niet-Europese marktdeelnemers, de markttoezichthouders, de Douane en de Europese Commissie over deze problematiek. Zo heb ik bijvoorbeeld tijdens de laatste Raad van Concurrentievermogen van 26 september jl., samen met Duitsland, Oostenrijk, Denemarken en Frankrijk, de Europese Commissie opgeroepen tot een sterkere gezamenlijke Europese aanpak tegen e-commerce uit derde landen. Gelet op de omvang van deze problematiek is een Europees optreden namelijk het meest kansrijk om verandering bij marktdeelnemers, waaronder e-commerce bedrijven, af te dwingen. In dit kader publiceert de Commissie binnenkort naar verwachting een mededeling over de problematiek rondom e-commerce, uw Kamer wordt hier te zijner tijd over geïnformeerd.

Vraag 6

Wat kan u daarnaast doen om te voorkomen dat door de omvang en complexiteit van de overtredingen toezichthouders niet in staat zijn om snel en effectief op te treden?

Zie antwoord vraag 5.

Vraag 7

Rust de Europese Digital Markets Act (DMA) u en andere lidstaten voldoende uit om concurrentievervalsing door webshops van buiten de EU te bestrijden? Welke andere mogelijkheden heeft u om de handelspraktijken van niet-Europese webshops te reguleren?

De afgelopen jaren hebben we gezien dat digitale markten niet optimaal werken. Hiervoor is veel nieuwe regelgeving in de EU tot stand gekomen, waaronder de Digital Markets Act (hierna: DMA). De DMA heeft als doel consumenten en ondernemers beter te beschermen tegen marktmacht en zo concurrentie op digitale markten te verbeteren. De DMA richt zich op de allergrootste platforms in het digitale domein, zogeheten poortwachters. Zij mogen bijvoorbeeld hun eigen diensten en producten niet meer voortrekken. De DMA richt zich dus niet primair op het aanpakken van oneerlijke concurrentie vanuit niet-Europese online marktplaatsen door het niet voldoen aan productregelgeving.
De DMA is gericht op alle platforms die een sterke positie hebben. Op dit moment zijn zowel platforms binnen de EU (Booking.com) als buiten de EU aangewezen (bijvoorbeeld Amazon, Meta en ByteDance) als poortwachter. De EC houdt er toezicht op dat de aangewezen poortwachters zich aan de regels uit de DMA houden. Mochten andere online marktplaatsen in de toekomst aan de poortwachterscriteria voldoen, dan kan de EC besluiten om deze partijen als poortwachter aan te wijzen.
De DMA en DSA (zie beantwoording op vraag 5 en 6) zijn recent in werking getreden. Mijn voorstel is daarom om voor zowel de DMA als de DSA eerst af te wachten wat het effect zal zijn. Pas daarna kan worden bepaald of aanpassing of aanscherping nodig is.
Ook de in juli jl. in werking getreden Corporate Sustainability Due Diligence Directive kan nieuwe handvatten bieden voor handhaving. Deze richtlijn verplicht grote bedrijven gepaste zorgvuldigheid toe te passen in hun waardeketen om zo risico’s voor mens en milieu te identificeren, te voorkomen en aan te pakken. De bedrijven die onder de verplichting gaan vallen worden dus geacht te voorkomen dat zij bijdragen aan mensenrechtenschendingen of milieuschade, met name in de toeleveringsketen. Op dit moment loopt het implementatietraject voor omzetting van de richtlijn in nationale wetgeving.
De richtlijn gaat gelden voor in de EU gevestigde bedrijven met meer dan 1.000 medewerkers en een netto jaaromzet van meer dan EUR 450 miljoen, en voor niet in de EU gevestigde bedrijven met een netto jaaromzet van meer dan EUR 450 miljoen in de EU. Daarmee wordt het speelveld voor grote bedrijven op de Europese markt op dit gebeid gelijkgetrokken. Ook grote webshops zullen dus onder de richtlijn vallen. De verplichtingen zullen gefaseerd worden toegepast vanaf juli 2027. De Autoriteit Consument en Markt is beoogd toezichthouder voor deze richtlijn. Meer informatie over deze richtlijn werd gedeeld in de brief van 12 april jl. over het voorlopig politiek akkoord op Europese IMVO-wetgeving (Kamerstuk 26 485, nr. 435).
Verder reguleert consumentenwetgeving handelspraktijken die consumenten kunnen misleiden. Deze regels gelden ook voor niet-Europese marktplaatsen die producten of diensten aanbieden aan consumenten in de Europese Unie. De Richtlijn oneerlijke handelspraktijk geeft individuele lidstaten geen ruimte om nationale regels te implementeren (maximumharmonisatie). De EC heeft op 3 oktober 2024 de resultaten gepubliceerd van de fitness check van het consumentenrecht. De EC heeft onderzocht of de huidige regels consumenten ook online voldoende bescherming. Volgens de EC blijkt uit de fitness check dat we verdere actie moeten ondernemen om de digitale omgeving eerlijk te maken voor consumenten. Dit zal door de nieuwe EC worden opgepakt, mogelijk met een voorstel voor een Digital Fairness Act. Ik zie dit voorstel met belangstelling tegemoet.

Vraag 8

Hoe ziet u erop toe dat producten van buiten de Europese Unie die niet voldoen aan onze wet- en regelgeving niet alsnog tegen een lage prijs worden doorverkocht op Nederlandse en Europese webshops?

Producten die worden doorverkocht via Nederlandse en Europese online marktplaatsen moeten ook voldoen aan de EU-productregelgeving. Ondernemers zijn door de vele nieuwe en veranderende regelgeving soms onbewust onbekwaam. Ik zet mij daarom in om de naleving te bevorderen voor de verschillende partijen in de keten.
Zo bestaat het Productcontactpunt waar ondernemers terecht kunnen met vragen over Europese productregelgeving. Daarnaast bevat de eerder genoemde Productenmeldwijzer informatie over wet- en regelgeving voor zowel consumenten als ondernemers. Verder ben ik met verschillende brancheorganisaties in gesprek over hun informatiebehoefte. Onze toezichthouders zetten zich ook in voor het begrijpelijk uitleggen van de regelgeving en de naleving hierop. Zo heeft de NVWA recent verschillende bijeenkomsten georganiseerd voor fulfilmentdienstverleners en andere partijen in de keten.

Vraag 9

Welke technische mogelijkheden ziet u om de productieketens van spullen beter inzichtelijk te maken voor consumenten, bijvoorbeeld met een unieke product-ID? Hoe draagt Nederland bij aan de ontwikkeling daarvan?

Ik vind het belangrijk dat consumenten meer inzage kunnen krijgen in de productieketen van producten. Op dit moment wordt een uniek product-ID door fabrikanten en ondernemers vooral gebruikt om producten te herkennen en vindbaar te maken. Denk daarbij aan een barcode.
Om productieketens beter inzichtelijk te maken voor consumenten zie ik het Digitaal Product Paspoort (DPP) als een geschikt instrument. Het DPP wordt met Nederlandse steun EU-breed opgepakt en voorgesteld onder de Kaderverordening Ecodesign6 voor duurzame producten. Producenten worden ertoe verplicht om een DPP beschikbaar te stellen voor producten waaraan circulaire ontwerpeisen worden gesteld. Deze verplichting geldt voor alle producenten die producten afzetten op de Europese markt, van binnen en buiten de Europese Unie. Consumenten krijgen via een uniek product-ID, zoals een QR-code, toegang tot het DPP. Per productgroep verschilt de informatie die gedeeld moet worden in het DPP. Denk aan informatie over de herkomst, de repareerbaarheid, de CO2- en milieuvoetafdruk en over het aandeel recyclaat. Onder de nieuwe Europese Batterijenverordening wordt een DPP eveneens verplicht en in de voorstellen voor voertuigen en detergenten is een DPP ook opgenomen.

Vraag 10

Bent u bekend met het FD-artikel van 8 september waarin de Duitse Minister van Economische Zaken erop aandringt spoedige actie te ondernemen tegen het overtreden van Europese wet- en regelgeving na klachten over oneerlijke concurrentie door Chinese platforms?3

Ja, hier ben ik mee bekend.

Vraag 11

Bent u het met uw Duitse collega eens dat spoedige actie nodig is tegen het overtredingen van Europese wet- en regelgeving door oneerlijke concurrentie door Chinese platforms? Vindt u dat er ook vanuit Nederland actie nodig is en denkt u dat u een sturende rol moet nemen om een integrale aanpak, samen met andere ministeries en toezichthouders, te ontwikkelen om dit probleem aan te pakken?

Ja, ik ben het er mee eens dat er actie moet worden ondernomen tegen platforms die zich niet aan de Europese wet- en regelgeving houden. Daarom heb ik tijdens de Raad van Concurrentievermogen van 26 september jl. de Duitse oproep voor een gezamenlijke Europese aanpak tegen e-commerce uit derde landen gesteund, zoals ook in mijn beantwoording op vraag 5 en 6 is aangegeven.
Als stelselverantwoordelijke voor het markttoezicht in Nederland ligt voor mij een coördinerende rol. Ik zet daarom in op een integrale aanpak, in overleg met de beleidsverantwoordelijke departementen voor productspecifieke regelgeving8, het Ministerie van Financiën en Douane en de markttoezichthouders, zoals ook in mijn beantwoording op vraag 5 en 6 is aangegeven.
Daarnaast pleit ik, zoals toegelicht in mijn eerdere antwoorden op de Kamervragen van de leden Van Dijk en Krul9, in Europa voor het verbeteren van de regelgeving zodat platforms en andere partijen uit derde landen meer verantwoordelijkheden krijgen. Zo dring ik er bij de EC op aan dat de verplichting tot het aanwijzen van een verantwoordelijke persoon voor alle producten moet gaan gelden. Niet alleen voor producten onder de algemene productveiligheidsverordening. Dit sluit aan bij mijn inzet om het DPP voor alle producten te verplichten, zoals toegelicht in mijn beantwoording op vraag 9.

Vraag 12

Bent u bereid in overleg te treden met uw Duitse evenknie om te bezien bij welke maatregelen er samenwerking mogelijk is, bijvoorbeeld om een coalitie te vormen in EU-verband?

Ja, hier ben ik zeker toe bereid. Tijdens de Raad van Concurrentievermogen van 26 september heb ik reeds met mijn Duitse collega Giegold (Staatssecretaris van het Bundesministerium für Wirtschaft und Klimaschutz) over de e-commerce problematiek gesproken. We delen de zorgen daaromtrent en blijven hierover in gesprek.

Vraag 1

Bent u bekend met de berichtgeving over de kwetsbaarheid van de ICT bij APG en het Schuberg Phyllis-onderzoek waar dit uit bleek?1

Ja, hier ben ik mee bekend.

Vraag 2

Is het bij u bekend of andere kritieke instellingen met zulke kwetsbaarheden te maken hebben?

Instellingen, zoals APG, laten periodiek testen en audits uitvoeren om IT-kwetsbaarheden en verbeterpunten aan het licht te brengen. Hieruit is gebleken dat de beveiliging van APG van zeer hoog niveau is. APG geeft echter aan dat er ook verbeterpunten zijn in de beveiliging van de IT-infrastructuur. Na deze constatering zijn er mitigerende maatregelen genomen tegen de IT-risico’s. Dit gebeurt in goed overleg met de belangrijkste stakeholder en toezichthouders. Pensioenuitvoerders staan via hun fondsen onder toezicht, en doen mee aan zeer ingrijpende cybersecuritytesten van DNB. Het doel hiervan is om eventuele kwetsbaarheden tijdig te onderkennen en deze adequaat op te lossen.

Vraag 3

Deelt u de opvatting dat het veilighouden van álle kritische ICT-infrastructuur waar mensen afhankelijk van zijn, bijvoorbeeld voor hun pensioen, gezondheid of inkomen, een overheidstaak is?

De regering hecht waarde aan de vitaliteit van belangrijke (financiële) instellingen zoals pensioenfondsen. Tegelijkertijd zet de regering in de Aanpak vitaal in op het versterken van de weerbaarheid van vitale instellingen2. De vitale infrastructuur bestaat uit processen en diensten die essentieel zijn voor de Nederlandse samenleving, waarvan verstoring, uitval of manipulatie grote gevolgen kan hebben voor de Nederlandse economie en maatschappij. De Aanpak vitaal is gericht op het voorkomen van de verstoring van vitale processen en de weerbaarheid aanhoudend te verhogen. In de cyclus vitaal identificeren vakdepartementen welke processen en aanbieders vitaal zijn en welke dreigingen en risico’s er binnen de vitale processen bestaan.
Mocht de uitkomst van de Aanpak vitaal zijn dat sommige pensioenuitvoerders als vitaal worden aangemerkt, dan brengt dit rechten en plichten met zich mee. Zo krijgt een vitale aanbieder bij cyberincidenten ondersteuning van het Nationaal Cyber Security Centrum (NCSC) in het geval van grootschalige uitval.

Vraag 4

Hoe bent u betrokken bij het oplossen van de kwetsbaarheden bij APG, gezien het essentiële belang van deze instelling voor het uitkeren van pensioenen?

Vanuit mijn positie als Minister van Sociale Zaken en Werkgelegenheid ben ik niet rechtstreeks betrokken bij het oplossen van de kwetsbaarheden bij APG. APG is een private vergunninghoudende entiteit die onder toezicht staat bij de toezichthouders AFM en DNB. APG heeft in samenspraak met de twee toezichthouders zo spoedig mogelijk zelf mitigerende maatregelen getroffen om deze problemen zelf op te lossen.

Vraag 5

Heeft De Nederlandsche Bank (DNB) als toezichthouder eerder deze kwetsbaarheden aangetroffen? Zo nee, hoe kan de toezichthouder beter in staat worden gesteld om op de ICT toe te zien?

Informatiebeveiliging en cybersecurity zijn de afgelopen jaren een belangrijk strategisch thema binnen het toezicht van DNB en AFM.
Pensioenuitvoeringsorganisaties staan via hun fondsen onder toezicht en doen mee aan zeer ingrijpende cybersecuritytesten van DNB, waaronder de TIBER-test. TIBER staat voor Threat Intelligence Based Ethical Red-teaming en heeft als doel om te testen hoe weerbaar organisaties zijn tegen geavanceerde cyberaanvallen3. Kwetsbaarheden, waar zichtbaar, worden gemitigeerd. Voor zover bij mij bekend zijn er geen gevallen waarbij de IT-veiligheid van pensioenuitvoerders niet op orde is. Er zijn geen signalen vanuit de toezichthouders dat de huidige manier van toezicht op de ICT van pensioenuitvoerders niet voldoet. DNB kan niet ingaan op vragen over individuele instellingen die onder toezicht staan.

Vraag 6

Welk aandeel van het toezicht van de DNB wordt besteed aan cyberveiligheid van pensioenfondsen? Is dit toereikend om structurele kwetsbaarheden grondig te onderzoeken?

Vanwege toezichtvertrouwelijke informatie kan DNB geen uitlatingen doen welk aandeel van het toezicht besteed wordt aan cyberveiligheid van pensioenfondsen. Er zijn mij vanuit de toezichthouders geen signalen bekend dat de huidige capaciteit ontoereikend is om structurele kwetsbaarheden grondig te onderzoeken.
In zijn algemeenheid geldt dat cyberdreigingen toenemen. Dat ziet DNB terug in externe dreigingsanalyses van onder andere het Nationaal Cyber Security Centrum (NCSC). DNB heeft recent ook informatie gedeeld over cyberrisico’s voor de financiële stabiliteit in het Overzicht Financiële Stabiliteit (najaar 2024). Dat komt enerzijds door steeds verdergaande automatisering van bedrijfsprocessen die al jarenlang aan de gang is. Dat maakt instellingen potentieel kwetsbaar voor cybercriminaliteit. Anderzijds ziet DNB dat dreigingen toenemen als gevolg van geopolitieke spanningen. Dit maakt instellingen potentieel ook kwetsbaar voor verstoring/sabotage door statelijke actoren.
DNB geeft aan dat maatregelen gelijke tred moeten houden met eventuele toenemende dreigingen. Instellingen moeten voortdurend alert zijn dat hun beheersmaatregelen passend zijn en blijven. DNB vraagt daarvoor aandacht, onder andere met de DNB Good Practice informatiebeveiliging. DNB ziet risico-gebaseerd erop toe dat instellingen aandacht houden voor voortdurende verbetering en dat zij de effectiviteit van hun maatregelen ook regelmatig testen. Voorts heeft DNB binnen de divisie Toezicht Pensioenfondsen een expertisecentrum specifiek gericht op operationele en IT-risico’s.

Vraag 7

Hoe zorgt u ervoor dat andere kritieke instellingen zo goed mogelijk lessen trekken uit het Schuberg Phyllis-onderzoek en de stappen die APG zet ter verbetering?

Instellingen moeten voortdurend alert zijn dat hun beheersmaatregelen passend zijn en blijven. DNB vraagt daarvoor aandacht, onder andere met de DNB Good Practice informatiebeveiliging. DNB ziet er risico-gebaseerd op toe dat instellingen aandacht houden voor voortdurende verbetering en dat zij de effectiviteit van hun maatregelen ook regelmatig testen. Voorts heeft DNB binnen de divisie Toezicht Pensioenfondsen een expertisecentrum specifiek gericht op operationele en IT-risico’s.
De regering hecht waarde aan de vitaliteit van belangrijke (financiële) instellingen zoals pensioenfondsen. Daartoe zet de regering in de Aanpak Vitaal in op het versterken van de weerbaarheid van vitale instellingen.4 Het doel hiervan is om de weerbaarheid van kritieke instellingen blijvend te verhogen.

Vraag 8

Bent u bereid andere kritieke instellingen aan te moedigen al dan niet financieel te ondersteunen bij het uitvoeren van diepgravende analyses van hun ICT-kwetsbaarheden?

Organisaties zijn primair zelf verantwoordelijk voor hun ICT, zo ook de daaruit naar voren komende kwetsbaarheden. Vitale aanbieders dienen bij het in gebruik nemen van producten en diensten goed risicomanagement uit te voeren. Het analyseren van mogelijke risico’s is gestoeld op het in kaart brengen van (1) de te beschermen belangen, (2) de dreiging tegen deze belangen te identificeren en (3) de bestaande weerbaarheid van de organisatie te definiëren en (4) op basis van deze analyse aanvullende maatregelen treffen om de risico’s te beheersen. Het doel is om uiteindelijk tot een passend niveau van weerbaarheid te komen en de mate van risicoacceptatie te bepalen.
Pijler I van de Nederlandse Cybersecurity Strategie 2022–2028 ziet toe op het verhogen van de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Er worden verschillende acties uitgevoerd die de vergaande publiek-private samenwerking – hetgeen nodig is om deze ambitie te realiseren – te verdiepen en uit te breiden.
Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hebben het afgelopen jaar diverse kennis- en adviesproducten ontwikkeld over cybersecurity in het risicomanagementproces, crisispreparatie en incidentrespons. Het gaat daarbij niet alleen om producten die relevant zijn voor organisaties die onder het toepassingsbereik van Cyber beveiligingswet vallen, maar ook voor alle andere organisaties. Daarnaast is er door het NCSC en het DTC een nieuwe set cybersecurity basisprincipes geschreven.
Om in publiek-privaatverband nog sneller en beter samen te werken heeft het NCSC gewerkt aan het digitaliseren van onder andere het delen van kwetsbaarheden. Hierbij wordt gebruik gemaakt van kwetsbaarheidsregisters om zo organisaties snel van advies te kunnen voorzien. Dit gebeurt mede in samenhang met het programma Cyclotron.
Daarnaast is er in 2024 met het publiceren van de toekomstvisie voor het Cyberweerbaarheidsnetwerk (CWN) een belangrijke stap gezet naar het verdiepen en uitbreiden van publiek-private samenwerking op het gebied van cybersecurity.
Tot slot heeft de Cyberbeveiligingswet ook invloed. Organisaties die onder deze wet vallen moeten voldoen aan een zorgplicht, waarin risicomanagement een centrale rol speelt. De verwachting is dat het wetsvoorstel in Q4 2024 aan de Afdeling Advisering van de Raad van State kan worden aangeboden. Op 17 oktober 2024 is de kamer geïnformeerd over de huidige stand van zaken.

Vraag 9

Welke voorzieningen staan er in de Cyberveiligheidswet die nog naar de Kamer komt, die onmisbare (publieke én private) instellingen als het APG zouden helpen?

De Cyberbeveiligingswet is de nationale wetgeving die voortkomt uit de Europese Network and Information Security Directive (NIS2-richtlijn). Het wetsvoorstel dat nog naar de Kamer komt heeft als doel om de digitale en economische weerbaarheid te versterken tegen toenemende dreigingen. De wet zal gelden voor bedrijven en organisaties die in specifieke «kritieke» sectoren actief zijn en een bepaalde omvang hebben. Voor financiële instellingen geldt de DORA, waarvoor het Ministerie van Financiën en DNB verantwoordelijk zijn.
De Cyberbeveiligingswet is horizontale wetgeving en schrijft voor de organisaties die daaronder vallen een zorgplicht voor. De zorgplicht verplicht organisaties zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. De leden van het bestuur van die entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.
De organisaties waarop de Cyberbeveiligingswet van toepassing is, moeten met advies en bijstand worden ondersteund door een CSIRT (Computer Security Incident Response Team). De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en kennisuitwisseling over maatregelen met als doeleinde het verhogen van cyberweerbaarheid.
Daarnaast zal worden toegezien op de naleving van de Cyberbeveiligingswet door de verantwoordelijke toezichthouders.

Vraag 10

Erkent u evenals bronnen uit het artikel dat het versterken van de ICT-kennis in de besturen van grote instellingen direct bijdraagt aan de cyberveiligheid van die organisaties?

De leden van het bestuur van organisaties moeten de maatregelen in het kader van de risicoanalyse goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen. Deze verplichting is onderdeel van de eerder benoemde NIS2-richtlijn en hier zal ook op worden toegezien.

Vraag 11

Op welke manier gaat u ervoor zorgen dat er meer ICT-kennis komt aan de top van kritieke instellingen? Is het versterken van de rol van de functionaris gegevensbescherming hiervoor voldoende? Kan er desnoods vanuit het Rijk bijgesprongen worden met ICT-expertise als die expertise aan de bestuurstafel mist?

De NIS2-richtlijn schrijft het bestuur van organisaties voor dat zij een cybersecurity-opleiding volgt. We hanteren in Nederland het principe dat er met de vertaling van EU-richtlijnen naar Nederlandse wet- en regelgeving zo dicht mogelijk bij de richtlijn wordt gebleven.
Een functionaris gegevensbescherming kan indien nodig ingezet worden, als dit nodig wordt geacht vanuit toezicht & handhaving. De precieze invulling hiervan volgt uit de Cyberbeveiligingswet en de bijbehorende AMvB.
Organisaties zijn zelf verantwoordelijk en dus is het niet mogelijk dat de overheid deze rol aan de bestuurstafel overneemt. Wel kunnen organisaties indien nodig een beroep doen op bijstand en expertise van de CSIRT.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Duizenden apparaten in Nederland getroffen door Chinese staatshackers»?1

Ja, alle aangeschreven bewindspersonen zijn bekend met het bericht.

Vraag 2

Sinds wanneer is deze hack bij u bekend? Hoeveel tijd is er verstreken tussen de initiële aanval en het moment dat het onder uw aandacht kwam?

De Nederlandse overheid is enkele dagen voor de publicatie van de FBI op 18 september 2024 in vertrouwen geïnformeerd over deze casus door de VS. De gehackte Nederlandse apparaten waren onderdeel van een botnet dat bekend staat in open bronnen als het Raptor Train-botnet. Dit botnet is in mei 2020 geïnitieerd. Het is niet bekend wanneer de eerste apparaten in Nederland zijn besmet. Het ging hier namelijk om een wereldwijd botnet waarvan ca. 260.000 systemen onderdeel uitgemaakt hebben, waaronder ook ruim 2000 apparaten in Nederland.

Vraag 3

Bent u bekend met welk motief Nederlandse apparaten gehackt zijn, naast het kapen van deze systemen voor het uitvoeren van andere cyberaanvallen? Was deze aanval gericht of ongericht?

Bij het opzetten van een botnet worden apparaten besmet die op dat moment eenvoudig over te nemen zijn. Het doel is meestal zo veel mogelijk verschillende apparaten onder controle te krijgen om deze later gericht te kunnen inzetten. Het botnet zelf is dus ongericht. Ook de cybersecurity advisory van de Amerikaanse diensten geeft weer dat deze cyberoperatie ongericht was.
De Chinese cyberactor, een commercieel bedrijf, hackte doorlopend en wereldwijd kwetsbare apparaten om deze toe te voegen aan het Raptor-Train botnet. Vervolgens bood deze het botnet aan als dienstverlening voor obfuscatie doeleinden. Andere Chinese cyberactoren kregen hiermee toegang tot een middel om hun cyberoperaties langs te routeren en zo de herkomst hiervan te verhullen.
Deze activiteit past binnen het normbeeld van het Chinese cyberecosysteem en de rol van commerciële bedrijven daarbinnen. Deze professionaliseerden hun operaties door gebruik te maken van gehackte infrastructuur, waaronder consumentenapparatuur, zo meldden de AIVD2 en MIVD3 in hun jaarverslagen over 2023.

Vraag 4

Welke gevolgen verbindt u aan het de aanval van Chinese staatshackers? Trekt u hierin gezamenlijk op met de andere getroffen landen?

De Joint Cyber Security Advisory4 van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren5 en het Cybersecuritybeeld Nederland (CSBN 2024)6. Met de Nederlandse Cybersecurity Strategie (NLCS)7 streeft het kabinet naar een digitaal veilig Nederland en verhoogt het de weerbaarheid tegen cyberaanvallen.
De antwoorden op vragen 5, 8, 10 en 11 hieronder geven weer welke mitigerende maatregelen zijn genomen door het National Cybersecurity Centrum (NCSC) en Digital Trust Center (DTC). Over verdere maatregelen tracht het Kabinet zoveel mogelijk naar buiten te treden, in lijn met motie Erkens, maar dit is niet altijd mogelijk. Nederland trekt hierbij zoveel mogelijk op met partners, vooral in EU- en NAVO-verband.

Vraag 5

Op welke termijn verwacht u een totaalbeeld te hebben van de gevolgen, de schaal en het motief van deze aanval? Kunt u de analyse (al dan niet vertrouwelijk) aan de Kamer doen toekomen?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren en het Cybersecuritybeeld Nederland (CSBN 2024). Verder geven de antwoorden op vragen 6, 7 en 8 hieronder weer wat het huidige, en naar verwachting zo volledig mogelijk nationale totaalbeeld over de gevolgen, de schaal en het vermoedelijk motief is.
Het NCSC heeft door tussenkomst van het Digital Trust Centre (DTC) van het Ministerie van Economische Zaken, waar mogelijk eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is daarbij een algemeen advies meegegeven aan de eigenaren. Het NCSC en het DTC hebben ook op hun websites8 9 algemeen beveiligingsadvies uitgebracht met een verwijzing naar deze Joint Cyber Security Advisory en algemene kennisproducten over het verhogen van weerbaarheid toegevoegd.

Vraag 6

Is er kritische digitale infrastructuur geraakt door deze aanval? Zijn de volledige gevolgen voor de cyberveiligheid van Nederland in beeld?

Nee, voor zover bekend waren de in Nederland besmette systemen geen onderdeel van de Rijksoverheid of vitale infrastructuur. Het ging met name om besmetting van consumentenapparaten.

Vraag 7

Is er mogelijk staatsgeheime informatie geraakt in de aanval? Met welke zekerheid kunt u dat zeggen?

Voor zover bekend waren de besmette systemen geen onderdeel van de kritische infrastructuur, er zijn geen apparaten van de Rijksoverheid of vitale infrastructuur besmet en onderdeel geweest van het Raptor-Train botnet. Voor zover bekend is het botnet ook niet door andere Chinese cyberactoren gebruikt om cyberoperaties uit te voeren tegen Nederlandse of Europese belangen. Zeer waarschijnlijk is er vanuit het botnet geen dreiging geweest voor Nederlandse staatsgeheimen. Gezien het doel van het netwerk was om cyberoperaties te verhullen, kan echter inherent niet worden uitgesloten dat dit op enig moment het geval is geweest.

Vraag 8

Op welk detailniveau is het bekend welke personen, organisaties en apparaten getroffen zijn? Welke rol speelt het Nationaal Cyber Security Centrum (NCSC) nu bij het informeren en de verdere hulpverlening van getroffenen?

Van de Nederlandse gehackte apparaten is het bekend wat de IP-adressen en MAC-adressen waren. De gebruikers van deze apparaten hebben voor zover bekend geen problemen ondervonden van de malware, omdat deze er op gericht was om internetverkeer op heimelijke wijze via het apparaat te routeren. Voor zover bekend hebben de betreffende gebruikers ook geen problemen ondervonden door de Amerikaanse verstoringsoperatie waarbij deze malware verwijderd is van hun apparaten en waarmee het botnet werd uitgeschakeld.
Het NCSC heeft een lijst gekregen met alle IP-adressen van getroffen apparaten. Partijen zijn, waar mogelijk, via het DTC geïnformeerd. Het gaat hier om een klein deel van de totale hoeveelheid getroffen apparaten in Nederland Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het niet ging om apparaten van organisaties behorende tot de doelgroep van het NCSC (Rijksoverheid of vitale aanbieders). Wel hebben zowel het DTC en het NCSC op hun website algemeen advies gepubliceerd en verwijzingen toegevoegd naar het Joint Cyber Security Advisory en bestaande kennisproducten om de weerbaarheid te verhogen.

Vraag 9

Kunt u vaststellen of de getroffen apparaten een gedeelde kwetsbaarheid hadden? Hoe kan deze kwetsbaarheid worden afgedekt? Zou de Cyber Resilience Act (CRA) voorkomen dat dergelijke hacks in de toekomst weer plaatsvinden?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten spreekt over misbruikte kwetsbaarheden in meer dan 70 verschillende typen apparaten, van meer dan 40 fabrikanten. Het betrof zowel apparaten die end-of-lifezijn als apparaten die nog door de fabrikant ondersteund worden.
Aangezien het botnet vat heeft gekregen op veel verschillende type kwetsbare apparaten is er waarschijnlijk sprake van meerdere uitgebuite kwetsbaarheden. De Cyber Resilience Act(CRA) schrijft voor dat producten met digitale elementen (hard- en software) vanaf eind 2027 aan cybersecurityvereisten moeten voldoen om in de EU op de markt te mogen worden aangeboden. Vanaf 1 augustus 2025 gelden er bovendien op grond van de radioapparatenrichtlijn al cybersecurityeisen voor het op de Europese markt aanbieden van draadloos verbonden apparatuur. De Rijksinspectie voor Digitale Infrastructuur (RDI) zal toezien op de naleving van deze eisen. De kans op kwetsbaarheden in apparatuur wordt met deze cybersecurity-producteisen aanzienlijk verkleind. Toch zullen kwetsbaarheden en hacks die daar misbruik van maken nooit volledig kunnen worden voorkomen. Om die reden krijgen fabrikanten op grond van de CRA ook een zorgplicht voor de cybersecurity van de producten gedurende de verwachte gebruiksduur, waarbij zij een gratis veiligheidsupdate moeten verstrekken zodra er een kwetsbaarheid wordt geïdentificeerd, die in beginsel automatisch wordt geïnstalleerd. Hierdoor zal de impact van een eventuele hack zo veel mogelijk worden beperkt.

Vraag 10

Welke rol hebben uw verschillende ministeries bij het verder afhandelen van de gevolgen van deze aanval?

Het NCSC heeft door tussenkomst van het DTC, waar mogelijk, eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is door het DTC een algemeen advies meegegeven aan de eigenaren. Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het voor zover bekend niet ging om apparaten van organisaties binnen de Rijksoverheid of van vitale aanbieders. Ook hebben het NCSC en het DTC op hun websites algemeen beveiligingsadvies uitgebracht om dergelijke apparaten veiliger te kunnen maken. Tevens hebben het DTC en het NCSC organisaties geattendeerd op de Joint Cyber Security Advisory en algemene kennisproducten die weerbaarheid tegen digitale aanvallen verhogen.
Het Ministerie van Buitenlandse Zaken onderhoudt contact met partners over mogelijke aanvullende maatregelen. Mochten diplomatieke vervolgstappen t.a.v. het incident in beeld komen, dan zal het Ministerie van Buitenlandse Zaken daarover de coördinatie voeren.

Vraag 11

Met welke organisaties en partijen werken uw ministeries en de NCSC samen, zowel landelijk als internationaal, om de aanval verder af te handelen?

De verdere afhandeling van deze cyberoperatie binnen Nederland is beperkt. Er zijn voor zover bekend geen vitale of overheidsbelangen getroffen waar verdere mitigatie nodig is. Door de Amerikaanse verstoringsoperatie is de malware verwijderd van de gehackte Nederlandse apparaten in het botnet. Het kabinet heeft in de communicatie rondom dit incident gewezen op de beschikbare adviesproducten op de website van het NCSC en DTC over cyberdreigingen voor kwetsbare apparaten van particulieren en midden- en kleinbedrijf om eventuele mitigatie van kwetsbaarheden.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en op zo kort mogelijke termijn beantwoorden?

Deze antwoorden zijn in samenwerking van de Ministers van Justitie en Veiligheid, Economische Zaken, Buitenlandse Zaken en Binnenlandse Zaken opgesteld en zijn op een zo kort mogelijk termijn beantwoord.

Vraag 1

Bent u bekend met het bericht «Ministeries komen belofte niet na: zakelijke appjes niet op juiste manier bewaard» van nu.nl?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Op welke termijn komt u met een reactie op het onderzoeksrapport van de Auditdienst Rijk over de naleving van de richtlijnen met betrekking tot het bewaren van berichtenverkeer?2

Gestreefd wordt om de reactie op het ADR-onderzoeksrapport voor de behandeling van de begroting van Algemene Zaken te geven.

Vraag 3

Waarom worden de nieuwe richtlijnen voor het bewaren van berichtenverkeer door Ministers en Staatssecretarissen nog steeds niet altijd goed nageleefd?

Werkprocessen en de daarbij gebruikte instrumenten om chatgesprekken op een goede manier duurzaam veilig te stellen waren ten tijde van de ADR audit in het eerste kwartaal van 2024 nog volop in ontwikkeling. Een aantal departementen heeft inmiddels diverse aanvullende, structurele verbeteringen in het werkproces doorgevoerd. Op basis van een nieuwe uitvraag van BZK gedurende de maand augustus 2024, vastgelegd in een aanvullende rapportage van CIO Rijk, blijkt dat de naleving van de instructie voor bewindspersonen duidelijk is verbeterd. Bij één bewindspersoon bleek het technisch niet mogelijk om de Whatsapp berichten uit te lezen. Bij een tweede bewindspersoon bleek dat nog niet alle whatsappberichten van de gehele kabinetsperiode waren veiliggesteld en is nog verdere actie noodzakelijk.

Vraag 4

Kunt u toelichten waarom de naleving van deze richtlijnen – die sinds 21 juni 2023 gelden – niet consistent is op alle ministeries, ondanks de expliciete oproep om het gebruik van sms- en berichtenapplicaties te beperken en om het automatisch verwijderen van berichten uit te zetten?

De meest impactvolle afwijking van de naleving, die de uitvoerbaarheid van het informatiebeheer beperkt, zat primair in de opvolging van twee maatregelen. Dit betreft het scheiden van zakelijke, partijpolitieke en privé chatgesprekken door gebruik van twee telefoons en onduidelijkheid over het al dan niet mogen verwijderen van privé en partijpolitieke chatberichten en persoonsgegevens die onderdeel uitmaken van een gearchiveerd zakelijk chatgesprek.
Aan de hand van de aanvullende rapportage van CIO Rijk kan worden geconcludeerd dat er op elk departement nu middelenscheiding is toegepast.
Daarnaast heeft de Landsadvocaat een analyse gemaakt over de noodzaak tot verwijdering van persoonsgegevens die onderdeel uitmaken van een gearchiveerd zakelijk chatgesprek. De Landsadvocaat concludeert dat verwijdering daarvan niet verplicht is3.
Wel moet er een procedure zijn ingericht om (achteraf) privé of partijpolitieke chatgesprekken of -berichten op verzoek te kunnen uitzonderen c.q. markeren in de veiliggestelde set4. Door te sturen op het -bij gebruik- bewust scheiden van zakelijke contacten en privé en partijpolitieke contacten in combinatie met het geautomatiseerd laten uitzonderen van puur privé en partijpolitieke chatgesprekken, zou deze procedure in de praktijk maar beperkt ingezet moeten worden.

Vraag 5

Hoe wordt momenteel toezicht gehouden op de naleving van deze richtlijnen bij de verschillende ministeries? Hoe wordt er toegezien op de meer subjectieve suggesties, zoals «beperk het gebruik van sms en berichtenapplicaties»?

Toezicht op de naleving van de Archiefwet door de centrale overheid is belegd bij de Inspectie Overheidsinformatie en Erfgoed. Daarnaast intensiveert CIO Rijk de frequentie van de monitoring op de veiligstelling en archivering van zakelijke chatgesprekken. Ook kan de Auditdienst Rijk, op verzoek van de politieke en ambtelijke leiding van ministeries, de beleids- en de bedrijfsvoering, waaronder het veiligstellen van zakelijke chatgesprekken, onderzoeken.
Het toezicht op de meer subjectieve suggesties uit de richtlijnen is lastig meetbaar te maken. De hoofdmaatregel ter bevordering van de naleving van meer subjectieve suggesties uit de richtlijnen bestaat uit herhaaldelijke voorlichting voor ambtenaren en bewindspersonen over hoe zij chat zakelijk kunnen en mogen gebruiken. Er wordt niet gemonitord op de mate van gebruik.

Vraag 6

Hoe wordt formeel het onderscheid gemaakt tussen bestuurlijke, partijpolitieke en privécommunicatie? Wie hakt de knoop door als er onduidelijkheid bestaat over de aard van een appje?

Partij-politieke -en privéinformatie is niet bestuurlijk van aard en valt daarmee niet onder het regime van de Archiefwet en de Wet open overheid. Partij-politieke communicatie betreft berichten van bewindslieden met partijgenoten over onderwerpen die hun partij aangaan. Dit kan betrekking hebben op zowel interne partijaangelegenheden als inhoudelijke partijpolitieke standpunten.
De definitie van privéinformatie is tweeledig: Allereerst uit het zich in met wie er wordt gecommuniceerd. Gaat het om een privépersoon, niet zijnde een werk -of bestuurlijk contact, dan betreft het bij uitstek privéinformatie. Daarnaast uit het zich in de inhoud van de communicatie. Is die niet bestuurlijk maar puur privé van aard, dan betreft het eveneens privéinformatie. Ongeacht of het een werk of bestuurlijk contact betreft5.
Alle overige communicatie wordt bestuurlijk van aard geacht. Het is aan de berichteneigenaar zelf om dit onderscheid te maken, bij voorkeur aan «de voorkant» door het gebruik van twee telefoons: een zakelijke en privételefoon. Van belang hierbij is wel om te benadrukken dat niet het gebruikte medium – de zakelijke dan wel privételefoon – maar de inhoud van bericht bepalend is voor de vraag of het onder beheer van de organisatie moet worden gebracht. Bij twijfel hierover kan de berichteneigenaar desgewenst hierover in overleg treden met de binnen de organisatie aangewezen verantwoordelijke personen voor de borging van de juiste berichten.

Vraag 7

Is het in alle gevallen terug te zien óf berichten verwijderd zijn? Heeft het (meermaals) verwijderen van chatberichten gevolgen? Hoe voorkomt u dat berichten verwijderd worden, zoals destijds gebeurde met de sms’jes van voormalig Minister-President Rutte?

Nee, met de huidige technische voorzieningen is dit niet na te gaan. De werkprocessen zijn nu echter zodanig ingericht dat informatieverlies van zakelijke chatgesprekken wordt voorkomen.

Vraag 8

Kunt u aangeven welke maatregelen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties neemt om strenger toezicht te houden op de naleving van deze richtlijnen? Zijn er sancties voor het niet naleven van deze richtlijnen en zo ja, welke?

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties scherpt de frequentie van de monitoring op de naleving van de richtlijnen aan en deelt de opgehaalde gegevens met de Inspectie Overheidsinformatie en Erfgoed. Het ministerie heeft daarbij niet het mandaat om eventuele sancties op te leggen.
De Archiefwet bepaalt welke ambtenaren toezichthouden op de naleving van de wet. Toezicht op de naleving van de Archiefwet door de centrale overheid is belegd bij de Inspectie Overheidsinformatie en Erfgoed. De Inspectie heeft wel de mogelijkheid om bestuursorganen onder verscherpt toezicht6 te plaatsen en in het uiterste geval zelfs sancties op te leggen.
CIO Rijk heeft maandelijks afstemmingsoverleg met de Inspectie rondom coördinatie en monitoring, audits en toezicht op de naleving van de Archiefwet door de centrale overheid.

Vraag 9

Wie is er binnen een departement verantwoordelijk voor het goed archiveren van zakelijke appjes? Is het nodig om een bepaalde functionaris in een departement hier een mandaat voor te geven?

In de Archiefwet 1995 staat wie op welk moment de zorgdrager is. Voor departementen zijn dit de Ministers.
De uitvoering van deze archivering is via ondermandatering vastgelegd in afzonderlijke organisatie- en mandaatbesluiten. Op de website van de inspectie staan een aantal voorbeelden van archiefbeheersregels7

Vraag 10

Waarom verschilt de manier waarop het bewaren van berichtenverkeer wordt aangepakt per departement? Leidt dit volgens u tot uiteenlopende naleving van de richtlijnen?

Hier geeft het rapport van de ADR een uitgebreide verklaring voor. De werkprocessen waren bij een aantal organisaties nog in ontwikkeling waarbij verschillende operationele keuzes zijn gemaakt. Ook worden er verschillende technische oplossingen voor de veiligstelling van chatgesprekken toegepast.
De vereiste spoed in het daadwerkelijk realiseren van veiligstelling van zakelijke chatgesprekken had niet kunnen worden betracht als de organisaties hadden moeten wachten op een uniforme Rijksbrede invoering van een voorziening voor chatgesprekkenarchivering. Om uiteenlopende naleving te verminderen zijn dus nog nadere harmonisatieslagen nodig in de uitvoering van beleid. Ook zal de inzet van een Rijksbrede voorziening inclusief dienstverlening hierbij gaan helpen.

Vraag 11

Waarom wordt het proces van veiligstellen van berichtenverkeer als omslachtig en arbeidsintensief beschouwd? Hoe wilt u dit proces automatiseren en makkelijker maken, zodat er een geoliede routine ontstaat voor het bewaren van berichtenverkeer?

Het handmatig selecteren van privé en partijpolitieke chatberichten in veiliggestelde zakelijke chatconversaties is een arbeidsintensief proces. Het bij gebruik aan de voorkant scheiden van privé, partijpolitieke en zakelijke chatgesprekken (door privé en partijpolitieke gesprekken via een privé telefoon te laten verlopen en zakelijke chatgesprekken via de zakelijke telefoon) in combinatie met een voorziening voor het geautomatiseerd veiligstellen van zakelijke chatgesprekken, maakt het informatiebeheer minder arbeidsintensief en voorkomt willekeur in selectie.

Vraag 12

Betrekt u de verkenning van een in eigen beheer zijnde chatapplicatie (conform de motie-Palmen) bij het verbeteren van de digitale archivering? Is het technisch mogelijk om een dergelijke applicatie interoperabel te maken met de meest populaire chatdiensten en deze ook te voorzien van een functie om gesprekken in uitleesbaar format te exporteren?3

Na een eerste verkenning en afstemming van de Open Source Software Tchap met de eigenaar DINUM9, is in augustus 2024 besloten tot het uitvoeren van een Proof of Concept. Dit initiatief maakt onderdeel uit van het ontwerp van een nieuwe werkplek voor de Rijksdienst en interoperabiliteit met populaire chatdiensten is ook een onderwerp wat daarin wordt meegenomen.
Eventuele inzet van de Franse voorziening bij de Nederlandse (Rijks)overheid is een complexer en langduriger traject dan het inzetten van nu al beschikbare technische oplossingen. Gedurende 2024 is er een technische pilot uitgevoerd met software die zakelijke chatgesprekken veiligstelt.
Op basis van deze succesvolle pilot heeft de Rijksorganisatie voor Informatiehuishouding de opdracht gekregen om tussentijds een Rijksbrede voorziening te realiseren op basis van interoperabele technieken uit de markt die het zakelijke chatverkeer van bewindspersonen en geselecteerde Rijksambtenaren kunnen afvangen en archiveren.

Vraag 13

Wat wordt er gedaan om de cultuur van informatiebeheer binnen de Rijksoverheid te verbeteren? Hoe wordt ervoor gezorgd dat alle betrokkenen zich bewust zijn van het belang van zorgvuldig informatiebeheer en bekend zijn met de beste maatregelen die zij zelf kunnen nemen?

Naast aanpassing van de gedragsregeling voor de digitale werkomgeving voor rijksambtenaren en het handboek voor bewindspersonen gedurende 2024, wordt ook de ambtseed voor rijksambtenaren vernieuwd. Voor de invoering van de vernieuwde ambtseed per 1 januari 2025 wordt ook een informatiecampagne voorbereid voor het vergroten van het bewustzijn van het belang van zorgvuldig informatiebeheer en het daarbij behorende gedrag.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja, de vragen zijn afzonderlijk beantwoord.

Vraag 1

Bent u bekend met de inhoud van het voorstel tot chatcontrole dat op de agenda van de Raad van de Europese Unie staat?1

Ja.

Vraag 2

Is u bekend wanneer dit voorstel in de Raad besproken en in stemming gebracht zal worden?

Het voorstel van het Hongaarse voorzitterschap is voor het eerst op hoofdlijnen met de lidstaten besproken tijdens de Coreper-vergadering van 4 september jl. Ten grondslag aan deze bespreking lag een nota van het Voorzitterschap met daarin de kaders voor het voorstel. De compromistekst van het voorstel is vervolgens op 9 september jl. met de lidstaten gedeeld. Tot een vaststelling van een Algemene Oriëntatie is het tot dusver nog niet gekomen. Het Hongaarse voorzitterschap streeft nog steeds naar het bereiken van een algemene oriëntatie over deze Verordening. Om die reden is het de verwachting dat het voorstel geagendeerd zal worden voor de JBZ-raad van 12 en 13 december.

Vraag 3

Wat is het standpunt van het kabinet ten aanzien van dit voorstel en van overige maatregelen van chatcontrole waarbij end-to-endversleuteling generiek verzwakt of omzeild wordt?

Het kabinet erkent de urgentie van de bestrijding van kinderpornografisch materiaal volledig en is voorstander van EU-regelgeving voor het tegengaan van de verspreiding van kinderpornografisch materiaal. Deze opgave is ook opgenomen in het regeerprogramma van het kabinet.
Binnen het EU-voorstel voor de CSAM-verordening staat een bepaling die het mogelijk maakt om, als laatste redmiddel en als alle andere middelen onvoldoende resultaat hebben opgeleverd, een detectiebevel aan een aanbieder van een tussenhandeldienst of interpersoonlijke communicatiedienst op te leggen. Nederland heeft op dit punt altijd gehandeld binnen het kader van de in 2022 aangenomen motie-Van Raan, die inhoudt dat Nederland geen voorstellen ondersteunt die end-to-end encryptie onmogelijk maken.2
Ook stelde het kabinet eerder vast dat client-side scanning ten aanzien van berichtendiensten die gebruik maken van end-to-end encryptie de enige technische manier is om, binnen die diensten, het detectiebevel uit te voeren op een wijze die end-to-end encryptie niet onmogelijk maakt. Dit standpunt en de onderbouwing is met uw Kamer gedeeld.3
Op 29 november jl. heb ik uw Kamer, naar aanleiding van de motie Kathmann c.s.,4 voorzien van een brief welke de uitgangspunten inzake de positie van Nederland voor de onderhandelingen in Brussel, specifiek ten aanzien van het detectiebevel, bepaalt. Met de informatie die nu voorhanden is, zal het kabinet geen voorstellen over verplichte detectie ondersteunen die in de praktijk uitsluitend kunnen worden uitgevoerd door middel van client-side scanning,vanwege de gevolgen voor de digitale weerbaarheid. Het kabinet concludeert dat voorstellen voor verplichte detectie op dit moment niet ondersteund kunnen worden of nadere bestudering vergen. De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein zijn op dit moment onvoldoende weggenomen. De techniek is in ontwikkeling en er is nog weinig studie naar gedaan. Met het oog op de noodzakelijke zorgvuldigheid is meer tijd nodig om het Nederlandse standpunt op dit aspect nader te concretiseren en in te vullen.
Mocht de Verordening voor besluitvorming op de JBZ-Raad agenda van 12 en 13 december a.s. blijven staan, dan zal Nederland de eerder ingenomen positie herhalen. Nederland zal actief kenbaar maken zich te onthouden van stemming en daarmee worden gerekend tot de landen die de algemene oriëntatie niet steunen.
Voor een uitgebreide toelichting over het kabinetsstandpunt bij dit voorstel en, in het bijzonder over het zogeheten detectiebevel, verwijs ik naar de Kamerbrieven van 1 oktober 2024 en 29 november jl.

Vraag 4

Hoe verhoudt het kabinetsstandpunt zich tot artikel 10 van de Grondwet: het recht op eerbiediging van de persoonlijke levenssfeer?

Artikel 10 van de Grondwet waarborgt de persoonlijke levenssfeer van individuen. Hoewel het recht op privacy fundamenteel is, is het niet onbeperkt. Beperkingen op dit recht zijn toegestaan wanneer deze bij wet worden vastgesteld en noodzakelijk zijn voor een legitiem doel, zoals de bestrijding van criminaliteit of de bescherming van kinderen, en voldoen aan de algemene eisen van proportionaliteit en subsidiariteit en de specifieke eisen die de Grondwet stelt.
Voor wat betreft privacy-inbreuken zal Nederland geen voorstellen ondersteunen die verplichte detectie in de privécommunicatie van alle burgers inhouden, conform het verzoek aan de regering dat is neergelegd in de voornoemde motie Kathmann c.s.
De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein, zijn op dit moment onvoldoende weggenomen om met de Verordening in te kunnen stemmen.

Vraag 5

Hoe verhoudt het kabinetsstandpunt zich tot artikel 13 van de Grondwet: het recht op eerbiediging van het telecommunicatiegeheim?

De doelstelling van artikel 13 Grondwet betreft het beschermen van de vertrouwelijkheid van de communicatie. Deze bescherming houdt in dat de overheid en andere partijen niet zonder wettelijke grond en zonder rechterlijke toestemming, of (in het belang van de nationale veiligheid) machtiging van hen die daartoe bij de wet zijn aangewezen, privécommunicatie mogen onderscheppen, monitoren of doorzoeken. Die bescherming geldt met én zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om je daartegen te beschermen.
Net als bij artikel 10 van de Grondwet (recht op privacy) staat ook bij artikel 13 Grondwet de vraag centraal in welke mate de staat inbreuk kan maken op dit recht ten behoeve van een legitiem doel, zoals de bestrijding van online kindermisbruik. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.
Ook hiervoor geldt dat de zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten op dit moment onvoldoende weggenomen.

Vraag 6

Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Hof van Justitie van de Europese Unie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?2

Zoals benoemd in de beantwoording van eerdere Kamervragen over dit onderwerp ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems.6 , 7 Het Europese Hof gaf hierin aan dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het EU-Handvest gewaarborgd». Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelden in deze zaak.

Vraag 7

Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Europees Hof voor de Rechten van de Mens, namelijk: «Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving»?3

Voor de beantwoording van deze vraag verwijs ik naar de beantwoording van eerdere Kamervragen, waar wordt ingegaan op de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland en hoe deze uitspraak zich verhoudt tot het standpunt van het kabinet.9

Vraag 8

Hoe verhoudt het kabinetsstandpunt zich tot het proportionaliteitsbeginsel uit artikel 3:4 van de Algemene wet bestuursrecht?

Het proportionaliteitsbeginsel uit artikel 3:4 van de Algemene wet bestuursrecht (Awb) vereist dat een bestuursorgaan bij het nemen van besluiten een evenwichtige belangenafweging maakt en dat de nadelige gevolgen van een besluit niet onevenredig mogen zijn in verhouding tot het doel dat ermee wordt gediend. Op het kabinetsstandpunt als zodanig is de Awb niet van toepassing en het hoeft dan ook niet te voldoen aan de eisen van artikel 3:4, eerste lid, Awb.
Voor zover de vraag is of het kabinetsstandpunt evenredig is, benadruk ik nogmaals dat het kabinet van mening is dat op dit moment onvoldoende duidelijkheid bestaat over de impact van het detectiebevel. De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein, zijn op dit moment onvoldoende weggenomen om met het voorstel in te kunnen stemmen.

Vraag 9

Wilt u deze vragen afzonderlijk, onderbouwd en binnen drie weken beantwoorden?

Het is helaas niet gelukt om uw Kamer binnen de termijn van een beantwoording op deze vragen te voorzien.

Vraag 1

Bent u bekend met het onderzoek van Trollrensics over desinformatienetwerken op sociale media met als doel de Europese verkiezingen van 2024 te beïnvloeden?1

Ja, hiermee zijn we bekend.

Vraag 2

Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?

Ja. Heimelijke beïnvloeding ondermijnt onze democratische rechtsstaat en het vertrouwen in onze democratische instituties. Daarmee vormt het een bedreiging voor onze nationale veiligheid. Het is voor het kabinet van groot belang om dreigingen tegen onze samenleving tegen te gaan.

Vraag 3

Beamen de AIVD, MIVD en NCTV de resultaten van het onderzoek volledig? Met hoeveel zekerheid is te zeggen dat in Nederland niet op dezelfde schaal campagnes zijn gevoerd door buitenlandse mogendheden tijdens de verkiezingen van 2024?

Onze inlichtingen- en veiligheidsdiensten waarschuwen al langere tijd dat inmengingsactiviteiten van andere landen in toenemende mate een bedreiging vormen.2 Het netwerk ontdekt door Trollrensics was actief in Frankrijk, Duitsland en Italië. In Nederland werd het niet waargenomen. Dit netwerk past in het normbeeld waarbij Rusland voortdurend probeert westerse beeld- en besluitvorming te beïnvloeden ten gunste van Rusland, maatschappelijke tegenstellingen probeert aan te wakkeren en te versterken en onderlinge eenheid te ondermijnen. In de openbare jaarverslagen van de AIVD en MIVD is te lezen dat Rusland zijn heimelijke beïnvloedingsactiviteiten vooral op grote Europese landen richt. Dat betekent niet dat er geen risico is voor Nederland op heimelijke beïnvloeding vanuit Rusland. Rusland stelt zich in deze opportunistisch op en is in staat om in te spelen op zich voordoende kansen in kleinere landen. Bovendien kunnen beïnvloedingscampagnes tegen bondgenoten ook indirect gevolgen hebben voor Nederland.

Vraag 4

Hebben de AIVD en MIVD signalen opgevangen dat soortgelijke desinformatiecampagnes in Nederland zijn gevoerd tijdens de verkiezingen van 2024? Zo ja, zijn deze effectief bestreden? Wat was de schaal van deze campagne(s)?

De diensten hebben een divers instrumentarium om heimelijke beïnvloeding te onderzoeken en waar nodig de samenleving, instanties en/of personen te alerteren. Het kabinet kan in het openbaar geen mededelingen doen naar waar de inlichtingen- en veiligheidsdiensten al dan niet onderzoek naar doen. Het is voor het werk van de inlichtingen- en veiligheidsdiensten immers van doorslaggevend belang dat zij in het belang van onze nationale veiligheid, geheimhouding en bronbescherming waarborgen. U kunt ervan uitgaan dat de diensten hun wettelijke bevoegdheden kunnen en zullen inzetten om heimelijke beïnvloeding te onderkennen en waar mogelijk, tegen te gaan.

Vraag 5

Draagt Nederland als wereldwijde host van online diensten, waaronder servers die gebruikt worden in Russische desinformatiecampagnes zoals recent bevestigd door de AIVD2, een bijzondere verantwoordelijkheid in het bestrijden van desinformatie? Zo ja, hoe kan hier effectief tegen worden opgetreden met respect voor de privacy van onschuldige internetgebruikers?

Aanbieders van hostingdiensten (inclusief online platformen) hebben bepaalde verantwoordelijkheden voor de informatie die zij hosten, die nader beschreven staan in de Digitaledienstenverordening (DSA). Dit betekent onder andere dat wanneer desinformatie de vorm heeft van illegale inhoud de DSA diverse bepalingen bevat die aanbieders van hostingdiensten een verantwoordelijkheid geven in de bestrijding daarvan. Artikel 6 DSA bepaalt dat aanbieders van hostingdiensten in beginsel niet aansprakelijk zijn voor informatie die gebruikers op hun servers plaatsen en opslaan. Zodra zij er echter kennis van krijgen dat ze illegale inhoud hosten, dan zijn ze verplicht om prompt te handelen en die inhoud te verwijderen of de toegang ertoe te blokkeren. Doen ze dat niet, dan kan de Europese Commissie, als toezichthouder van de DSA, ze wél aansprakelijk stellen voor die illegale inhoud. De DSA verplicht hen ook om meldingen van illegale inhoud mogelijk te maken en verduidelijkt dat dergelijke meldingen leiden tot kennis in de zin van artikel 6 (artikel 16, derde lid). Daarmee is er niet alleen een verplichting maar ook een prikkel om dat soort meldingen op te volgen.
Een puur hostingsbedrijf kan veelal niet ingrijpen op het niveau van specifieke inhoud van internetgebruikers, maar wel op het niveau van een hele server of website. Bijvoorbeeld door die ontoegankelijk te maken. Ingrepen door hostingbedrijven zijn daardoor over het algemeen minder proportioneel dan ingrepen door de website-eigenaar of de dienst die op de servers van het hostingbedrijf draait.
Niet alle desinformatie is illegaal. Niettemin kan het schadelijk zijn. Voor die gevallen bevat de DSA verplichtingen voor zeer grote online platformen. Zeer grote online platformen zoals X moeten daardoor in aanvulling op de verplichtingen waar alle aanbieders van hostingdiensten aan dienen te voldoen, verantwoordelijkheid nemen tegen desinformatiecampagnes, bijvoorbeeld in de vorm van niet-authentieke manipulatie van die diensten, op hun platformen. Dit probleem moet Europa-breed en bij de bron worden aangepakt. Artikel 34 en 35 van de DSA, die betrekking hebben op risicobeoordeling en risicobeperking, verplichten sociale media platforms als X of Facebook om maatregelen te nemen tegen gecoördineerd niet-authentiek gedrag en desinformatiecampagnes. Het is de Europese Commissie die hierop toezicht houdt vanuit de Digital Services Act (DSA). Meer informatie over de wijze waarop de Europese Commissie dit heeft ingevuld rondom de Europese Parlementsverkiezing is te vinden in het recentelijk gepubliceerde rapport hierover.4

Vraag 6

Zijn er nog andere voorbeelden bekend waar Nederland een faciliterende rol speelde in beïnvloedingscampagnes gericht op andere landen? Hoe wordt dit ondervangen?

Nederland is een belangrijk knooppunt in mondiale digitale netwerken en infrastructuur. Het is voor veel statelijke actoren aantrekkelijk om misbruik te maken van Nederlandse ICT-infrastructuur, omdat deze van hoge kwaliteit is en eenvoudig is in te zetten. De AIVD, MIVD en NCTV waarschuwen daarom al langer voor het risico van misbruik van Nederlandse infrastructuur door statelijke actoren.5 Het is een belangrijke bevoegdheid en tegelijkertijd een taak van de AIVD en de MIVD om heimelijke beïnvloeding te onderkennen en tegen te gaan. Ook als de beïnvloeding in een ander land plaatsvindt en gebruik maakt van Nederlandse infrastructuur. Op 9 juli jl. is uw Kamer geïnformeerd over de verstoring van een Russische digitale beïnvloedingsoperatie, gericht op de beïnvloeding van het publieke debat in de Verenigde Staten van Amerika. Bij deze beïnvloedingsoperatie werd gebruik gemaakt van een server in Nederland. De MIVD rapporteerde in 2022 over routers die door de Russische militaire inlichtingendienst (Glavnoje Razvedyvatelnoje Oepravlenije, GROe) gebruikt worden als aanvalsinfrastructuur en de verstoring van dat netwerk.6 In 2023 zag de MIVD dat Russische actoren gebruik blijven maken van gehackte infrastructuur van onschuldige gebruikers ten behoeve van digitale spionage-, sabotage- en beïnvloedingsactiviteiten.7
Het is van belang om de Nederlandse ICT-infrastructuur in generieke zin weerbaarder te maken tegen misbruik, daarom zet het kabinet in op de uitvoering van de Nederlandse Cybersecurity Strategie.8

Vraag 7

Doet de regering uws inziens voldoende om desinformatiecampagnes in Nederland als ook beïnvloedingscampagnes die gehost worden vanuit Nederland tegen te gaan?

Het kabinet heeft in de Voortgangsbrief Rijksbrede strategie desinformatie, die in juni aan de Tweede Kamer is verzonden, beschreven wat zij deed en welke nieuwe acties zij voornemens zijn te ondernemen. Deze acties zijn onder andere gericht op het versterken van de weerbaarheid van burgers tegen desinformatie.9
Zie verder het antwoord op vraag 5.

Vraag 8

Zijn er tijdens de Europese verkiezingen in 2024 aanvullende maatregelen genomen om desinformatienetwerken tegen te gaan? Zo ja, welke en bleken deze effectief? Zo nee, waarom niet?

Ja, er zijn maatregelen genomen in aanvulling op reeds bestaande maatregelen, zowel in samenwerking op Europees niveau, als aanvullende maatregelen op nationaal niveau.
De Europese Dienst voor extern optreden (EDEO) heeft netwerken van statelijke actoren tijdens de Europese verkiezingen beter in beeld gebracht door deze te identificeren en hierover artikelen te publiceren op de website EUvsDisinfo.10
De Europese Commissie heeft met enkele van de sociale media platformen, NGO’s en nationale toezichthouders, waaronder de ACM, een zogenoemde «stresstest» gevoerd. Hierbij testte de Commissie samen met de platformen of zij klaar waren voor heimelijke verkiezingsbeïnvloeding, zoals desinformatienetwerken, op hun platform en hoe daarmee om te gaan.11 Verder heeft de Commissie richtsnoeren gepubliceerd voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOPS en VLOSE) inzake de beperking van systeemrisico’s voor verkiezingsprocessen.12 Sinds de inwerkingtreding van de DSA is de ACM in Nederland aangewezen als digitaledienstencoördinator. Bij de afgelopen EP-verkiezing was de ACM betrokken bij onder andere de verkiezingstafel.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt samen met andere EU-lidstaten via mechanismen zoals het Rapid Alert System (RAS), de voor de verkiezingen ingestelde geïntegreerde regeling politieke crisis­respons (IPCR) en het European Cooperation Network on Elections (ECNE) om informatie en acties te coördineren en de weerbaarheid te vergroten.
Op nationaal niveau neemt het Ministerie van BZK tijdens de verkiezingen standaard extra maatregelen om de effecten van desinformatienetwerken te verminderen.13 Dit gaat op de eerste plaats om begrijpelijke en transparante communicatie over het verkiezingsproces en de stemprocedure. Als burgers weten hoe het verkiezingsproces werkt, zijn ze minder vatbaar voor desinformatie over dit onderwerp. Daarnaast organiseerde het Ministerie BZK wederom een verkiezingstafels voor vertegenwoordigers van de gemeenten, de Kiesraad en alle veiligheidspartners (Politie, OM, ACM en betrokken ministeries), waar mogelijke risico’s worden besproken die ondermijnend zijn voor het verkiezingsproces. Verder organiseerde het ministerie een webinar voor gemeenteambtenaren waar specifiek is ingegaan op het tegengaan van desinformatie.
Tot slot kan het Ministerie van BZK in bijzondere gevallen haar trusted flagger status inzetten, waardoor meldingen door sociale media platformen met prioriteit worden behandeld. De sociale mediabedrijven maken hierbij altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of actie gerechtvaardigd is. Het ministerie heeft geen bevoegdheid bepaalde content te laten verwijderen. Deze status is voor de EP-verkiezing eenmalig ingezet bij het platform X om een algemene waarschuwing te geven dat er wellicht valse berichten worden verspreid over het verkiezingsproces. Uw Kamer wordt hierover nader geïnformeerd in de evaluatie van de EP-verkiezingen. De Minister van BZK streeft ernaar deze evaluatie begin november aan uw Kamer toe te sturen.
Uit rapporten van de onder de DSA opgerichte Europese digitaledienstenraad en de EDMO (het factcheckers consortium) Task Force blijkt dat er, ondanks pogingen van desinformatienetwerken, geen grote of structurele problemen zijn geweest bij de Europese verkiezingen.14 Ook de nieuwe, onder de DSA opgerichte, Europese digitaledienstenraad concludeert op dit moment dat er geen grootschalige of systemische incidenten hebben plaatsgevonden waardoor het verloop van de Europese verkiezingen is verstoord.15

Vraag 9

Biedt de bestaande Europese wet- en regelgeving, met name via de Digital Services Act, voldoende mogelijkheden om op te treden tegen desinformatiecampagnes? Welke nationale en Europese maatregelen zijn er verder nog nodig om desinformatie effectief te bestrijden?

Ja, de desinformatiecampagnes zoals omschreven in het onderzoek van Trollrensics, vonden plaats op X. Dit platform geldt als een zeer grote online platform en valt sinds augustus 2023 onder de DSA. De DSA bevat verschillende bepalingen over inhoudsmoderatie door aanbieders van online tussenhandeldiensten. Volgens de definitie van het begrip «inhoudsmoderatie» (artikel 3, onderdeel t, van de DSA) gaat het dan om zowel illegale inhoud als om informatie die in strijd is met de algemene voorwaarden die de aanbieder toepast, bijvoorbeeld omdat hij deze onwenselijk of schadelijk acht. Desinformatie kan zowel de vorm aannemen van illegale inhoud als schadelijke inhoud. In het geval van het laatste, kan desinformatie en andere schadelijke inhoud vallen onder contractuele beperkingen die in de algemene voorwaarden opgenomen zijn. Daarnaast kan desinformatie ook vallen onder zogenaamde «systeemrisico» zoals beschreven in artikel 34 van de verordening. Tegen dergelijke schadelijke inhoud moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken.
Aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines moeten daarom, bij de beoordeling van systeemrisico’s, bijzondere aandacht besteden aan de manier waarop hun diensten (kunnen) worden gebruikt om misleidende of bedrieglijke inhoud, met inbegrip van desinformatie en gecoördineerde desinformatiecampagnes, te verspreiden of versterken. Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om toezicht te houden op zeer grote online platformen en onlinezoekmachines. Bij het treffen van maatregelen moeten platformen de rechten van burgers beschermen, zoals het recht op privacy en de vrijheid van meningsuiting.
Daarnaast is uw Kamer recentelijk geïnformeerd over de nieuwe maatregelen die wij nemen in de Rijksbrede strategie voor de effectieve aanpak van desinformatie.16 Het Ministerie van BZK heeft opdracht gegeven tot een brede verkenning waarin wordt onderzocht hoe de kwaliteit van het open publieke debat beter kan worden gewaarborgd. Daarbij wordt onderzocht welke kwetsbaarheden het open publieke debat kent, waaronder de wijze waarop desinformatie de Nederlandse democratische rechtsstaat kan ondermijnen en welke interventies het open publieke debat beter kunnen beschermen. Over dit onderzoek en de eerste resultaten wordt uw Kamer eind 2024 geïnformeerd.

Vraag 10

Doen grote online platforms volgens u voldoende om desinformatiecampagnes op hun kanalen te bestrijden? Zo ja, waaruit blijkt dat? Zo niet, van welke online platforms verwacht u meer actie en is de Digital Services Act, onder andere, voldoende uitgerust om hen hiertoe te dwingen?

De DSA verplicht zeer grote online platforms en zoekmachines om tenminste jaarlijks een risicobeoordeling te verrichten om te onderzoeken of hun diensten vatbaar zijn voor systeemrisico’s. De verspreiding van desinformatie kan zo’n systeemrisico vormen. Indien dergelijke systeemrisico’s aanwezig zijn, moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken. Dergelijke maatregelen kunnen de aanpassing van hun diensten, online-interfaces, algemene voorwaarden inhoudsmoderatieprocedures, algoritmische systemen of aanbevelingssystemen omvatten.
Het is nu nog te vroeg om volledig te kunnen vaststellen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om systeemrisico’s, waaronder de verspreiding van desinformatie, te mitigeren. Dat oordeel is in de eerste plaats aan de Europese Commissie als bevoegde toezichthouder. In het geval van niet-naleving van de bepalingen door zeer grote online platformen en zeer grote onlinezoekmachines kan de Europese Commissie handhavingsmaatregelen. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de wereldwijde omzet van een zeer groot online platform.
De Europese Commissie is voortvarend gestart met het toezicht, ook op de verplichtingen van artikel 34 en 35 DSA. Op 18 december 2023 is ze een formele procedure gestart tegen X. Onder meer omdat ze twijfelt aan de doeltreffendheid van de maatregelen die X neemt ter bestrijding van desinformatie. Deze procedure loopt nog. Op 12 juli j.l. heeft de Europese Commissie zijn voorlopige bevindingen naar X gestuurd.17 Daarnaast is ze een formele procedure gestart tegen Meta. De systeemrisico-analyses van Meta, de risico’s van desinformatie, en de maatregelen die Meta daartoe heeft genomen zijn onderdeel van die procedure.18 Wij volgen de voortgang van deze procedures en ondersteunen de Europese Commissie waar nodig in haar rol als toezichthouder op de naleving van de DSA.

Vraag 11

Welke stappen gaat u nemen om samen met uw ambtsgenoten in de EU op te treden tegen deze vorm van buitenlandse verkiezingsbeïnvloeding? Bepleit u samen met hen een gezamenlijke boodschap richting de nieuwe Europese Commissie?

Het hoofdlijnenakkoord omschrijft dat de overheid zich inzet om de maatschappij weerbaar te maken tegen desinformatie. Dit belang dragen we ook in de EU uit. Het kabinet staat in EU verband in nauw contact met andere landen waar het buitenlandse beïnvloeding betreft. Concrete voorbeelden hiervan zijn het Europese Rapid Alert System (RAS) en het European cooperation network on elections (ECNE). In deze gremia zijn onder andere signalen over desinformatie, maatregelen om hiermee om te gaan en de laatste wetenschappelijke inzichten uitgewisseld. Leden van de Europese lidstaten doen mee om de negatieve impact van desinformatie zo effectief mogelijk aan te pakken en van elkaar te leren. Via deze wegen worden ook FIMI-campagnes19 gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Waar nodig wordt gekeken naar een gezamenlijke reactie. Nederland participeert actief, o.a. door via het Rapid Alert System vertaalde versies van de Rijksbrede Strategie en de Kamerbrief Weerbaarheid Verkiezingsproces te delen.
De nieuwe Europese Commissie zal op het onderwerp desinformatie nieuwe stappen willen zetten. Dat blijkt uit de politieke richtlijnen van de herkozen Commissievoorzitter.20 Het is nu aan de Commissie om binnen hun mandaat met nieuwe voorstellen te komen. Uw Kamer wordt hier te zijner tijd over geïnformeerd.

Vraag 12

Wat is de stand van zaken van de motie van de leden Piri en Paternotte over het in de Europese Raad pleiten voor onderzoek naar buitenlandse inmenging in de Europese Parlementsverkiezingen?3

Deze motie is uitgevoerd. De Minister-President heeft tijdens de informele Europese Raad van 17 juni 2024 zijn zorgen overgebracht over mogelijke buitenlandse inmenging in de EP-verkiezingen.22 De Minister-President gaf daarbij aan dat een onderzoek wenselijk is als er indicaties van inmenging zijn. Een dergelijk onderzoek op Europees niveau zou in de eerste plaats aan het EP zijn, in samenwerking met de Belgische autoriteiten.

Vraag 13

Kunt u de vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.

Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.

Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.

Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.

Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.

Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.

Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.

Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.

Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.

Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.

Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.

Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.