Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Rechtbank wil zien welke data de politie over burgers verzamelt – maar de politie weigert dat» van Follow the Money?1

Ja, ik ben bekend met het bericht. Het past mij als Minister niet om uitspraken te doen in een lopende rechtszaak.

Vraag 2

Klopt het dat de politie weigert een rechterlijk bevel op te volgen om een forensisch onderzoeker toegang te geven tot haar datasystemen?

Zie antwoord vraag 1.

Vraag 3

Deelt u de mening dat de politie zich aan dergelijke rechterlijke uitspraken heeft te houden en dat politiesystemen ter inzage beschikbaar moeten worden gesteld aan door de rechter benoemde deskundigen? Deelt u de mening dat hiervoor geen dwangsommen nodig zouden moeten zijn?

Aan rechterlijke uitspraken dient in beginsel gevolg te worden gegeven. Indien een partij het oneens is met een einduitspraak van een rechter, kan daartegen hoger beroep worden ingesteld.
Over het algemeen geldt dat een rechter een deskundige kan benoemen die de opdracht krijgt een onderzoek in te stellen. Bestuursorganen dienen medewerking te verlenen aan het onderzoek. Anderzijds regelt de Wet politiegegevens (hierna: Wpg) uitputtend wie en wanneer toegang heeft tot welke politiegegevens in artikel 6a van de Wpg en verplicht de Wpg de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen ter bescherming van de rechten van betrokkenen. Bij de verwerking van politiegegevens dient de verwerkingsverantwoordelijke rekening te houden met de eisen uit de Wpg.
De korpschef heeft kenbaar gemaakt dat de politie in gesprek gaat met de deskundige over hoe zij deze kunnen faciliteren in het onderzoek zonder daarbij de bepalingen van de Wpg te overtreden.

Vraag 4

Hoe reflecteert u op de constatering van de rechtbank dat het feit dat de politie burgers onvoldoende inzage geeft in de data die in politiesystemen over hen verzameld is «helaas past in het beeld dat de rechtbank heeft»?

Het past mij niet te reflecteren op een uitspraak in een lopende rechtszaak. Iedere burger heeft recht op inzage in de persoonsgegevens die de politie over hem of haar verwerkt. De betrokkene kan daartoe een schriftelijk verzoek indienen op basis van artikel 25 van de Wpg. Een verzoek om inzage kan echter geheel of gedeeltelijk afgewezen worden wanneer een weigeringsgrond van toepassing is. De weigeringsgronden zijn opgenomen in artikel 27 van de Wpg en hebben onder andere betrekking op de bescherming van de openbare en nationale veiligheid, het vermijden van belemmeringen in gerechtelijke onderzoeken en procedures en de bescherming van rechten en vrijheden van derden. In de meest recente externe Wpg audit uit 2023 wordt de naleving van de Wpg op dit punt voldoende bevonden.2

Vraag 5

Vindt u dat burgers het recht hebben om inzage te krijgen in de gegevens die de politie van hen heeft? Zo ja, onder welke omstandigheden wel en niet? Welke stappen zet u om ervoor te zorgen dat de politie de inzagemogelijkheden voor burgers verbetert? Op welke termijn zijn deze verbeteringen aangebracht?

Zie antwoord vraag 4.

Vraag 6

Op welke termijn verwacht u dat de politie en de Koninklijke Marechaussee de aanbevelingen uit het rapport «Blind vertrouwen?»2 van de Nationale ombudsman uitvoeren? Hoe ziet u erop toe dat dit daadwerkelijk gebeurt? Kunt u hierover blijvend rapporteren aan de Kamer?

In mijn beleidsreactie heb ik aangegeven dat de Minister van Defensie en ik de politie en de KMar zullen vragen om het werkproces verder te verbeteren door te expliciteren hoe een signalering of informatie-uitwisseling met het buitenland impact kan hebben op het leven van burgers. Ik zal dit ook benoemen in mijn gesprekken met het OM. Daarnaast zal ik met betrokken instanties en relevante toezichthouders verkennen of en zo ja, hoe toezicht op de registraties en signalering van de betrokken instanties versterkt moet worden. Ik hoop deze verkenning afgerond te hebben in de eerste helft van 2025. Ik zal hierover berichten in het halfjaarbericht politie. De bij de beleidsreactie gevoegde handreiking zal gedurende het jaar via de reguliere kanalen onder de aandacht gebracht worden bij betrokken overheden en organisaties.

Vraag 7

Met welke instanties, zowel nationaal als internationaal, worden de gegevens van verdachten in de CTER-registratie gedeeld? Worden deze gegevens verwijderd als een registratie onterecht blijkt? Hoe wordt hier nationaal en internationaal op toegezien?

Ik verwijs u voor antwoorden naar het tweede halfjaarbericht politie 20234. Hier is uitgebreid ingegaan op het CTER-proces.

Vraag 8

Welke instanties hebben toegang tot de datasystemen van de politie? Klopt de stelling van de politie dat alleen de Autoriteit Persoonsgegevens hiertoe bevoegd zou zijn, een aanname die de AP zelf weerlegt?

De vereisten rondom de verwerking van politiegegevens zijn vastgelegd in de Wet politiegegevens. Voor het verlenen van toegang tot politiegegevens is een expliciete grondslag in de Wpg of lagere regelgeving (zoals het Besluit politiegegevens) noodzakelijk. Artikel 6a van de Wet politiegegevens stelt dat toegang kan worden verleend tot politiegegevens ten behoeve van het uitvoeren van toezichthoudende of controlerende taken. Dit betreft enkel diegenen die in deze wet zijn aangewezen. Dit zijn de Autoriteit Persoonsgegevens als toezichthouder, maar ook degenen die periodieke audits uitvoeren, privacyfunctionarissen en de functionaris gegevensbescherming. Er is een wijziging van de Wpg voorhanden, waarin ook de toegang tot politiesystemen nader zal worden bezien. Deze wijziging is ingegeven door de benodigde toegang door de Algemene Rekenkamer en Inspectie JenV.

Vraag 9

In welke wetgeving of (interne) protocollen is het recht op toegang tot politiegegevens vastgelegd? Waaruit blijkt dat er geen grondslag is om forensisch onderzoek te verrichten binnen de datasystemen van de politie?

Zie antwoord vraag 8.

Vraag 10

Hoe vaak is het eerder voorgekomen dat vanuit de rechtspraak een partij wordt benoemd die de opdracht krijgt om in de systemen van de politie te kijken? Hoe is daar in eventuele andere gevallen door de politie mee omgegaan?

De politie heeft mij geïnformeerd dat er bij de politie geen eerdere gevallen bekend zijn waarin de rechtbank in een bestuursrechtelijke procedure een deskundige heeft benoemd die toegang dient te worden verleend tot de politiesystemen.

Vraag 11

Wat is volgens u nodig om ervoor te zorgen dat de politie zich op dit gebied aan alle rechterlijke uitspraken houdt? Op welke termijn gaat u dit realiseren?

Ik verwijs u naar het antwoord op vraag 3.

Vraag 12

Hoe beoordeelt u de uitspraak van hoogleraar digitalisering en rechtsstaat Reijer Passchier dat er nieuwechecks and balances nodig zijn omdat de uitvoerende macht door digitalisering alleen maar machtiger wordt ten opzichte van de controlerende macht?

Ik merk op dat het in deze specifieke casus naar mijn idee niet gaat over digitalisering van de uitvoerende macht. Deze casus heeft mijn inziens betrekking op het functioneren van het rechtssysteem bij een verzoek tot inzage in de gegevens die de politie over hem of haar verwerkt. In algemene zin onderschrijf ik dat door digitalisering de mogelijkheden van politie en justitiële diensten toenemen. Het is daarbij van belang dat er een goede balans blijft bestaan tussen de taakuitvoering van deze diensten en de bescherming van de persoonlijke levenssfeer van betrokkenen. Daarbij is transparantie over het gebruik van dergelijke technologieën van groot belang.

Vraag 13

Wat zijn, in het licht van de prioriteit die u als Minister geeft aan werken aan het vertrouwen in de rechtsstaat, uw ambities om de machtsbalans tussen de uitvoerende macht en de controlerende macht te versterken? Wat is daarvoor uw tijdspad en welke middelen zijn nodig om dit te bereiken?

Het kabinet levert een gezamenlijke inspanning om het vertrouwen in onze rechtsstaat te vergroten. Om tot een sterke en beter functionerende democratische rechtsstaat te komen is het nodig te investeren in institutionele vernieuwing die leidt tot weerbare, sterke instituties en betere macht en tegenmacht. De maatregelen die het kabinet hiertoe neemt en de daarvoor beschikbare middelen zijn opgenomen in het regeerprogramma en worden de komende periode nader uitgewerkt.

Vraag 14

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Deze vragen zijn zo spoedig als mogelijk was beantwoord. Waar het de kwaliteit van de beantwoording ten goede komt zijn vragen tezamen behandeld.

Vraag 1

Bent u bekend met het bericht «De politie bewaart alles, altijd, van iedereen. Dat is in strijd met de wet» (Follow the Money, 16 oktober)?

Ja.

Vraag 2

Wat is uw reactie op dit bericht?

Het bericht van Follow the Money beschrijft de situatie waarover uw Kamer per brief is geïnformeerd in februari 2019.1

Vraag 3

Klopt het dat de Wet politiegegevens (Wpg) sinds de inwerkingtreding niet wordt nageleefd? Vanaf wanneer is dit het geval?

Mijn ambtsvoorgangers hebben reeds benadrukt dat zij belang hechten aan een zorgvuldige naleving van de Wpg.2 Ik sluit mij daarbij aan.
De Wpg is in 2008 inwerking getreden. Uit de eerste externe privacy audit, daterend uit 2015, is gebleken dat de politie op essentiële punten nog in onvoldoende mate aan de eisen van de Wpg voldoet. Mijn toenmalige ambtsvoorganger heeft uw Kamer daarvan destijds op de hoogte gesteld.3 Daarbij heeft hij aangegeven het van belang te achten dat de politie de regels uit de Wpg naleeft. Uit de eerste evaluatie van de Wpg in 2013 werd duidelijk dat de Wpg, de politiepraktijk en de huidige-ICT ondersteuning niet goed op elkaar aansluiten. De latere audits van de Wpg zijn in 2020 en 2023 aan uw Kamer aangeboden4. Uit deze audits blijkt dat de politie weliswaar nog steeds niet op alle punten compliant is aan de vereisten uit de Wpg, maar in dit opzicht wel voortgang boekt. Mijn ambtsvoorgangers hebben daarin een moeizame, maar stijgende lijn gezien. Wetgeving, praktijk en ICT sluiten steeds beter, maar op onderdelen nog onvoldoende op elkaar aan.
Ik hecht er aan te benadrukken dat er een verschil is tussen niet compliant zijn aan de Wpg en een bewust besluit van de korpschef, gesteund door mijn ambtsvoorganger, om een specifieke bepaling in de Wpg niet na te leven. Een bewust besluit tot niet naleven geldt alleen voor de vernietigingstermijn in artikel 14, met het oog op het gebruik van die gegevens voor cold cases en de vaststelling van PTSS. Daarbij zijn alleen zogeheten poortwachters geautoriseerd om politiegegevens in te zien die conform de Wpg verwijderd zijn.
Hiertoe is besloten met het oog op een voorgenomen herziening van de Wet politiegegevens, waarvan destijds sprake was.5 Bij de start van het vorige kabinet in 2022 zijn echter geen financiële middelen beschikbaar gesteld voor de realisatie en implementatie van een brede, integrale gegevenswet voor het politie- en justitiedomein. Hierbij was eveneens een overweging dat het realiseren en implementeren van een nieuw wettelijk kader op dat moment te veel zou vragen van de veranderkracht van alle betrokken taakorganisaties. Uw Kamer is hierover per brief geïnformeerd in januari 2022.6 Van een integrale herziening van de Wpg en Wjsg is daarmee afgezien, maar er is wel ingezet op enkele noodzakelijke aanpassingen. Het daartoe strekkende wetsvoorstel zal in de eerste helft van 2025 in consultatie worden gegeven. Indien wordt vastgesteld dat daartoe juridische mogelijkheden bestaan, zal het wetsvoorstel ook voorzien in een aanpassing van artikel 14 van de Wpg (waarin de termijn voor het bewaren van verwijderde gegevens is geregeld).

Vraag 4

Vindt u het acceptabel dat de politie niet aan de wet voldoet? Welke gevolgen heeft dit voor de betrouwbaarheid van dit instituut en de overheid?

Zie antwoord vraag 3.

Vraag 5

Mag alle informatie die de politie verzamelt nu oneindig lang bewaard worden omdat het ooit in een cold case onderzoek relevant kan zijn?

Artikel 14 van de Wpg geeft aan dat verwijderde gegevens voor een periode van vijf jaar mogen worden bewaard ten behoeve van (onder andere) het gebruik in cold cases. Na ommekomst van deze termijn moeten deze gegevens definitief worden vernietigd. De korpschef heeft in 2019 aangegeven een pas op de plaats te willen maken met het definitief vernietigen van deze gegevens, juist vanwege de mogelijke bruikbaarheid daarvan in cold cases. Mijn ambtsvoorganger heeft aangegeven de korpschef in dit besluit te steunen. Zoals ik heb aangegeven in het vragenuur op 22 oktober jl., heb ik de Raad van State om een voorlichting gevraagd over de juridische aspecten van het langer bewaren van bepaalde politiegegevens ten behoeve van het oplossen van nog niet opgeloste ernstige misdrijven, in het licht van Europeesrechtelijke en Grondwettelijke eisen. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het verruimen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 6

Hoe komt het dat er niet kan worden voldaan aan de bewaartermijn uit de Wpg, maar wel aan de wettelijke termijnen die volgen uit de Gemeentewet en het Wetboek van Strafverordening?

Het is in 2019 een bewuste keuze geweest van de korpschef om de gestelde termijn in artikel 14 niet na te leven. De bewuste keuze van de korpschef om de wet niet na te leven en de steun van de Minister daarbij is een uitzondering. Dat betekent niet dat de korpschef daarom alle wettelijke voorschriften kan negeren. Er is dan ook bewust gekozen om termijnen uit andere wetten (zoals de Gemeentewet en het Wetboek van Strafvordering) wel te blijven hanteren.

Vraag 7

Welke gegevens bewaart de politie langer dan wettelijk toegestaan? Welke gegevens vernietigt zij wel tijdig, zijn de systemen zodanig ingericht dat dit automatisch gebeurt?

In 2019 heeft mijn ambtsvoorganger uw Kamer geïnformeerd over de gegevens die niet vernietigd gaan worden. Voor een schets van de ontwikkeling van de benodigde software voor het vernietigen van die gegevens verwijs ik naar mijn antwoord op vraag 44.
De korpschef vernietigt wel die gegevens waarvan in de Gemeentewet (waaronder camerabeelden) en het Wetboek van Strafvordering (waaronder bijvoorbeeld geheimhoudersinformatie) bepalingen zijn opgenomen ter vernietiging. De keuze van de korpschef om op een specifiek onderdeel de wet niet na te leven is een bijzonderheid. Dat betekent niet dat de korpschef daarbij andere wettelijke bepalingen naast zich neer kan leggen. De gegevens waarop andere wettelijke bepalingen op het gebied van bewaartermijnen rusten, worden daarom vernietigd.

Vraag 8

Hoe vaak zijn oude gegevens, die nog geen onderdeel zijn van een opsporingsdossier, geraadpleegd in een cold case? Heeft dit het onderzoek verder gebracht? Kunt u onderbouwen dat de inbreuk op privacy proportioneel is aan wat het oplevert?

Een cijfermatige onderbouwing van het aantal cold cases waarin oude gegevens een rol hebben gespeeld, ontbreekt. Wel zijn er zaken bekend waarin verwijderde gegevens een belangrijke rol hebben gespeeld.
Wat betreft de proportionaliteit (de noodzaak en de evenredigheid) van de inbreuk door het bewaren van verwijderde gegevens heb ik de Raad van State gevraagd om een voorlichting. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het aanpassen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 9

Voor welke doeleinden mag de politie de Wpg op dit moment naast zich neer leggen? Heeft u of uw voorganger voor elk afzonderlijk doel expliciet toestemming gegeven?

Artikel 14 (het niet vernietigen van verwijderde gegevens) is de enige bepaling in de Wpg die de korpschef bewust naast zich neer legt. De politie toetst overeenkomstig art. 33 Wpg de naleving van de Wpg met behulp van (externe) auditrapporten. Door de audits in de tijd te plaatsen en de resultaten uit 2015, 2020 en 20232 te vergelijken, blijkt dat in de naleving van de vereisten uit de Wpg voortgang wordt geboekt. Ik benadruk dat mijn ambtsvoorganger in 20193 op het punt van het vernietigen van de betreffende politiegegevens zijn steun uitgesproken heeft voor het besluit van de korpschef als verwerkingsverantwoordelijke om bepaalde politiegegevens niet te vernietigen in afwachting van een wetswijziging.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 10

Wat is het doel van de Wpg? Kunt u onderbouwen hoe dat doel wordt bereikt als de politie de wet met uw goedkeuring naast zich neerlegt? Was de Wpg niet juist bedoeld om de regels voor gegevensverwerking te verruimen onder de voorwaarde dat de bewaartermijn ook wordt aangescherpt?

Het doel van de Wpg is het bereiken van een goede balans tussen enerzijds de taakuitvoering door de politie en anderzijds het respecteren en beschermen van de grondwettelijk geborgde persoonlijke levenssfeer van de burger. Het gaat hier om een delicate balans tussen twee ogenschijnlijk conflicterende belangen. Ogenschijnlijk, want uiteindelijk is de burger gebaat bij een effectief functionerende politie als randvoorwaarde voor een veilige en ordelijke samenleving waarin de burger zijn vrijheden ook daadwerkelijk kan genieten. Uiteraard is het essentieel dat de politie opereert binnen de wettelijke kaders, en dus ook met inachtneming van de wettelijke termijnen waarbinnen politiegegevens mogen worden verwerkt en daarna moeten worden verwijderd en uiteindelijk vernietigd. Met name de wettelijke bewaartermijn is echter al kort na inwerkingtreding van de Wpg onderwerp van aandacht geworden. Dat werd manifest bij de evaluatie van de Wpg in 2013.7 Eén van de aanbevelingen in het evaluatierapport luidde dat onderzocht dient te worden of voor bepaalde categorieën van politiegegevens de bewaartermijn kan worden verruimd. Mede in dat licht heeft de korpschef besloten om terughoudend te zijn met het definitief vernietigen van politiegegevens, vooral met het oog op de mogelijke betekenis daarvan bij het oplossen van cold case zaken. In 2019 heeft mijn toenmalige ambtsvoorganger uw Kamer daarover geïnformeerd.

Vraag 11

Wat is volgens u de reden dat de Wpg nog altijd niet wordt nageleefd?

Ik verwijs u naar het antwoord op vragen 3 en 4.

Vraag 12

Op welke termijn gaat u de Wpg herzien? Hoe verzekert u dat de belangen van opsporing en privacy zorgvuldig tegen elkaar worden afgewogen? Welke vragen heeft u hierover voorgelegd aan de Raad van State?1

In 2014 heeft mijn ambtsvoorganger naar aanleiding van de evaluaties van de Wpg en Wet justitiële en strafvorderlijke gegevens (Hierna: Wjsg) een integrale herziening van die wetten aangekondigd.8 Deze herziening moest echter worden uitgesteld in het licht van de totstandkoming en implementatie van nieuwe regelgeving van de EU, te weten de Algemene Verordening Gegevensbescherming en EU richtlijn 2016/680 voor de gegevensverwerking in het politie- en justitiedomein. Nadien is een verkenning uitgevoerd in samenwerking met vertegenwoordigers van de uitvoering. De resultaten van deze verkenning zijn in 2020 met uw Kamer gedeeld door de toenmalige Minister voor Rechtsbescherming.9 In deze verkenning zijn de termijnen voor het bewaren van gegevens ten behoeve van het gebruik in cold cases en de systematiek daaromheen expliciet als op te lossen knelpunt benoemd.
Bij de start van het vorige kabinet in 2022 zijn geen financiële middelen beschikbaar gesteld voor de realisatie en implementatie van een brede, integrale gegevenswet voor het politie- en justitiedomein. Hierbij was eveneens een overweging dat het realiseren en implementeren van een nieuw wettelijk kader veel vraagt van de veranderkracht van alle betrokken taakorganisaties. Met de inzet die de uitvoering van de modernisering van het Wetboek van Strafvordering al van alle strafrechtketenpartners vergde, was er een reëel risico dat de taakorganisaties met een nieuwe integrale gegevenswet zouden worden overvraagd. Uw Kamer is hierover per brief geïnformeerd in januari 2022.10 Van een integrale herziening van de Wpg en Wjsg is dus afgezien, maar is wel ingezet op enkele noodzakelijke aanpassingen. Het daartoe strekkende wetsvoorstel zal in de eerste helft van 2025 in consultatie worden gegeven. Indien wordt vastgesteld dat daartoe juridische mogelijkheden bestaan, zal het wetsvoorstel ook voorzien in een aanpassing van artikel 14 van de Wpg (waarin de termijn voor het bewaren van verwijderde gegevens is geregeld).
Bij een zorgvuldige weging van de belangen van opsporing en privacy hoort een zorgvuldige juridische weging van de eisen, gesteld in de EU-gegevensbeschermingsregelgeving, de Grondwet en het EVRM. In het kader van een zorgvuldige afweging heb ik de Raad van State verzocht om een voorlichting hierover. Aan de Raad van State is in dit licht de vraag voorgelegd naar de juridische mogelijkheden voor het bewaren van bepaalde politiegegevens ten behoeve van het oplossen van nog niet opgeloste ernstige misdrijven gelet op Europeesrechtelijke en Grondwettelijke eisen.

Vraag 13

Wat gaat u tot die tijd doen om ervoor te zorgen dat de politie de wet volgt? Gaat u de politie tot die tijd toestaan de wet te blijven negeren? Zo ja, op welke grondslag?

Ik verwijs u naar het antwoord op vragen 3 en 4.
In 2019 heeft de korpschef, met redenen omkleed, besloten om artikel 14 van de Wpg (het vernietigen van verwijderde gegevens) bewust niet na te leven. Mijn ambtsvoorganger heeft, als politiek verantwoordelijke voor de politie, de korpschef in dat besluit gesteund en heeft die steun openbaar gemaakt middels een brief aan uw Kamer. Deze situatie duurt tot op heden voort. Aan de hand van de aan de Raad van State gevraagde voorlichting zal een beslissing worden genomen over de juridische mogelijkheden voor een verlenging van de wettelijke bewaartermijn. Indien die mogelijkheden er zijn, kan een wijziging van de Wpg op dit punt worden meegenomen in het in het antwoord op vraag 12 genoemde wetsvoorstel.

Vraag 14

Kunt u de meest actuele beleidslijn en Data Protection Impact Assessment (DPIA) over het verwerken van onrechtmatig bewaarde gegevens door de politie met de Kamer delen?

Er is geen vastgestelde beleidslijn of specifiek DPIA over het verwerken van onrechtmatig bewaarde gegevens door de politie. DPIA's worden uitgevoerd op een proces of systeem op het moment dat een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert. Er is om deze reden geen DPIA op één specifieke verwerking zoals de verwerking van onrechtmatig bewaarde gegevens door de politie in het kader van een specifieke zaak.

Vraag 15

Mag de politie onrechtmatig bewaarde gegevens aandragen als geldig bewijsmateriaal? Is dit juridisch houdbaar en wenselijk?

De vraag welke juridische consequenties het heeft als de politie/het OM de voornoemde gegevens in een strafzaak aandraagt als bewijsmateriaal, hangt af van alle omstandigheden van het geval. Het is in beginsel aan de korpschef als verwerkingsverantwoordelijke en aan de officier van justitie als gezag om deze beslissing te nemen. Bij het schenden van strafvorderlijke voorschriften of rechtsbeginselen (bijv. recht op een eerlijk proces) is het aan de rechter om hier eventuele rechtsgevolgen aan te verbinden.

Vraag 16

Kunt u uitleggen op welke manier al die oude politiegegevens worden bewaard? Aan welke veiligheidseisen moet de opslag voldoen?

Alleen een zogeheten poortwachter is geautoriseerd om politiegegevens in te zien die conform de Wpg verwijderd zijn. De rol van poortwachter is niet specifiek benoemd in de Wpg, maar is door de politie ontwikkeld om invulling te kunnen geven aan art. 14 Wpg en gegevens zo nodig alsnog toegankelijk te maken ten behoeve van de verantwoording van verrichtingen, de behandeling van klachten en hernieuwde verwerking. Elke eenheid heeft een beperkt aantal poortwachters aangewezen. De politie heeft aan de rol van poortwachter verschillende voorwaarden verbonden, dit komt voort uit de zorgplicht die de organisatie heeft voor de rechtmatige omgang met politiegegevens. De poortwachter speelt een belangrijke rol bij de beoordeling of, onder welke voorwaarden en hoe politiegegevens, die zich in de bewaartermijn vinden, weer beschikbaar kunnen komen voor operationele verwerkingsdoelen. De poortwachter moet dan ook beschikken over de juiste kennis om deze rol te kunnen vervullen. De poortwachter vervult deze rol voor alle artikel 14 gegevens. Voor die artikel 14 gegevens waarvan de bewaartermijn reeds is verstreken heeft de korpschef kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.
Ook voor de verwijderde politiegegevens geldt dat de politie passende technische en organisatorische maatregelen treft om een beveiligingsniveau te waarborgen dat op het risico is afgestemd, op een zodanige manier dat de politiegegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging. De politie sluit daarbij zoveel mogelijk aan bij de Baseline Informatiebeveiliging Overheid (BIO) en neemt waar nodig strengere maatregelen. Het bewaren van de gegevens vergroot de kans op een hack of lek niet. Grotere hoeveelheden gegevens zouden wel tot een bredere impact kunnen leiden.

Vraag 17

Vergroot het niet vernietigen van politiegegevens de kans dat deze door een hack of een lek massaal op straat belanden? Is er onderzoek gedaan naar de mogelijke risico’s voor burgers door de huidige praktijk?

Zie antwoord vraag 16.

Vraag 18

Kunt u de relevante ambtelijke adviezen en contacten tussen betrokken ministeries die hebben geleid tot het gedoogbesluit van februari 2019 en het in stand houden / uitbreiden daarvan zo volledig mogelijk delen met de Kamer?

Er is geen sprake van een gedoogbesluit. De korpschef heeft besloten in afwachting van een wijziging van de bewaartermijnen in de Wpg niet over te gaan tot vernietiging van de betreffende gegevens. Mijn ambtsvoorganger heeft uw Kamer per brief op de hoogte gebracht van zijn steun voor dit besluit en de redenen daartoe. Ik verwijs u kortheidshalve naar deze brief.11
De korpschef is verwerkingsverantwoordelijke waar het gaat om de verwerking van politiegegevens door de politie. Ik ben als Minister van Justitie en Veiligheid beleidsverantwoordelijke voor de Wpg. Mijn ambtsvoorganger heeft in die hoedanigheid zijn steun uitgesproken voor het besluit van de korpschef. Daarmee is geen sprake van een kabinetsbesluit dat noodzaakt tot afstemming met andere departementen.

Vraag 19

Welke ministeries zijn betrokken geweest bij het maken van dit besluit? Vanuit welke belangen hebben zij het besluit om de wet niet na te leven gewogen? Welke zorgen zijn destijds tussen ministeries geuit?

Zie antwoord vraag 18.

Vraag 20

Heeft u sinds 2018 contact gehad met de Autoriteit Persoonsgegevens (AP) over het niet naleven van de Wpg door de politie?

De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder, die toezicht houdt op de naleving van de eisen in de Wpg door de politie. Ik heb daarin als Minister van Justitie en Veiligheid geen rol. Het past mij als Minister dan ook niet om een onafhankelijke toezichthouder te verzoeken om diens toezichthoudende rol al dan niet in te vullen. Er is regelmatig contact tussen de Autoriteit Persoonsgegevens, mijn departement en de politie.
Daarbij zijn de audit rapporten over de naleving van de Wpg, zoals ik die in 2015, 2020 en 2023 gedeeld heb met uw Kamer, ook door de politie naar de Autoriteit Persoonsgegevens gezonden.

Vraag 21

Bent u bereid de AP te vragen om zo snel als mogelijk de huidige praktijk te onderzoeken? Waarom is dit nog niet eerder gebeurd?

Zie antwoord vraag 20.

Vraag 22

Wanneer is de naleving van de Wpg door de politie het laatst onder de loep genomen, zoals de kritische audit door KPMG eind 2023?2 Is het meerjarig verbeterplan, opgesteld na een slopend advies van een externe audit in 2015,3 nu volledig uitgevoerd? Zo nee, wanneer wél?

Het Besluit politiegegevens schrijft voor dat de Wpg elke vier jaar een audit laat uitvoeren door een externe auditor. Direct na het verschijnen van het externe auditrapport, eind 2015, was duidelijk dat er nog veel tekortkomingen in de naleving van de Wpg waren. De Minister heeft destijds geconstateerd dat het eerder geschetste beeld van een «worstelende praktijk» bij de naleving van de Wpg is bevestigd, dat vanwege de reorganisatie nog onvoldoende centrale regie op het onderwerp was geweest en dat het mede daardoor nog niet was gelukt de juiste organisatorische en technische randvoorwaarden te creëren. De korpschef heeft in maart 2016 een verbeterplan opgeleverd aan de hand waarvan een verbeterprogramma is opgestart. Dit programma is in 2020 afgerond en heeft op een aantal thema’s tot verbeterde resultaten geleid.
De audit van KPMG uit het jaar 2023 is de meest recent uitgevoerde audit door een externe auditor en toont de meest recente stand van zaken. Door middel van een hercontrole zal beoordeeld worden of de maatregelen uit het verbeterrapport inmiddels zijn opgevolgd.

Vraag 23

Bent u tevens bekend met de inhoud van de stukken die de onderzoeksjournalisten hebben opgevraagd met de Wet open overheid?4

De stukken waarnaar u verwijst betreffen in algemene zin politie-interne stukken. Ik ben bekend met de stukken in zoverre dat ik de middels het Woo-verzoek opgevraagde stukken heb geraadpleegd waar dit voor de beantwoording van deze Kamervragen benodigd is.

Vraag 24

Kunt u reageren op de maatschappelijke vraagstukken geopperd in memo 017 uit 2016, namelijk: «Staat het met waarborgen omkleed bewaren en doorzoekbaar houden van informatie in verhouding tot het beoogde doel?»

Het signaleren van risico’s, het wegen van belangen en de inschatting of de in te zetten middelen in verhouding staan tot het te bereiken resultaat past bij een gedegen voorbereiding van besluitvorming.

Vraag 25

Wat is uw reactie op de vraag: «Vinden wij als samenleving de relatieve inbreuk op de privacy van burgers, omdat gegevens niet geschoond worden maar in systemen opgeslagen blijven, ernstiger dan het niet meer kunnen oplossen van een levensdelict?»

Het evenwicht tussen het belang van de privacy van burgers enerzijds en het belang van een effectieve opsporing anderzijds is een maatschappelijk én een (complex) juridisch vraagstuk. Het belang van het oplossen van een cold case zit zowel in de rechtvaardigheidsbeleving (misdrijven moeten worden opgelost) als in het gunnen van helderheid aan de nabestaande over wat destijds hun naaste is overkomen, ook na vele jaren. Anderzijds worden in de Grondwet, het Europees Verdrag voor de Rechten van de Mens en het EU-recht randvoorwaarden gesteld aan de gegevensverwerking door bevoegde autoriteiten in verband met de bescherming van de persoonlijke levenssfeer. Ik heb vanwege de complexiteit van dit vraagstuk de Raad van State gevraagd om een voorlichting. De voorlichting van de Raad van State zal ik betrekken bij mijn afweging over de verlenging van de termijn voor het vernietigen van verwijderde gegevens. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het verruimen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 26

Wat is uw reactie op de vraag: «Wat betekent het niet verjaren van zaken daadwerkelijk als onontbeerlijke informatie wel verjaart?»

Zie antwoord vraag 25.

Vraag 27

Wat is uw reactie op de vraag: «Welke gegevens vinden wij zo belangrijk dat ze bewaard en doorzoekbaar moeten blijven? Zijn er ook gegevens die wel mogen worden vernietigd en zo ja, welke dan?»

Zie antwoord vraag 25.

Vraag 28

Is het per ministerieel besluit opschorten van (onderdelen van) de Wpg, zoals aangehaald in memo 020, ooit overwogen door uw voorgangers? Zo ja, waarom is er toch gekozen om het niet naleven te gedogen?

De Wpg kent geen grondslag om de bewaartermijn voor verwijderde gegevens, genoemd in artikel 14, aan te passen middels gedelegeerde regelgeving. Dit vergt een wetswijziging. Zoals aangegeven in mijn antwoord op vraag 10 is de lengte van de wettelijke bewaartermijn al een punt van aandacht sinds inwerkingtreding van de Wpg. Zie verder het antwoord op vraag 10.

Vraag 29

Wat is uw reactie op het signaal dat de bewaartermijnen van het Wpg ook de aanpak van zware criminaliteit belemmert, zoals gesteld in memo 027? Bij welke vormen van zware criminaliteit is het gedoogd om onrechtmatig bewaarde gegevens te verwerken? Worden verouderde gegevens momenteel voor dit doel gebruikt?

Verwijderde gegevens worden alleen ter beschikking gesteld voor hernieuwde verwerking voor die doelen die zijn genoemd in artikel 14 van de Wpg.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 30

Wat is het verschil tussen cold cases en «andere onopgeloste zaken» zoals aangehaald in memo 027? Worden verouderde gegevens momenteel voor andere onopgeloste zaken gebruikt?

Het gesprek dat tussen mijn departement en vertegenwoordigers van de politie heeft plaatsgevonden ging over «oude zaken». Daarmee wordt gedoeld op cold cases, maar ook op bijvoorbeeld langdurige vermissingen en de identificatie van onbekende doden. De term «cold cases» heeft dus feitelijk betrekking op een beperkte categorie onopgehelderde misdrijven, maar wordt in de praktijk regelmatig gebruikt om een breder spectrum van oude zaken aan te duiden. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het aanpassen van de bewaartermijnen van bepaalde politiegegevens met het oog op het oplossen van oude zaken, gelet op Europeesrechtelijke en grondwettelijke eisen, dan zal ik in een daartoe strekkend wetsvoorstel precies neerleggen voor welke doelen de langer bewaarde gegevens mogen worden verwerkt.

Vraag 31

Klopt het beeld uit memo 029, waarin staat dat de korpschef eindverantwoordelijk is voor rechtmatige en zorgvuldige gegevensverwerking? Welke rol heeft u dan?

De korpschef is als verwerkingsverantwoordelijke verantwoordelijk voor de verwerking van politiegegevens door de politie. De Minister van Justitie en Veiligheid is politiek verantwoordelijk voor de politie en tevens beleidsverantwoordelijk voor de Wpg.

Vraag 32

Is er bij de huidige praktijk sprake van rechtmatige en zorgvuldige gegevensverwerking?

Rechtmatige en zorgvuldige gegevensverwerking zijn belangrijke voorschriften uit de Wpg. Voor de naleving van de Wpg door de politie verwijs ik u naar het antwoord op vragen 3 en 4.

Vraag 33

Klopt het dat het vernietigingsscript in de BVH nooit daadwerkelijk is ontwikkeld of in gebruik is genomen, zoals wordt gesteld in memo 043?5 Wat was er mis met het script waardoor dit niet gebeurd is?

Bij een evaluatie van de Wpg in 2014 bleek dat de bewaartermijnen niet goed werden nageleefd. Naar aanleiding van een daaropvolgende audit besloot de korpsleiding tot de opmaak van een meerjarig verbeterplan. Een onderdeel van dit plan was het instellen van een vernietigingsscript per 1 januari 2019. Er is destijds dus een begin gemaakt met de ontwikkeling van dit script, maar het is nog niet gereed om in gebruik te nemen en moet nog verder getest worden. Het middels een dergelijk vernietigingsscript vernietigen van gegevens is immers een onomkeerbare stap. Door het besluit van de korpschef om gegevens niet te vernietigen in afwachting van een wijziging van de Wpg op dit punt is het script nooit tot in productie doorontwikkeld.

Vraag 34

Hoe kan het dat in memo 020 wordt gesteld dat het aanzetten van het vernietigingsscript een onomkeerbare stap is, als er geen (bruikbaar) script blijkt te zijn? Wanneer was het bij uw voorganger bekend dat er nooit een (bruikbaar) script is geweest?

Zie antwoord vraag 33.

Vraag 35

Heeft het niet op orde hebben van de benodigde software een rol gespeeld bij uw besluit om het niet naleven van de Wpg te gedogen? Zo ja, in hoeverre was dit voor uw voorganger doorslaggevend?

De redenen die mijn ambtsvoorganger had om de korpschef te steunen in zijn besluit om de oude gegevens niet te vernietigen zijn beschreven in de brief die daarover in 2019 naar uw Kamer is gestuurd. Dat had te maken met de bewaartermijn voor oude gegevens ten behoeve van het onderzoek naar cold cases, die als te kort werd ervaren. De korpschef wilde geen onomkeerbare stappen nemen door de gegevens te vernietigen in afwachting van de toen aangekondigde wijziging van de wet.

Vraag 36

Klopt het dat de politie toestemming heeft gevraagd om tot de herziening van de Wpg «wat dan ook» voor data niet te vernietigen, zoals gesteld in memo 050? Wat is de precieze reikwijdte van het gedoogbesluit van uw voorganger en is dit nog steeds van kracht?

Er is geen sprake van een gedoogbesluit, zoals toegelicht in mijn antwoord op vraag 18. Het besluit dat de korpschef in 2019 nam, betrof het niet vernietigen van oude gegevens omdat deze bruikbaar kunnen zijn in cold cases. Mijn ambtsvoorganger heeft hem daarin gesteund. Het gaat dan om verwijderde gegevens, conform artikel 14 van de Wpg. De korpschef heeft kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.

Vraag 37

Voor welke «zwaarwegend[e] doel[en]» moesten volgens uw voorganger gegevens langer bewaard kunnen worden, zoals gesteld in memo 051? Deelt u deze opvatting?

Voor de als voorbeeld genoemde doelen verwijs ik u naar de desbetreffende brief die mijn ambtsvoorganger naar uw Kamer stuurde.10 Ik sluit mij aan bij de noodzaak een bewaartermijn vast te stellen waarin een nieuwe balans wordt gevonden tussen de taakuitvoering door de politie en anderzijds het respecteren en beschermen van de grondwettelijk geborgde persoonlijke levenssfeer van de burger. Daartoe heb ik de Raad van State gevraagd om een voorlichting over de juridische voorwaarden aan het verlengen van de termijn voor het bewaren van verwijderde gegevens. De voorlichting van de Raad neem ik mee in mijn afweging over het (eventueel) verlengen van de huidig gestelde bewaartermijn in artikel 14 van de Wpg.

Vraag 38

Is de enige logische conclusie bij de constatering uit memo 051 dat «op voorhand niet te beoordelen [is] welke informatie belangrijk is of zal zijn,» dat álle politiegegevens voor altijd dienen te worden opgeslagen?

Zie antwoord vraag 37.

Vraag 39

Hoe reageert u op de constatering uit memo 071, waarin mailcontact erkent dat openheid over de gedoogconstructie kan leiden tot een onderzoek van de AP met een boete en slechte pers als gevolg? Zijn de gevolgen voor burgers ook in acht genomen?

In deze situatie is er sprake van twee waardes die tegenover elkaar staan, namelijk het fundamentele recht op de bescherming van de privacy en het rechtstatelijke belang bij een effectieve opsporing en vervolging. Zoals ik die heb omschreven in beantwoording op deze vragen heeft het evenwicht tussen deze twee waardes gevolgen voor burgers, die baat hebben bij zowel het oplossen van cold cases als bij een zorgvuldige omgang met gegevens.
De Autoriteit Persoonsgegevens heeft een onafhankelijke toezichthoudende taak op de verwerking van politiegegevens onder de Wpg. De Autoriteit Persoonsgegevens besluit zelf of zij aanleiding ziet om onderzoek te doen. Daarin heb ik als Minister van Justitie en Veiligheid geen rol. Een onderzoek door de Autoriteit Persoonsgegevens kan ingegeven zijn door meldingen, maar ook door openbaar beschikbare informatie. Zoals vermeld in reactie op vragen 20 en 21 is er regelmatig contact tussen mijn departement, de Autoriteit Persoonsgegevens en de politie en zijn de auditrapporten over de naleving van de Wpg, zoals die in 2015, 2020 en 2023 gedeeld zijn met uw Kamer, ook door de politie naar de Autoriteit Persoonsgegevens gezonden.

Vraag 40

Was uw ambtsvoorganger destijds bekend met de zorgen over een onderzoek van de AP? Hebben deze zorgen enigszins een rol gespeeld in de afweging die uw voorganger heeft gemaakt? Kunt u dat hard maken?

Zie antwoord vraag 39.

Vraag 41

Waarom heeft uw voorganger er niet voor gekozen om de AP juist tijdig te betrekken bij de besluitvorming over het niet naleven van de wet en het ontwikkelen van intern beleid?

Zie antwoord vraag 39.

Vraag 42

Kunt u een uitleg geven over hoe het verwijderingsscript, aangehaald in memo 080, te werk gaat? Wat betekent het «schonen» van gegevens in technische zin?

Een verwijderingsscript zorgt ervoor dat de gegevens die op grond van art. 8 van de Wpg in de Basisvoorziening Handhaving (BVH) worden verwerkt niet meer toegankelijk zijn voor operationele doeleinden. In technische zin zijn ze dus «afgeschermd». De verwijderde gegevens zijn alleen toegankelijk voor een beperkt aantal geautoriseerde politieambtenaren, zogeheten poortwachters.

Vraag 43

Wat is het technische verschil tussen het verwijderen en vernietigen van gegevens? Kunnen verwijderde en / of vernietigde gegevens nog worden opgeroepen op een later tijdstip? Zit er verschil tussen gegevens onder artikel 8, 9 en 10 van de Wpg?

Drie verwerkingsdoelen in de Wpg (zijnde: de dagelijkse politietaak, de strafrechtelijke handhaving van de rechtsorde in een bepaald geval en het inzicht in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde) kennen weliswaar afwijkende verwijderingstermijnen, maar er zit met betrekking tot het principe van verwijderen en vernietigen geen verschil tussen de drie voornoemde doelen.

Vraag 44

Kunt u een tijdlijn schetsen van de ontwikkeling en het gebruik van de benodigde software die gegevens had moeten vernietigen? Tot welk stadium is een dergelijk systeem ooit uitgewerkt?

Zie antwoord vraag 33.

Vraag 45

Wat bedoelde uw voorganger in de Kamerbrief van 5 februari 2019 met: «Op dit moment is het beter om deze onvolkomenheid in de naleving van de wet te accepteren»?6 Is het niet passender om te spreken van het niet naleven van de wet?

Ik verwijs u naar het antwoord op vraag 5.

Vraag 46

Heeft uw voorganger destijds voorwaarden gesteld aan het gedogen van deze werkwijze? Zijn de precieze afspraken en / of toezeggingen rondom deze gedoogconstructie (intern) vastgelegd door de politie of uw ministerie? Zo ja, kunt u deze doen toekomen aan de Kamer?

Er is geen sprake van een gedoogconstructie zoals toegelicht in mijn antwoord op vraag 18. Mijn ambtsvoorganger heeft de korpschef gesteund in diens besluit om oude gegevens niet te vernietigen. De korpschef heeft daarbij maatregelen getroffen om gegevens die conform de wet vernietigd hadden moeten worden af te schermen van andere gegevens. De toegang tot de afgeschermde data is beperkt tot het strikt noodzakelijke. De korpschef heeft daartoe een beperkt aantal zogenoemde poortwachters aangewezen. Alleen deze poortwachters hebben, in opdracht van het gezag, toegang tot deze afgeschermde politiegegevens. Deze maatregelen zijn vermeld in de communicatie over dit besluit met uw Kamer.17

Vraag 47

Op welke wijze heeft u vanaf 2019 toezicht gehouden op het bewaren, verwijderen en vernietigen van politiegegevens ouder dan 10 jaar? Is er sprake van onafhankelijk toezicht?

Ik ben als Minister van Justitie en Veiligheid niet verantwoordelijk voor het houden van toezicht op het bewaren, verwijderen en vernietigen van politiegegevens ouder dan 10 jaar bij de politie. De Autoriteit Persoonsgegevens heeft een onafhankelijke toezichthoudende taak op de verwerking van politiegegevens onder de Wpg. Ik verwijs u naar de beantwoording van eerdere vragen over het toezicht door de Autoriteit Persoonsgegevens.

Vraag 48

Heeft uw voorganger toezeggingen gedaan of bepaalde verwachtingen geschept bij de politie over de termijn waarop een herziening van de Wpg gereed zou zijn? Om welke reden is de herziening enige tijd uitgesteld?

Ik verwijs u naar het antwoord op vraag 12.

Vraag 49

Klopt de conclusie uit de audit dat de politie door ICT-problemen niet in staat was om op tijd de wet na te leven, of is het een bewuste keuze geweest van de korpschef?7

Voor wat betreft het besluit van de korpschef om verwijderde gegevens na ommekomst van de termijn van vijf jaar niet te vernietigen, klopt deze conclusie niet. Het niet verwijderen was een bewuste keuze van de korpschef, gesteund door mijn ambtsvoorganger. In betreffende audit rapport is beschreven dat de politie beschikt over een retentiebeleid waarin de maximale bewaartermijnen zijn uitgewerkt en handvatten zijn beschreven om te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel. Voor de ontwikkeling van het vernietigingsscript en de samenhang met het verbeterprogramma verwijs ik naar mijn antwoorden op vragen 33, 34 en 44. Het niet-naleven van de vernietigingstermijn was daarmee een bewuste keuze van de korpschef, gesteund door mijn ambtsvoorganger.

Vraag 50

Welke maatregelen zijn er genomen om toegang tot niet vernietigde gegevens te beperken tot het strikt noodzakelijke, zoals volgens memo 094 in een interne notitie wordt vermeld?

Ik verwijs u naar het antwoord op de vragen 16 en 17.

Vraag 51

Wie hebben er toegang tot de onrechtmatig bewaarde gegevens? Hoe wordt er gecontroleerd en gehandhaafd dat men hier zo min mogelijk gebruik van maakt?

Zie antwoord vraag 50.

Vraag 52

Wordt er middels «logging» bijgehouden wie er oude gegevens verwerken en wanneer? Waarom is er wel / niet besloten om deze maatregel te nemen? Is dit het geval bij alle gegevensverwerking door de politie?

Van alle gegevensverwerkingen bij de politie wordt middels logging bijgehouden wie gegevens verwerkt en wanneer, ook bij verwijderde gegevens.

Vraag 53

Welke gegevens mag de Gegevensautoriteit volgens de korpsleiding niet vernietigen, zoals ook gevraagd wordt in memo 097 en 098? Is dit kader uiteindelijk verschaft aan de Gegevensautoriteit?

Het niet naleven van de termijnen voor vernietiging van de gegevens (met uitzondering van die gegevens zoals toegelicht in mijn antwoorden op vraag 6 en 7) was een bewust besluit van de korpschef, gesteund door mijn ambtsvoorganger. De Gegevensautoriteit van de politie heeft vervolgens een beleidslijn opgesteld die invulling geeft aan dat besluit. De Minister van Justitie en Veiligheid heeft geen rol in het opstellen van die beleidslijn. Ik zie geen aanleiding hierom te vragen gezien de lopende voorlichting bij de Raad van State.

Vraag 54

Heeft u kennis van de interne notitie waarnaar wordt verwezen in memo's 106, 111 en 113? Zo ja, wat is de strekking hiervan en hoe is uw ministerie betrokken geweest bij de totstandkoming hiervan? Kunt u de notitie delen met de Kamer?

De notitie waarnaar u verwijst betreft een politiedocument. De politie is zelf verantwoordelijk voor het behandelen van een Woo-verzoek en het beoordelen en openbaar maken van stukken die onder de reikwijdte van het verzoek vallen.

Vraag 55

Welke status heeft de notitie uit memo 114? Is uw ministerie betrokken geweest bij het opstellen?

De notitie waar u naar verwijst betreft een politiedocument dat bedoeld is voor interne besluitvorming.

Vraag 56

Kunt u los reageren op de volgende zorgen geuit in memo 114, zijnde: 1) het niet naleven van een wettelijke verplichting tast de betrouwbaarheid en legitimiteit van de politie ernstig aan; 2) de AP kan aanleiding zien om onderzoek te doen naar het op grote schaal niet-naleven van de Wpg en kunnen handhaven; 3) werkwijze zal bij audits en inspecties op het gebied van de Wpg en de Archiefwet 1995 tot negatieve conclusies leiden.

Ik verwijs u naar respectievelijk mijn reacties op vragen 3 en 4, 20 en 21 en 39 tot en met 41.

Vraag 57

Is de beleidslijn die geschetst wordt in memo 114 alleen van toepassing op cold cases, of ook voor andere «zwaarwegend[e] doel[en]» zoals geschreven in de Kamerbrief van 4 februari 2019, en omvat dit ook herzieningsonderzoeken en PTSS-onderzoek?

De korpschef heeft kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.
De korpschef heeft als werkgever een bijzondere zorgplicht met betrekking tot de psycho-sociale arbeidsbelasting. Zeker bij de uitvoering van politiewerkzaamheden kan langdurige blootstelling aan bepaalde incidenten leiden tot PTSS. Vaak overstijgt de termijn tussen incident en het moment waarop een potentieel PTSS slachtoffer zich als zodanig meldt de verwijderingstermijn voor politiegegevens in artikel 8 van de Wpg (5 jaar). Ter bescherming van de persoon in kwestie ligt het onderzoek naar de incidenten bij de korpschef. Het Besluit politiegegevens bevat de mogelijkheid om operationele (nog niet verwijderde) gegevens bij het onderzoek te betrekken. De korpschef gebruikt verwijderde gegevens vanaf het begin ook voor PTSS onderzoek bij collega’s. Daarbij moet gerealiseerd worden dat het hierbij te doen is om de betrokkenheid van collega’s bij bepaalde impactvolle incidenten. Het gaat daarbij om geanonimiseerde informatie, de persoonsgegevens van betrokken burgers zijn immers niet relevant voor de behandeling van het PTSS onderzoek.
Ik neem de verwerking van verwijderde gegevens mee in een aanpassing van de Wpg. De wijze waarop het gebruik van gegevens ten behoeve van PTSS in een aangepast artikel 14 vorm krijgt, kan ik pas beoordelen na ontvangst van de voorlichting die ik aan de Raad van State gevraagd heb. De juridische vraagstukken over het bewaren van grote hoeveelheden gegevens en de Europeesrechtelijke en grondwettelijke eisen daaraan zijn immers gelijk aan de vraagstukken op dit gebied rondom cold cases.

Vraag 58

Wie zijn de poortwachters? Onder welke voorwaarden verlenen zij toegang tot verwijderde gegevens en wie houdt hier toezicht op?

Ik verwijs u naar het antwoord op vraag 16.

Vraag 59

Hoe reageert u op de bevinding in memo 114 dat verzoeken van individuele betrokkenen om gegevens te vernietigen wél worden gehonoreerd? Zijn deze gegevens dan niet mogelijk doorslaggevend in cold cases?

Conform artikel 28, tweede lid, van de Wpg heeft een betrokkene het recht op vernietiging van de hem betreffende politiegegevens indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt. Van dit recht kan slechts worden afgeweken wanneer de juistheid of onjuistheid van de informatie niet kan worden geverifieerd of wanneer de gegevens moeten worden bewaard als bewijsmateriaal. In individuele gevallen als deze berust de verantwoordelijkheid bij de politie om te kunnen aantonen dat de specifieke informatie die het betreft moet worden bewaard als bewijsmateriaal. Het aantonen van dit verband is in een individuele casus complex, omdat het onmogelijk is om op voorhand te zeggen of de gegevens relevante informatie bevatten waarmee een specifieke cold case kan worden opgelost.

Vraag 60

Vindt u het acceptabel dat de wet slechts wordt nageleefd als betrokkenen zelf de moeite doen om zich op hun rechten te beroepen? Is het de taak van burgers om het naleven van de wet individueel af te dwingen?

Uiteraard dient de politie zich uit eigen beweging te houden aan de wet. Burgers mogen erop vertrouwen dat dat gebeurt. Slechts in zeer bijzondere omstandigheden kan het verdedigbaar zijn dat een wettelijke norm tijdelijk niet wordt nageleefd. Dat heeft mijn voorganger in zijn brief aan uw Kamer in februari 2019 onderbouwd.19

Vraag 61

Worden burgers op de hoogte gebracht dat hun gegevens worden verzameld en mogelijk voor onbeperkte termijn worden bewaard?

De politie informeert burgers in algemene zin op grond van artikel 24 van de Wpg over onder andere de verwerkingsverantwoordelijke, verwerkingsdoelen en rechten van betrokkenen. Dit doet de politie op haar website. Daarnaast worden burgers in voorkomende gevallen geïnformeerd over bijvoorbeeld de rechtsgrond of bewaartermijn van een verwerking. Dat kan bijvoorbeeld het geval zijn wanneer een burger optreedt als getuige of slachtoffer is. De burger heeft op grond van artikel 25 Wpg te allen tijde het recht op inzage in de hem of haar betreffende persoonsgegevens in bezit van de politie.

Vraag 62

Vindt u het belangrijk dat het beleid en de werkprocessen van de politie in opzet voldoen aan de Wpg, ook als deze in feite niet wordt uitgevoerd, zoals erkend in memo 114? Wekt dit niet de indruk bij audits, inspecties en onderzoeken dat er wordt voldaan aan de wet terwijl dit feitelijk niet zo is?

Ik vind het belangrijk dat de werkprocessen binnen de politie voldoen aan de daaraan gestelde eisen in de Wpg. De auditsystematiek is daarbij zodanig dat door de auditor getoetst wordt of de politie in opzet, bestaan en werking op adequate wijze invulling geeft aan de bepalingen bij of krachtens de Wpg. Ik verwijs u naar de auditrapporten die met uw Kamer zijn gedeeld.20

Vraag 63

Hoe reageert u op de waarschuwing over «function creep» zoals beschreven in memo 114, waarin staat dat gegevens enkel mogen worden gebruikt voor cold cases? Is er sprake geweest van function creep door niet vernietigde gegevens ook te betrekken bij onderzoek naar Posttraumatische stressstoornis (PTSS), herzieningsonderzoeken en het gebruik bij zware misdaad niet uit te sluiten?

Naleving van de vereisten uit de Wpg is een verantwoordelijkheid van de verwerkingsverantwoordelijke. De politie heeft een systeem van intern en extern toezicht opgezet om te toetsen of voorwaarden zijn getroffen om de naleving van de Wpg periodiek te toetsen. Dit gebeurt op basis van de Regeling periodieke audit politiegegevens. Op deze manier wordt getoetst of de voorwaarden uit de Wpg worden nageleefd. Daarnaast is de Autoriteit Persoonsgegevens als onafhankelijk toezichthouder bevoegd om toezicht te houden op de naleving van de Wpg.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 64

Kunt u met alle zekerheid zeggen dat onrechtmatig bewaarde gegevens in geen enkel geval gebruikt zijn voor data-analyse, het trainen van AI-systemen, uitwisseling met partners in de keten, of voor screeningsdoeleinden? Welke waarborgen zijn er ingesteld om dit te voorkomen? Als dit wel is gebeurd, kunt u dan duidelijk maken voor precies welke doeleinden deze gegevens zijn gebruikt?

De doelen voor welke verwijderde gegevens voor hernieuwde verwerking in aanmerking komen, zijn opgesomd in artikel 14 van de Wpg. Daarnaast heeft de korpschef kenbaar gemaakt dat de artikel 14 gegevens waarvan de bewaartermijn is verstreken enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.De politie heeft waarborgen ingericht rond het ter beschikking stellen voor hernieuwde verwerking van verwijderde gegevens. Dat betreft het afschermen van de verwijderde gegevens van de overige gegevensverzamelingen, het instellen van poortwachters en de toestemming van het gezag alvorens hernieuwde verwerking plaatsvindt. Daarnaast kan de Autoriteit Persoonsgegevens handhavend optreden bij normafwijkend handelen.

Vraag 65

Klopt de stelling in memo 114 dat er destijds (november 2020) eerste verkenningen zijn geweest over de herziening van de Wpg? Wat waren de uitkomsten van deze verkenningen?

Ik verwijs u naar het antwoord op vraag 12.

Vraag 66

Is er inmiddels een definitieve beleidslijn over hoe om te gaan met het vernietigen van politiegegevens, wat volgens memo 124 in juni 2021 nog altijd niet het geval was? Heeft uw ministerie hier om gevraagd? Zo niet, bent u bereid dit alsnog te doen?

Zie antwoord vraag 53.

Vraag 67

Kunt u uitleg geven over het lopende traject om de poortwachter organisatie beter in te richten, waar naar wordt verwezen in memo 137? Welke problemen waren er en zijn deze onderhand weggenomen?

De huidige werkwijze is in 2018 tot stand gekomen, deze wordt door de korpschef geactualiseerd.

Vraag 68

Vanaf wanneer is het gedoogbeleid zodanig verbreed dat ook PTSS-onderzoek bij collega's hieronder is komen te vallen, zoals benoemd in memo 137? Is hier toestemming van de Minister voor gevraagd / vereist?

Ik verwijs u naar het antwoord op vraag 57.

Vraag 69

Kunt u de nadere uitwerking van de beleidslijn waar memo 139 naar verwijst aan de Kamer doen toekomen?

De korpschef heeft mij gemeld dat de Gegevensautoriteit na het besluit van de korpschef om verwijderde gegevens niet te vernietigen, gesteund door mijn ambtsvoorganger, destijds in afwachting van een herziening van de Wpg, een beleidslijn heeft opgesteld over hoe om te gaan met de gegevens die vernietigd hadden moeten worden. Enkele van de door u gestelde vragen raken de inhoud van deze beleidslijn. Daarvoor verwijs ik u naar de antwoorden op de vragen 6, 7, 29, 46, 53, 57 en 66. Wat betreft de getroffen waarborgen met betrekking tot de verwijderde gegevens verwijs ik u naar mijn antwoord op vraag 17.

Vraag 70

Is er nog altijd geen beleidslijn vastgesteld over de waarborgen die nodig zijn om zorgvuldig met verwijderde politiegegevens te werken, zoals gevraagd in memo 139?

Zie antwoord vraag 69.

Vraag 71

Is het nu gedoogd om onrechtmatig bewaarde politiegegevens voor herzieningsonderzoeken te gebruiken, zoals opgenomen in memo 139? Bent u of is uw voorganger gevraagd om toestemming voor dit gebruik, of valt dit ook onder het staande gedoogbeleid?

De korpschef heeft kenbaar gemaakt dat de artikel 14 gegevens waarvan de bewaartermijn is verstreken enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS. Ik heb als Minister van Justitie en Veiligheid geen rol in het verlenen van toestemming om politiegegevens al dan niet voor herzieningsonderzoeken te gebruiken. De officier van justitie toetst of gegevens voor hernieuwde verwerking in aanmerking komen. De rechter doet in de betreffende zaak een uitspraak of de gegevens al dan niet rechtmatig voor het betreffende onderzoek zijn verwerkt.

Vraag 72

Welke lessen trekt u uit het proces rondom de Wpg? Hoe gaat u in de toekomst voorkomen dat de politie jarenlang de wet niet naleeft?

Allereerst wil ik benadrukken dat de politie de Wpg op veel vlakken naleeft en dat de auditrapporten hierin een stijgende lijn laten zien. De auditrapporten laten echter ook zien dat er sprake was en is van knelpunten. Mijn ambtsvoorgangers hebben in 2014, 2015, 2019, 2020 en 2023 in openheid met uw Kamer gecommuniceerd over de naleving van de Wpg en de uitdagingen die zich daarbij voordeden en voordoen. Ik acht het van belang dat wetgeving aansluit op de uitvoeringspraktijk en recht doet aan de verschillende maatschappelijke waarden die een rol spelen. Daarnaast kan dit vraagstuk niet los gezien worden van de in 2019 voorgenomen herziening van de Wpg. Hiervoor verwijs ik naar mijn antwoord op vraag 12.

Vraag 73

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Waar het de kwaliteit van de beantwoording ten goede komt zijn deze vragen tezamen behandeld.

Vraag 1

Bent u bekend met de briefing «In beeld bij de politie: camerasurveillance bij vreedzaam protest in Nederland» van Amnesty International?1

Ja.

Vraag 2

Kunt u dit rapport zo spoedig mogelijk voorzien van een appreciatie? Kunt u daarbij expliciet reageren op de afzonderlijke aanbevelingen?

Mijn reactie op de aanbevelingen van Amnesty International volgt in het eerstvolgende halfjaarbericht politie van december 2024.

Vraag 3

Bent u het eens met de mening dat u uiterst terughoudend dient te zijn met de inzet van camerasurveillance en gezichtsherkenning bij vreedzame demonstraties?

Allereerst wil ik benadrukken dat de politie geen realtime gezichtsherkenningstechnologie inzet bij demonstraties om demonstranten te identificeren. Enkel wanneer sprake is van strafbare feiten kan door de politie achteraf gezichtsherkenningstechnologie worden ingezet om verdachten te identificeren.
Ik ben me er goed van bewust dat het gebruik van camera’s een inbreuk vormt op de privacy van de burger en dus voorzien moet zijn bij wet, een legitiem doel moet dienen en noodzakelijk moet zijn in een democratische samenleving. Gelet op die inbreuk wordt de inzet goed overwogen. Voorafgaand aan een demonstratie wordt in de lokale driehoek een risicoafweging gemaakt op basis waarvan de politie-inzet wordt bepaald. Daarin wordt onder andere gekeken naar de complexiteit van een demonstratie en het risico op ongeregeldheden.
Cameratoezicht wordt ingezet om voldoende zicht te hebben op de demonstratie om zo te kunnen zorgen voor een ordelijk en veilig verloop ervan. Denk aan het voorkomen van onveilige (verkeers)situaties en het tijdig in kunnen grijpen als een groep/groepen de demonstratie willen verstoren. De inzet van camera’s is zeker niet standaard en vindt bij een klein deel van alle demonstraties plaats. Voor de goede orde: de politie doet niet aan biometrische surveillance.

Vraag 4

Deelt u de mening dat het inzetten van camerasurveillance bij vreedzame demonstraties een onwenselijk afschrikkend effect kan hebben voor het uitoefenen van dit grondrecht?

Ik ben me ervan bewust dat mensen het niet prettig kunnen vinden om gefilmd te worden. Mogelijk passen zij zelfs hun gedrag aan, bijvoorbeeld door af te zien van deelname aan een demonstratie. Dit zogenaamde «chilling effect» wordt niet licht bezien, en wordt meegewogen in het besluit om camera’s al dan niet in te zetten. Voor de goede orde: de politie doet niet aan biometrische surveillance.

Vraag 5

Vindt u ook dat adequaat toezicht op het gebruik van camerasurveillance en gezichtsherkenningstechnologie een randvoorwaarde is om het te mogen gebruiken? Kunt u onderbouwen dat de Autoriteit Persoonsgegevens voldoende is uitgerust om hierop toe te zien?

In de brief van 30 september jl. naar aanleiding van de motie van het lid Kathmann over het gebruik van gezichtsherkenningstechnologie heeft het kabinet de onderliggende zorgen van de motie onderschreven en aangegeven dat er heldere wettelijke kaders noodzakelijk zijn bij de inzet van gezichtsherkenning, toezicht en controle daarop.2
De Autoriteit Persoonsgegevens (AP) heeft voldoende expertise en middelen om toezicht te houden op het gebruik van cameratoezicht en gezichtsherkenningstechnologie. De wijze waarop de AP de middelen die hen ter beschikking worden gesteld verdeelt over de afzonderlijke taken is uitsluitend aan de AP, als onafhankelijke toezichthouder.

Vraag 6

In wat voor situaties vindt u het gerechtvaardigd dat de politie gezichtsherkenning gebruikt om demonstranten te identificeren? Binnen welke wettelijke kaders is dit toegestaan?

Enkel wanneer er strafbare feiten zijn gepleegd door demonstranten kan de politie achteraf proberen de identiteit van de verdachten te achterhalen door middel van gezichtsherkenningstechnologie. Dit doet de politie door afbeeldingen van de verdachten geautomatiseerd te vergelijken met afbeeldingen van veroordeelden en aangehouden verdachten van een strafbaar feit waar minimaal 4 jaar gevangenisstraf voor staat.
De gelaatsafbeelding van een verdachte kan afkomstig zijn van een tijdelijke politiecamera of een bodycam (beide op grond van artikel 3 Politiewet 2012), een gemeentelijke camera (artikel 151c Gemeentewet) of van een particuliere camera (gevorderd op grond van artikel 126nd Wetboek van Strafvordering). Ook kan het zo zijn dat beeldmateriaal door burgers of bedrijven aan de politie wordt verstrekt op grond van de AVG.
De gegevens worden gelet op artikel 3 Wet Politiegegevens (Wpg) slechts verwerkt voor zover dit noodzakelijk is voor de bij of krachtens de Wpg geformuleerde doeleinden. Het omzetten van een gelaatsafbeelding in biometrische kenmerken moet dan ook altijd noodzakelijk zijn voor een van de doeleinden in de Wpg. Bijvoorbeeld voor de uitvoering van de dagelijkse politietaak (artikel 8 Wpg). Met het extraheren van biometrische kenmerken uit een gelaatsafbeelding worden gegevens gecreëerd die die moeten worden aangemerkt als een bijzondere categorie van politiegegevens in de zin van artikel 5 van de Wpg. Dergelijke politiegegevens mogen alleen worden verwerkt voor zover dat onvermijdelijk is voor het doel van de verwerking en in aanvulling op andere politiegegevens. Dit vereist dan ook een extra zware noodzakelijkheidstoets. Ook moeten de gegevens afdoende worden beveiligd.
Politiegegevens kunnen geautomatiseerd vergeleken worden op grond van artikel 8, lid 2 en artikel 11, lid 1 en 2 Wpg. Vergelijking van gelaatsafbeeldingen aan de hand van biometrische kenmerken is daarvan niet uitgesloten.
Er is geen sprake van inzet van gezichtsherkenningstechnologie voor het identificeren van demonstranten. Daarnaast wordt geen gebruik gemaakt van realtime gezichtsherkenningstechnologie.

Vraag 7

Kunt u alle relevante interne protocollen en afwegingskaders voor het inzetten van gezichtsherkenning door de overheid delen met de Kamer?

In februari 2023 is de Kamer geïnformeerd over het inzetkader gezichtsherkenningstechnologie dat de politie heeft ontwikkeld.3 In het tweede halfjaarbericht politie 2023 is de Kamer geïnformeerd over de eerste ervaringen met dit inzetkader.4

Vraag 8

Op welke termijn verwacht u moderne wet- en regelgeving aan de Kamer aan te bieden over de strikte inzet van gezichtsherkenning en geautomatiseerde besluitvorming van de overheid, zoals aangekondigd in het regeerprogramma?2

Het voornemen in het regeerprogramma om te zorgen voor passende, moderne wet- en regelgeving op het gebied van gezichtsherkenning wordt uitgewerkt in het kader van de implementatie van de Europese Verordening Kunstmatige Intelligentie (AI-verordening).
De AI-verordening is in augustus 2024 van kracht geworden. Deze verordening verbiedt de inzet van realtime gezichtsherkenningstechnologie in de openbare ruimte met het oog op de rechtshandhaving. Uitzonderingen op dat verbod zijn mogelijk als daar nationale wetgeving voor wordt gecreëerd. Het Ministerie van Justitie en Veiligheid onderzoekt nu of dat wenselijk en noodzakelijk is. Als onderdeel van dat traject wordt ook gekeken naar het steviger wettelijk borgen van de huidige toepassing van deze technologie (niet real time) door de politie. Dit traject bevindt zich in een verkennende fase.
In het kader van geautomatiseerde besluitvorming door de overheid is een reflectiedocument «Algoritmische besluitvorming en de Awb» in internetconsultatie gegeven waarop tot en met 31 juli jl. 53 openbare reacties zijn ontvangen. Tijdens de plenaire behandeling van de begroting van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is toegezegd dat de Kamer uiterlijk in het eerste kwartaal van 2025 een brief ontvangt waarin een analyse is opgenomen van de consultatiereacties op het reflectiedocument. In die brief zal nader worden ingegaan op de vraag waarin de wet- en regelgeving momenteel tekortschiet en binnen welke termijn een wetsvoorstel kan worden verwacht.

Vraag 9

Op welke manieren moet de aangekondigde wet- en regelgeving de bestaande praktijk aanvullen? Waarin schiet wet- en regelgeving momenteel tekort en hoe gaat u deze gebreken nader invullen?

Zie antwoord vraag 8.

Vraag 10

Welke technologie(ën) gebruikt Nederland momenteel voor gezichtsherkenning? Kunt u per toepassing aangeven of deze gebruikmaken van een algoritme of kunstmatige intelligentie (AI)? In het geval van AI-toepassingen: kunt u aangeven op welke datasets de modellen getraind zijn?

Ik lees uw vraag in de context van het rapport van Amnesty International. Ik beperk me in mijn antwoord tot het gebruik van gezichtsherkenningstechnologie door de politie.
De politie maakt gebruikt van het systeem CATCH. Daarnaast zijn er twee databases: CATCH-strafrecht en CATCH-vreemdelingen. De laatste is de Vreemdelingendatabase die onder de verantwoordelijkheid van de Minister van Asiel en Migratie valt. In de Kamerbrief van november 2019 worden de juridische kaders en waarborgen rondom het gebruik van gezichtsherkenningstechnologie door de politie beschreven en wordt er dieper ingegaan op het gebruik van CATCH-strafrecht.5 In maart 2023 is in antwoord op schriftelijke vragen over CATCH-vreemdelingen uitleg gegeven over de wettelijke grondslag.6 De algoritmes die CATCH gebruikt zijn niet door de politie getraind. Ze zijn getraind aangekocht.
Momenteel is de politie bezig met het inrichten van een nadere kwaliteitstoets op algoritmen. De aanleiding hiervoor is de AI-verordening. In artikel 6 van deze verordening zijn verplichtingen opgenomen voor hoog-risico AI-systemen. CATCH is in het huidige gebruik door de politie zeer waarschijnlijk aan te merken als een hoog-risico systeem. De verplichtingen en verantwoordelijkheden die hier mee samenhangen treden op 1 augustus 2026 in werking. Dit behelst, ten behoeve van de verscherping en nadere toetsing op de juridische en technische kwaliteit, ook een uitvoeriger bestudering van de initiële datasets waar het model op is gerealiseerd.

Vraag 11

Met welke toepassingen van gezichtsherkenning wordt er momenteel geëxperimenteerd, zoals aangegeven door de vorige Minister van Justitie en Veiligheid in haar antwoorden op vragen van het lid Sneller?3

In haar antwoord op vragen van het lid Sneller geeft mijn ambtsvoorganger aan dat eventuele experimenten plaats vinden binnen de daarvoor geldende wettelijke bepalingen. Bij het Centrum voor Biometrie van de politie vinden geen experimenten plaats. Bij de toetsingscommissie gezichtsherkenningstechnologie van de politie is geen experiment bekend.

Vraag 12

Deelt u de mening van uw ambtsvoorganger dat nieuwe experimenten met gezichtsherkenning zonder expliciete wettelijke grondslag moeten worden toegestaan? Acht u dit in lijn met de aangenomen motie-Kathmann (Kamerstuk 26 643, nr. 1172), die vraagt om toepassingen altijd van een expliciete grondslag te voorzien en anders te beëindigen?

Ik hecht eraan om de mening van mijn ambtsvoorganger in context te lezen. Het ontbreken van een expliciete wettelijke grondslag betekent niet dat er geen wettelijke grondslag bestaat voor de toepassing van een technologie door de politie. Voor de uitleg van die wettelijke grondslag verwijs ik naar mijn antwoord op vraag 6. Als de politie binnen de kaders van onze wetgeving handelt en de voorgeschreven waarborgen treft, zoals het uitvoeren van een gegevensbeschermingseffeceoordeling, dan zie ik geen bezwaren. In dat opzicht deel ik de mening van mijn ambtsvoorganger.
De motie waar u naar verwijst is op verzoek van de indiener aangehouden.8 Ik verwijs u voor een reactie op de aangenomen motie 1171 naar de brief van de Staatssecretaris van Justitie en Veiligheid van 9 oktober 2024.9

Vraag 13

Klopt het dat er momenteel geen centraal overzicht is van de plekken en manieren waarop de overheid gezichtsherkenning toepast? Waarom is dit nog niet inzichtelijk gemaakt?4

De AI-verordening verplicht de registratie van hoog risico AI-systemen door aanbieders en gebruiksverantwoordelijken van deze systemen in een EU-databank. Deze verplichting geldt per 2 augustus 2026 voor nieuwe hoog risico AI-systemen. Voor hoog risico AI-systemen op het gebied van rechtshandhaving, migratie, asiel en grenstoezichtbeheer vindt registratie plaats in een niet openbaar gedeelte van de databank, die wel toegankelijk is voor toezichthouders. Het kabinet onderschrijft de noodzaak van transparantie over het gebruik van AI-systemen door de overheid. Op nationaal niveau wordt daarom aanvullend invulling gegeven aan deze transparantie middels het algoritmeregister. Met uw Kamer is afgesproken dat voor zover het de Rijksoverheid betreft, ten minste alle hoog risico AI-systemen eind 2025 in het register zijn gepubliceerd. Voor registratie in het algoritmeregister geldt dat publicatie in het register begrensd kan worden door wettelijke of gerechtvaardigde uitzonderingen die van toepassing zijn in het kader van bijvoorbeeld opsporing, rechtshandhaving, defensie of inlichtingenverzameling.

Vraag 14

Kunt u met een tijdlijn aangeven hoe u zo snel mogelijk gaat voldoen aan de registratieverplichting van hoogrisico AI-systemen, die per 2026 geldt? Deelt u de mening dat Nederland transparant dient te zijn en hierin vooruit moet lopen op de deadline uit de Europese AI-verordening?

Zie antwoord vraag 13.

Vraag 15

Welke toetsen gaan vooraf aan het besluit om camerasurveillance bij vreedzame demonstraties in te zetten? Met welke organisaties moeten deze gedeeld worden?

Ik wil hier benadrukken dat iedere demonstratie uniek is en een unieke afweging vraagt. Voorafgaand aan een demonstratie wordt binnen de lokale driehoek een risicoafweging gemaakt op basis waarvan de politie-inzet wordt bepaald. Daarin wordt onder andere gekeken naar de complexiteit van een demonstratie en het risico op ongeregeldheden.
Onderdeel van die afweging is dat er geen onnodige inbreuk op de privacy van burgers wordt gemaakt en dat de veiligheid van demonstranten en omstanders wordt gewaarborgd. Cameratoezicht wordt ingezet om voldoende zicht te hebben op de demonstratie om zo te kunnen zorgen voor een ordelijk en veilig verloop ervan. Denk aan het voorkomen van onveilige (verkeers)situaties en het tijdig in kunnen grijpen als een groep/groepen de demonstratie willen verstoren. De inzet van camera’s is zeker niet standaard en vindt bij een klein deel van alle demonstraties plaats. Er wordt niet geregistreerd hoe vaak cameratoezicht wordt toegewezen.

Vraag 16

Worden alle relevante rapportages en stukken die de toezichthouders nodig hebben om de inzet van gezichtsherkenning te toetsen altijd in volledigheid met hen gedeeld? Kunt u deze vraag ter bevestiging aan de relevante toezichthouder(s) voorleggen en, indien hier niet aan wordt voldaan, alsnog alle stukken met hen delen?

Ja. Uit de terugkoppeling die ik heb ontvangen van de politie blijkt niets anders dan volledige medewerking.

Vraag 17

In hoeveel gevallen is de inzet van camerasurveillance bij vreedzame demonstraties, al dan niet in combinatie met gezichtsherkenning, vooraf óf achteraf afgekeurd? Om welke redenen is dit gebeurd?

De politie inzet bij demonstraties wordt bepaald door een risicoafweging in de lokale driehoek. Zoals uiteengezet wordt de inzet van cameratoezicht niet licht bezien gelet op die potentiële inbreuk op de privacy van burgers of het zogenaamde «chilling effect» dat kan optreden. Vanzelfsprekend kan een risicoafweging ook leiden tot een negatief besluit over de inzet van camera’s. Bijvoorbeeld omdat het voorziene veiligheidsrisico niet opweegt tegen de beschreven inbreuk. Bij de meeste demonstraties wordt dan ook geen gebruik gemaakt van cameratoezicht. Daarnaast kan gezichtsherkenningstechnologie enkel achteraf toegepast worden voor de identificatie van verdachten van strafbare feiten. Bij een vreedzame demonstratie zal dit in de regel niet aan de orde zijn.
Er wordt niet geregistreerd hoe vaak cameratoezicht wordt toe- of afgewezen.

Vraag 18

Welke toetsen gaan vooraf aan het besluit om gezichtsherkenning ter identificatie in te zetten in politieonderzoek? Met welke organisaties moeten deze gedeeld worden?

De politie maakt op dit moment alleen gebruik van het systeem CATCH. Ieder voornemen voor een andere toepassing van gezichtsherkenningstechnologie dan CATCH moet worden getoetst door de toetsingscommissie gezichtsherkenningstechnologie van de politie. Die commissie doet dit aan de hand van het inzetkader gezichtsherkenning. Een positief advies van de toetsingscommissie moet voorafgaand aan de operationele inzet worden bekrachtigd door de korpschef.
Indien de politie in het kader van een opsporingszaak beschikt over een gelaatsafbeelding van de verdachte, dan kan de politie trachten de identiteit te achterhalen met behulp van gezichtsherkenningstechnologie. Voor zowel de verkrijging van de verdachtenfoto als voor de verdere verwerking is een wettelijke grondslag nodig. Voor de toepassing van CATCH-Strafrecht voert de betrokken opsporingsambtenaar deze toets uit. In bijzondere gevallen kan als laatste redmiddel gebruik worden gemaakt van de Vreemdelingendatabase (CATCH-vreemdelingen) in het kader van de opsporing. Hiervoor moet de officier van justitie een schriftelijke machtiging van de rechter-commissaris hebben alvorens hij deze informatie kan vorderen, zie voor de eisen artikel 107 zesde lid, Vreemdelingenwet 2000.

Vraag 19

Hoeveel verdachten worden jaarlijks succesvol herkend door het gebruik van gezichtsherkenning? Hoeveel mensen worden jaarlijks aangehouden of ondervraagd op basis van een foutieve match?

In 2023 zijn er 1693 gezichtsafbeeldingen van Nederlandse opsporingsonderzoeken aangeboden voor vergelijking. Hiervan bleken 660 gezichtsafbeeldingen niet geschikt voor verdere verwerking. Van de 1033 geschikt bevonden gezichtsafbeeldingen, leidden 424 gezichtsafbeeldingen tot een herkenning. De overige 609 werden niet herkend.
Een herkenning door middel van de inzet van deze technologie én de beoordeling van biometrie-experts levert ondersteunend bewijs op in het onderzoek naar verdachten.

Vraag 20

Welke foutmarges kennen de systemen voor gezichtsherkenning die nu in gebruik zijn? Zijn deze gelijk voor alle huidskleuren en geslachten? Kunt u in een percentage uitdrukken welke foutmarge volgens u acceptabel is?

De gebruikte gezichtsherkenningstechnologie genereert een «shortlist» van personen die een zekere mate van gelijkenis vertonen met de persoon op de verdachtenfoto. De uiteindelijke beoordeling wordt uitgevoerd door meerdere, onafhankelijk van elkaar werkende, biometrie-experts. Door dit principe van «human-in-the-loop» is er altijd sprake van menselijke interactie.
De politie is bezig een intern proces op te zetten om, naast de staande processen, een aanvullende kwaliteitstoets op algoritmen te implementeren. Nu kan er nog geen uitspraak worden gedaan naar wat acceptabel is.
Rondom de initiële inzet van CATCH is gekeken naar de daartoe beschikbare externe kwaliteitsrapportages. In dit geval van het Amerikaanse National Institute of Standards and Technology (NIST). CATCH is gebaseerd op een model van IDEMIA waar het NIST een evaluatie op heeft uitgevoerd.11

Vraag 21

Welke middelen, zoals bodycams en videosurveillanceauto's, mag de politie gebruiken voor camerasurveillance? Met welke regelmaat worden de beelden gebruikt om met gezichtsherkenningstechnologie mensen te identificeren?

Camerasurveillance, of cameratoezicht in het Nederlands, is een breed begrip. Daaronder vallen o.a. de volgende vormen: bodycams, drones en helikopters die zijn uitgerust met een camera, videosurveillancewagens, tijdelijke camera’s, of vast bevestigde tijdelijke camera’s (om tijdelijk een bepaald gebied of bepaalde locatie te monitoren). Ook kan de politie beschikken over de beelden van Openbare orde camera’s (op grond van artikel 151c Gemeentewet). ANPR-camera’s zijn, hoewel specifiek gericht op het herkennen van voertuigen, ook een vorm van cameratoezicht.
Voor het tweede deel van deze vraag verwijs ik naar mijn antwoord op vraag 19.

Vraag 22

Welke eisen stelt u aan de camera's die voor opsporing en handhaving worden ingezet? Kunt u garanderen dat Nederland geen gebruik maakt van hardware of software die ontwikkeld is in landen met offensieve cyberprogramma's tegen ons land?

De politie is bij de aanschaf van technologische middelen gehouden aan de Europese en nationale aanbestedingsregels, zoals de Aanbestedingswet 2012. Het uitgangspunt is dat het gebruik van apparatuur en programmatuur veilig moet zijn en dat eventuele risico’s beperkt en/of gemonitord worden. Het risicobeleid ten aanzien van nationale veiligheid bij inkoop en aanbesteding is constant in ontwikkeling en heeft blijvende aandacht van de politie.
Bij de aanschaf en implementatie van apparatuur of programmatuur waarbij risico’s optreden voor de nationale veiligheid wordt geanticipeerd op zowel algemene risico’s in relatie tot leveranciers, als op specifiekere risico’s met betrekking tot het concrete gebruik van de systemen, bijvoorbeeld als het gaat om fysieke of digitale toegang door derden. Per praktijksituatie moet worden bezien of en zo ja, hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Een belangrijk uitgangspunt hierbij is dat maatregelen die hiertoe genomen worden proportioneel zijn. Er kunnen bijvoorbeeld technische beveiligings- of organisatorische maatregelen worden getroffen binnen de eigen organisatie. Ook kunnen strenge eisen gesteld worden aan de beveiliging van producten en diensten en kunnen ondernemers gevestigd in bepaalde landen uitgesloten worden van aanbestedingsprocedures.
De politie kan niet garanderen dat er geen gebruik wordt gemaakt van hardware of software die ontwikkeld is in landen met offensieve cyberprogramma's tegen ons land. Dat komt deels omdat de politie niet alle camera’s zelf aanschaft. Deels stond de Aanbestedingswet 2012 tot voor kort het niet toe om bepaalde aanbieders uit te sluiten.

Vraag 23

Welke databronnen worden gebruikt als referentiemateriaal bij gezichtsherkenning? Kunt u expliciet maken welke open en gesloten bronnen hiervoor gebruikt mogen worden of mogen worden opgevraagd?

De politie maakt voor gezichtsherkenning gebruik van het eerder genoemde systeem CATCH. CATCH kan een gezichtsvergelijking uitvoeren door een verdachtenfoto te vergelijken met referentiemateriaal. Dat referentiemateriaal is opgeslagen in twee bestanden: één met gelaatsafbeeldingen van aangehouden verdachten van een strafbaar feit waarvoor minimaal 4 jaar celstraf staat en van veroordeelden (CATCH Strafrecht) en één met gelaatsafbeeldingen van vreemdelingen (CATCH Vreemdelingen). Slechts in zeer uitzonderlijke gevallen (enkele keren per jaar) kan er worden gekeken of de verdachte voorkomt in de Vreemdelingendatabank. Zie hiervoor ook mijn antwoord op vraag 18.
De grondslag voor het verkrijgen van het referentiemateriaal is artikel 55c Wetboek van strafrecht voor de afbeeldingen van verdachten en veroordeelden. En artikel 107, vijfde lid, van de Vreemdelingenwet 2000 voor de gelaatsafbeeldingen van vreemdelingen.
De politie maakt geen gebruik van open of andere gesloten bronnen bij de operationele inzet van de genoemde CATCH varianten.

Vraag 24

Worden opgeslagen beelden van vreedzame demonstraties gebruikt als referentiemateriaal om verdachten op te sporen, ook als hun vermeende misdrijf niks met de demonstratie te maken heeft?

Zoals omschreven in reactie op vraag 23 wordt in de huidige toepassing van gezichtsherkenningstechnologie door de politie geen gebruik gemaakt van beelden van vreedzame demonstraties als referentiemateriaal. Wel kan het voorkomen dat op beeldmateriaal van een demonstratie een strafbaar feit zichtbaar is. In dat geval kan dat beeldmateriaal worden gebruikt als bewijsmateriaal en voor de identificatie van de verdachte. Het maakt hierbij geen verschil of de verdachte wel of niet als demonstrant wordt aangemerkt.

Vraag 25

Welke bewaartermijn hanteert de politie voor beelden van vreedzame demonstraties? Hoe wordt erop toegezien dat de beelden na deze termijn daadwerkelijk worden verwijderd? Heeft de politie op dit moment beelden van vreedzame demonstraties bewaard die reeds vernietigd hadden moeten worden?

De Wet politiegegevens (Wpg) en de Gemeentewet regelen de bewaartermijnen. Afgeleid van artikel 151c Gemeentewet bewaart de politie camerabeelden maximaal 28 dagen. Beelden waarop een strafbaar feit zichtbaar is, mogen worden bewaard zolang het opsporingsonderzoek loopt.
Jaarlijks wordt er een interne privacyaudit uitgevoerd (de zogenaamde Wpg-audit). Eens in de 4 jaar wordt er een externe privacyaudit uitgevoerd.
Op uw vraag of de politie op dit moment beelden van vreedzame demonstraties bewaart die reeds vernietigd hadden moeten worden, kan de politie in zijn algemeenheid geen uitspraak doen. De procedure is zodanig dat de camerabeelden binnen 28 moeten zijn beoordeeld en er een besluit moet zijn genomen.

Vraag 26

Worden politiebeelden waarvan blijkt dat ze achteraf onrechtmatig verkregen zijn altijd op tijd verwijderd? Waaruit blijkt dit?

De betrokken officier van justitie maakt de afweging welk belang het zwaarst weegt: het belang van waarheidsvinding of het belang van de rechten van de op de politiebeelden zichtbare personen. Als blijkt dat de politiebeelden onrechtmatig zijn verkregen, dan kan een rechter besluiten dit niet als bewijs toe te laten. Bij een onrechtmatige inbreuk op de persoonlijke levenssfeer kan dit worden meegewogen in de strafmaat.

Vraag 27

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Deze vragen zijn zo goed mogelijk beantwoord, waarvoor het in gevallen wenselijk is ze gezamenlijk te behandelen.

Vraag 1

Bent u bekend met het bericht «TikTok schrapt honderden banen: wil meer AI inzetten voor contentmoderatie» (11-10-2024)?1

Ja

Vraag 2

Heeft u voor of na het ontslag van het complete moderatieteam van TikTok in Nederland contact gehad met een vertegenwoordiger van TikTok over deze ontslagen? Zo ja, wat heeft u besproken? Zo nee, waarom niet?

Ja, er is contact opgenomen door het Ministerie van BZK met TikTok in Nederland nadat bekend werd dat het contentmoderatieteam daar was ontslagen. TikTok gaf aan dat dit ontslag geen invloed heeft op het totale aantal moderatoren binnen de EU. Het platform heeft ook aangegeven dat er geen grote veranderingen zijn in het aantal moderatoren per taalgroep en dat het niet van plan is het aantal menselijke contentmoderatoren aanzienlijk te verminderen.

Vraag 3

Kunt u een inschatting maken van wat het schrappen van het Nederlandse moderatieteam betekent voor de moderatie van Nederlandstalige content op TikTok?

Zoals aangegeven, stelt TikTok dat het ontslag van het moderatieteam in Nederland geen grote impact heeft op het aantal moderatoren per taalgroep. Dit betekent dat er niet aanzienlijk minder Nederlandstalige moderatoren zijn en dat Nederlandse content niet minder gemodereerd wordt. Mocht echter blijken dat TikTok’s informatie onjuist is en er wel beduidend minder Nederlandse moderatoren zijn, waardoor systeemrisico’s toenemen, dan is het aan de Europese Commissie (EC), als toezichthouder, om dit verder te onderzoeken en te evalueren.

Vraag 4

Deelt u de mening dat er voor effectieve contentmoderatie niet enkel vertrouwd kan worden op foutgevoelige AI-systemen, maar dat er ook altijd sprake zou moeten zijn van menselijk toezicht dat op de hoogte is van de lokale (Nederlandse) context waarin de content wordt geproduceerd? Zo nee, waarom niet?

Ik begrijp de wens om menselijke controle in contentmoderatie. Zoals ook aangegegeven in de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie is het kabinet van mening dat te veel sociale media platformen hebben nagelaten voldoende investeringen te doen in context-specifieke, talige en culturele menselijke expertise in Nederland. Ik heb dan ook een onderzoek uitgezet naar de beste praktijken in contentmoderatie op zeer grote online platforms en zoekmachines, zodat er geleerd kan worden welke contentmoderatiesystemen het beste werk verrichten. De resultaten van dit onderzoek zullen in het najaar van 2025 beschikbaar zijn en zullen ook met de Europese Commissie gedeeld worden.

Vraag 5

Kunt u reflecteren op dit ontslag van het Nederlandse moderatieteam in het kader van artikel 16 van de Digital Services Act (DSA), welke eisen stelt aan het voldoen aan meldings- en actieverplichtingen, en artikel 20 van de DSA, dat platforms verplicht stelt om «gemotiveerde beslissingen» te nemen «onder toezicht van passend gekwalificeerd personeel, en niet uitsluitend op basis van geautomatiseerde middelen»?

Artikel 16 van de DSA gaat over het inrichten van een toegankelijk en gebruiksvriendelijk kennisgevings- en actiemechanisme. Hierin zijn aanbieders van online hostingsdiensten verplicht om gebruikers op de hoogte te stellen wanneer zij voor die verwerking of besluitvorming geautomatiseerde middelen gebruiken. Ook artikel 17 van de DSA geeft aan dat gebruikers geïnformeerd moeten worden als content wordt gemodereerd met geautomatiseerde middelen. De gebruiker heeft vervolgens het recht om daar een klacht over in te dienen, die beslissing voor te leggen aan een externe geschilbeslechtscommissie als die er is, of naar de rechter te gaan. Het kabinet wil burgers beter in staat stellen om hun rechten te halen bij sociale mediaplatformen. Zoals vermeld in de Voortgangsbrief Rijksbrede strategie voor een effectieve aanpak van desinformatie, werkt het Ministerie van BZK daarom aan de verkenning van een meldvoorziening en een onafhankelijk geschillenorgaan, zoals beschreven in artikel 21 van de DSA.
Artikel 20 van de DSA verwijst naar de inrichting van een klachtensysteem. Hierin zijn aanbieders van online diensten verplicht om een doeltreffend intern klachtenafhandelingssysteem in te stellen dat elektronisch en gratis te gebruiken is voor gebruikers. De verwijzing dat aanbieders van onlineplatforms verplicht zijn om genomen besluiten onder toezicht van gekwalificeerd personeel te nemen en niet louter geautomatiseerde middelen in te zetten, verwijst naar de genomen besluiten in een interne klachtenhandelingssysteem en niet in hun inhoudsmoderatie.
Met betrekking tot inhoudsmoderatiebeslissingen, al dan niet geautomatiseerd, zijn de artikelen 42 en 15 relevant. Artikel 42 van de DSA verplicht zeer grote onlineplatforms om rapporten te publiceren met details over hun inhoudsmoderatie-inspanningen. Deze rapporten moeten onder andere aangeven hoeveel personeel ze inzetten per officiële taal van de EU-lidstaten, hun kwalificaties en taalkennis, en hoe goed hun moderatie werkt in elke taal.
Artikel 15 van de DSA verplicht zeer grote onlineplatforms om te rapporteren over hun inhoudsmoderatie. Deze rapporten moeten duidelijk en eenvoudig te begrijpen zijn en informatie bevatten over acties die ze hebben genomen om inhoud te modereren, zoals het gebruik van geautomatiseerde tools. Ze moeten ook details geven over de nauwkeurigheid van deze tools, mogelijke fouten, en welke maatregelen ze hebben genomen om fouten te beperken. De informatie moet ook worden ingedeeld op basis van het type illegale inhoud en de gebruikte moderatiemethode.

Vraag 6

Bent u van mening dat het mogelijk is om te voldoen aan de verplichtingen uit artikel 34 en 35 van de DSA om, rekening houdend met specifieke regionale of taalkundige aspecten (ook wanneer deze specifiek zijn voor een lidstaat), systemische risico’s voor platforms als TikTok te identificeren, analyseren en effectief te beperken zonder dat er in Nederland personeel voor contentmoderatie aanwezig is? Kunt u dit toelichten?

Ja, dat is mogelijk en hangt ervan af of TikTok elders voldoende Nederlandstalige moderatoren met kennis van de context in dienst heeft. TikTok dient in transparantieverslagen aan te geven hoeveel personeel ze inzetten per officiële taal van de EU-lidstaten. Hierbij is het belangrijk om erop te wijzen dat de DSA vraagt om een uiteenzetting van de hoeveelheid personeel per officiële taal binnen de EU, ongeacht de locatie van deze contentmoderatoren.
In het meest recente transparantieverslag (januari-juni 2024) vermeldt TikTok 160 Nederlandstalige inhoudsmoderatoren. Als in het volgende transparantieverslag blijkt dat TikTok een significante vermindering van Nederlandstalige contentmoderatoren heeft en dit leidt tot een systeemrisico, kan het bedrijf nog steeds voldoen aan artikel 34 en 35 van de DSA, mits er voldoende mitigerende maatregelen zijn genomen om deze risico’s te beheersen, zoals bijvoorbeeld de aanpassing van inhoudsmoderatieprocedures en daarvoor gebruikte besluitvormingsprocedures of moderatiemiddelen.

Vraag 7

Deelt u de mening dat er voldoende lokaal personeel en gekwalificeerd menselijk toezicht nodig is om te voldoen aan artikel 16 van de DSA, met name in het geval van zeer grote onlineplatforms, en artikel 34 van de DSA? Zo nee, waarom niet?

Vraag 8

Gelet op voorgaande vragen, bent u van mening dat TikTok blijft voldoen aan de DSA? Zo ja, waarom? Zo nee, kunt u aangeven welke acties u kunt en gaat ondernemen om TikTok wel te laten voldoen aan de DSA?

Het oordeel of TikTok de DSA correct genoeg naleeft is aan de Europese Commissie. De Europese Commissie is namelijk de primaire toezichthouder voor het naleven van de DSA door zeer grote platforms, waaronder TikTok. Sinds de inwerkingtreding van de DSA heeft de EC haar rol als toezichthouder voortvarend opgepakt en wij volgen nauwlettend de ontwikkelingen. Zo startte de Commissie in 2024 twee formele procedures tegen TikTok om te onderzoeken of er sprake is van overtredingen van de DSA.2 Artikelen 74 en 76 van de DSA geven de Commissie een bevoegdheid om een boete of last onder dwangsom op te leggen als er daadwerkelijk sprake is van een overtreding.
De Nederlandse overheid volgt de verdere uitvoering van de DSA en ondersteunt de Commissie waar het kan. Zoals in antwoord vier is aangegeven is er namens het Ministerie van BZK een onderzoek uitgezet, waarin wordt onderzocht welke beste moderatiepraktijken er bestaan bij zeer grote online platformen en zoekmachines. De resultaten hiervan zullen in het najaar van 2025 bekendgemaakt worden.

Vraag 9

Is bij u bekend of alle platforms aangemerkt als «Very Large Online Platform» (VLOP) nu (nog) zijn voorzien van een moderatieteam in Nederland? Hoe kunt u verzekeren dat berichtjes op deze platformen blijvend door mensen worden gemodereerd?

Het is publiekelijk beschikbare informatie hoeveel personeel VLOP’s hebben die in het Nederlands modereren. Artikel 42 van de DSA verplicht VLOP’s namelijk om halfjaarlijks transparantieverslagen te publiceren met details over onder andere hun inhoudsmoderatie-inspanningen. Deze rapporten moeten bijvoorbeeld aangeven hoeveel personeel ze inzetten per officiële taal van de EU-lidstaten, hun kwalificaties en taalkennis, en hoe goed hun moderatie werkt in elke taal. Zoals reeds aangegeven had TikTok 160 Nederlandstalige inhoudsmoderatoren in de periode januari-juni 2024. Meta3 dat verantwoordelijk is voor de VLOP’s Instagram en Facebook had in totaal 96 Nederlandstalige moderatoren in de periode van april-september 2024. En X/Twitter had geen enkele Nederlandstalige contentmoderator in de periode van april-september 2024.4 Verder is het niet verplicht om in de transparantieverslagen op te nemen in welke landen de contentmoderatoren gevestigd zijn.
De DSA verbiedt ook niet dat een platform gebruik maakt van geautomatiseerde middelen voor het verrichten van moderatie. Maar als dat gebeurt dan moet het platform dat benoemen in het bericht waarmee ze een gebruiker informeren dat ze diens content hebben gemodereerd (artikel 17). De gebruiker heeft vervolgens het recht om daar een klacht over in te dienen, die beslissing voor te leggen aan een externe geschilbeslechtscommissie als die er is, of naar de rechter te gaan.
Indien een gebrek aan menselijke controle leidt tot dusdanige risico’s dat het een systeemrisico in de zin van artikel 34 DSA vormt, dan moeten zeer grote online platforms en zoekmachines daar mitigerende maatregelen tegen nemen. Zoals bijvoorbeeld de aanpassing van inhoudsmoderatieprocedures en daarvoor gebruikte besluitvormingsprocedures of moderatiemiddelen. Ook de opleiding en lokale deskundigheid van moderatoren behoort hiertoe.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja

Vraag 1

Bent u bekend met de uitspraak van het Europese Hof van Justitie van 4 oktober 2024, waarin wordt gesteld dat nationale wetgeving mag bepalen dat ook kleine misdrijven kunnen leiden tot het doorzoeken van telefoons?1

Ja.

Vraag 2

Wat is uw reactie op deze uitspraak van het Europese Hof? Wat is de reactie van de Nationale Politie? Kunt u ook de Autoriteit Persoonsgegevens vragen om haar zienswijze en deze doen toekomen aan de Kamer?

De rechtspraktijk in Nederland zal moeten uitwijzen wat de precieze betekenis van deze uitspraak is. Met de toepassing van de prejudiciële procedure wordt het Europese Hof van Justitie in toenemende mate om uitleg gevraagd van het EU-recht op het gebied van bevoegdheden in het kader van het strafrechtelijk onderzoek. De uitspraak in de zaak Bezirkshauptmannschaft Landeck past in deze ontwikkeling. De betekenis en de reikwijdte van deze rechtspraak voor de rechtspraktijk zijn nog onzeker. Zoals aangekondigd in de memorie van toelichting bij het wetsvoorstel tot vaststelling van een nieuw Wetboek van Strafvordering, wordt van de zijde van de regering een voorstel gedaan, zodra de betekenis en de reikwijdte van de rechtspraak van het Europese Hof van Justitie daarvoor voldoende zijn uitgekristalliseerd om deze in samenhang te kunnen codificeren2. Dan zal zoals gebruikelijk een wetsvoorstel in dit verband ter consultatie worden voorgelegd aan (onder meer) de politie en de Autoriteit persoonsgegevens. Dergelijke consultatieadviezen worden meegezonden aan uw Kamer bij de indiening van een wetsvoorstel.

Vraag 3

Bent u het met de indiener(s) eens dat men uiterst terughoudend moet zijn om het uitlezen van telefoons makkelijker te maken? Vindt u ook dat deze bevoegdheid enkel ingezet moet worden met toestemming van de rechter bij zware misdrijven?

Het Europese Hof van Justitie heeft bepaald dat de mogelijkheid om toegang te krijgen tot gegevens in een mobiele telefoon niet is beperkt tot strafrechtelijk onderzoek naar zware misdrijven, omdat anders een risico op straffeloosheid bij niet-zware misdrijven zou ontstaan en het doel van het in stand houden van een ruimte van vrijheid, veiligheid en rechtvaardigheid binnen de EU kan worden ondermijnd3. De ernst van het feit speelt volgens het Europese Hof van Justitie wel een belangrijke rol in de afweging die moet worden gemaakt. De betekenis van deze uitspraak voor de Nederlandse rechtsorde zal gaan blijken uit de rechtspraak in concrete gevallen.

Vraag 4

Wat is het huidige protocol voor het uitlezen van telefoons van verdachten? Wanneer wordt hier wel/niet toe besloten en welke toestemming is vereist voordat dit gebeurt? Is het protocol hetzelfde bij privételefoons als bij tweede telefoons die vermoedelijk gebruikt worden voor criminele activiteiten?

De voorwaarden voor toegang tot gegevens in een mobiele telefoon ten behoeve van de opsporing van strafbare feiten zijn vastgelegd in het Wetboek van Strafvordering, en verder ontwikkeld in het smartphonearrest van de Hoge Raad4. Oorspronkelijk is de toegang gestoeld op de bevoegdheid tot inbeslagneming van voorwerpen. De inbeslagnemingsbevoegdheid impliceert dat het inbeslaggenomen voorwerp kan worden onderzocht. De mobiele telefoon heeft zich als voorwerp echter zo ontwikkeld dat zeer veel (gevoelige) gegevens over de gebruiker of derden daarop kunnen worden opgeslagen, met als gevolg dat de toegang tot gegevens op een mobiele telefoon (zeer) ingrijpend kan zijn. Dit is voor de Hoge Raad aanleiding geweest tot het wijzen van het eerdergenoemde smartphonearrest. In dat arrest zijn voorwaarden gesteld wegens de mate van inbreuk op de persoonlijke levenssfeer die de toegang tot gegevens in een mobiele telefoon kan hebben. De algemene beginselen van proportionaliteit en subsidiariteit zijn bovendien van toepassing. Daarbij worden alle relevante feiten en omstandigheden gewogen, waaronder of er sprake is van een privé mobiele telefoon of een tweede mobiele telefoon die vermoedelijk gebruikt wordt voor criminele activiteiten. De rechtspraktijk zal gaan uitwijzen in hoeverre de toegang tot mobiele telefoons anders gaat verlopen dan voorheen door deze uitspraak van het Europese Hof van Justitie.

Vraag 5

Ziet u aanleiding om de bevoegdheid in nationale regelgeving verder uit te breiden tot lichte misdrijven? Zo ja, waaruit blijkt de noodzaak hiertoe? Hoe zwaar moet een misdrijf zijn voordat hiertoe volgens u besloten mag worden?

Het EU-recht noch het nationaal recht vereist een verdenking van een zwaar misdrijf voor de toegang tot gegevens in een mobiele telefoon. Wel geldt dat de ernst van het strafbaar feit een belangrijke factor is bij de beoordeling van de toegang in een concreet geval.

Vraag 6

Hoe worden de belangen van opsporing, privacy, onschuldpresumptie en cyberveiligheid tegen elkaar afgewogen bij het besluit om wel of niet een telefoon uit te lezen?

Zie het antwoord op vraag 4.

Vraag 7

Hoe gaat het uitlezen van telefoons momenteel in werking, als de politie hiertoe besluit? Op welke manier wordt toegang verkregen tot een toestel? Wordt er wel eens gebruik gemaakt van biometrische gegevens van verdachten, zoals vingerafdrukken voor vingerafdrukscanners of gezichten (FaceID), om bij weigering van verdachten om een telefoon te ontgrendelen dit alsnog voor elkaar te krijgen en zo ja, hoe vaak komt dat voor? Wordt de data op een telefoon gericht uitgelezen op basis van het strafbare feit of wordt de hele telefoon – inclusief privécommunicatie – doorzocht? Worden de gegevens gekopieerd en opgeslagen, en zo ja, met welke bewaartermijn?

De politie sluit de telefoon over het algemeen aan op uitleesapparatuur en maakt een forensische kopie van bepaalde bestanden op het toestel of een exacte kopie van alle computergegevens, afhankelijk van de inhoud van het bevel. Soms wordt de mobiele telefoon handmatig onderzocht. Het komt voor dat een mobiele telefoon alleen ontgrendeld kan worden met behulp van biometrische gegevens van de gebruiker van dat toestel. De politie mag in die gevallen de verdachte vragen zijn toestel te ontgrendelen. Als de verdachte hier niet aan wil meewerken, mag de politie dwang gebruiken. Dit is bekrachtigd door de Hoge Raad in een arrest uit 20215. Deze bevoegdheid is via de Innovatiewet Strafvordering vooralsnog opgenomen in artikel 558 van het Wetboek van Strafvordering. De rapporten waarin verslag is gedaan van de evaluatie van de Innovatiewet Strafvordering zijn onlangs verzonden aan uw Kamer6. Volgens de onderzoekers wordt de bevoegdheid regelmatig toegepast. Exacte cijfers zijn niet beschikbaar. Voor het einde van het jaar ontvangt uw Kamer de beleidsreactie op de evaluatierapporten.
De gegevens die zijn overgenomen worden door de politie opgeslagen, waarna (een deel van) deze gegevens toegankelijk worden voor gebruik door daartoe geautoriseerde opsporingsambtenaren die belast zijn met de opsporing van het strafbare feit waarvoor de mobiele telefoon in beslag is genomen. Deze gegevens vallen onder het regime artikel 9 in de Wet politiegegevens (Wpg). Deze gegevens kunnen worden gebruikt voor het opsporingsonderzoek en het eventueel daarop volgende strafproces, totdat een onherroepelijke beslissing in de betreffende zaak is genomen of de straf/maatregel volledig ten uitvoer is gelegd. Uiterlijk een half jaar nadat het doel van het onderzoek is bereikt, moeten de gegevens worden verwijderd. De systematiek in de Wpg schermt verwijderde gegevens af van andere gegevens en deze worden gedurende een periode van vijf jaar bewaard. Gedurende deze periode zijn de gegevens alleen toegankelijk voor een beperkt aantal poortwachters en kunnen slechts gebruikt worden voor enkele genoemde doelen. Na ommekomst van deze termijn moeten gegevens worden vernietigd.

Vraag 8

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel in de Telegraaf van 11 september 2024, waarin wordt bericht over de stortvloed aan pakketjes van Chinese webshops die de Nederlandse markt overspoelen?1

Ja.

Vraag 2

Bent u bekend met de gezamenlijke klacht die 18 consumentenorganisaties hebben ingediend tegen Temu?2

Ja.

Vraag 3

Bent u bekend met de brief die naar u is gestuurd waarin de Consumentenbond en retailbrancheverenigingen hun zorgen uiten over de onveilige en oneerlijke handelspraktijken door nieuwkomers op de Europese markt? Deelt u deze zorgen en bent u bereid om te spreken met de opstellers van de brief en de Kamer te informeren over de uitkomsten van dat gesprek?

Ja, ik ben hiermee bekend en deel deze zorgen. Ik ben bereid om in gesprek te gaan met de Consumentenbond en de retailbrancheverenigingen en de Kamer te informeren over relevante uitkomsten.

Vraag 4

Erkent u dat het niet naleven van deze spelers uit derde landen aan Europese wet- en regelgeving op het gebied van duurzaamheid, consumentenbescherming en productveiligheid ertoe leidt dat er geen gelijk speelveld is voor Nederlandse en Europese ondernemers ten opzichte van deze bedrijven?

Ik vind het gebrek aan naleving van Europese wet- en regelgeving op gebied van consumentenbescherming en productveiligheid door online marktplaatsen uit derde landen zorgwekkend. Dat gaf ik ook aan in mijn eerdere antwoorden op de Kamervragen van leden Van Dijk en Krul3. Ik erken dat de opkomst van deze marktplaatsen de concurrentiepositie van Nederlandse en Europese ondernemers beïnvloedt.

Vraag 5

In uw antwoorden op de Kamervragen van de leden Inge van Dijk en Krul (Kamerstuk 2024D32798) verwijst u meermaals naar de verantwoordelijkheid van de toezichthouder, maar wat kunt u zelf doen om een gelijk speelveld te creëren ten aanzien van Chinese webshops en de consument, het milieu en het Nederlandse bedrijfsleven te beschermen?

Ik vind het belangrijk dat consumenten kunnen vertrouwen op producten die voldoen aan de regels op het gebied van veiligheid, duurzaamheid en gezondheid én dat er een gelijk speelveld voor ondernemers is. Bij de totstandkoming van de Europese regelgeving, zoals toegelicht in mijn antwoorden op de Kamervragen van de leden Van Dijk en Krul4, pleitte mijn ministerie voor passende verantwoordelijkheden voor zowel e-commerce bedrijven die gevestigd zijn in de EU als daarbuiten. Het nieuwe Europese wetgevingskader vereist bijvoorbeeld van deze partijen dat de producten die zij aanbieden voldoen aan de Europese veiligheidswetgeving en dat zij meer en betrouwbare informatie aanbieden over de herkomst van het product. De nationale toezichthouders, maar ook de Europese Commissie in het geval van de digitale dienstenverordening (hierna: DSA), kunnen handhavend optreden in het geval e-commerce bedrijven zich niet aan deze regels houden.
Concreet biedt de DSA de mogelijkheid om Very Large Online Platforms (hierna: VLOPS) verantwoordelijk te stellen voor de verkoop van onveilige producten en de advertenties op deze platforms voor dergelijke producten te laten verwijderen. De Europese Commissie (EC) ziet hierop toe. De DSA biedt de Autoriteit Consument en Markt (ACM) de mogelijkheid de Commissie te ondersteunen bij de handhaving door haar informatie te delen over overtredingen door de VLOPS.
Verder is het beheersbaar maken van de grote stroom van e-commerce zendingen een belangrijke prioriteit van Nederland in de Europese onderhandelingen over het nieuwe Douane Wetboek van de Unie. Nederland heeft daarom in de besprekingen in de EU over een nieuw Douanewetboek van de Unie gepleit voor regelgeving die afdwingt dat het bedrijf dat de goederen importeert in de EU ook daadwerkelijk voldoet aan de EU wet- en regelgeving. Daarnaast pleit Nederland ervoor om bedrijven één aangifte te laten doen voor grote hoeveelheid goederen van één soort. Dan kan de Douane in één keer meer aangiften en goederen controleren dan in het geval van één aangifte per pakketje voor één consument. Nederland is verder voorstander van het afschaffen van de vrijstelling van 150 euro op invoerrechten, aangezien dit leidt tot een beter level playing field tussen e-commerce en traditionele handel.
Ook heb ik recent de Productenmeldwijzer gelanceerd5. Het doel van de Productenmeldwijzer is het verwijzen van consumenten en bedrijven naar de juiste toezichthouder. Bij deze toezichthouder kunnen zij producten melden die niet voldoen aan de productregels op het gebied van onder meer veiligheid, gezondheid en milieu. Dit kan de toezichthouders helpen in hun risico-gebaseerd toezicht, omdat dit hen kan wijzen op het aanbod van onveilige producten. Ook biedt de Productenmeldwijzer informatie waar consumenten en ondernemers op moeten letten bij het doen van online aankopen.
Vanwege de enorme instroom van producten van ongeveer 3 miljoen douaneaangiften voor e-commerce per dag op dit moment en de complexiteit van de problematiek, is het van belang dat in eerste instantie de marktdeelnemers, inclusief e-commerce bedrijven, meer verantwoordelijk worden voor het aanbieden van conforme producten. De voorgenoemde initiatieven helpen dit af te dwingen. Uiteraard zijn ook in de afgelopen jaren, tijdens de opkomst van e-commerce, stappen gezet die de samenwerking tussen Europese toezichthouders bevorderden. Zo is er bijvoorbeeld een informatie-en communicatie systeem (ICSMS) opgezet die de informatie-uitwisseling tussen Europese toezichthouders over onveilige producten bevordert.
Aanvullend zet ik mij als stelselverantwoordelijk Minister in voor een integrale aanpak waarbij alle partijen worden betrokken. Mijn ministerie blijft via verschillende gremia in overleg met Europese en niet-Europese marktdeelnemers, de markttoezichthouders, de Douane en de Europese Commissie over deze problematiek. Zo heb ik bijvoorbeeld tijdens de laatste Raad van Concurrentievermogen van 26 september jl., samen met Duitsland, Oostenrijk, Denemarken en Frankrijk, de Europese Commissie opgeroepen tot een sterkere gezamenlijke Europese aanpak tegen e-commerce uit derde landen. Gelet op de omvang van deze problematiek is een Europees optreden namelijk het meest kansrijk om verandering bij marktdeelnemers, waaronder e-commerce bedrijven, af te dwingen. In dit kader publiceert de Commissie binnenkort naar verwachting een mededeling over de problematiek rondom e-commerce, uw Kamer wordt hier te zijner tijd over geïnformeerd.

Vraag 6

Wat kan u daarnaast doen om te voorkomen dat door de omvang en complexiteit van de overtredingen toezichthouders niet in staat zijn om snel en effectief op te treden?

Zie antwoord vraag 5.

Vraag 7

Rust de Europese Digital Markets Act (DMA) u en andere lidstaten voldoende uit om concurrentievervalsing door webshops van buiten de EU te bestrijden? Welke andere mogelijkheden heeft u om de handelspraktijken van niet-Europese webshops te reguleren?

De afgelopen jaren hebben we gezien dat digitale markten niet optimaal werken. Hiervoor is veel nieuwe regelgeving in de EU tot stand gekomen, waaronder de Digital Markets Act (hierna: DMA). De DMA heeft als doel consumenten en ondernemers beter te beschermen tegen marktmacht en zo concurrentie op digitale markten te verbeteren. De DMA richt zich op de allergrootste platforms in het digitale domein, zogeheten poortwachters. Zij mogen bijvoorbeeld hun eigen diensten en producten niet meer voortrekken. De DMA richt zich dus niet primair op het aanpakken van oneerlijke concurrentie vanuit niet-Europese online marktplaatsen door het niet voldoen aan productregelgeving.
De DMA is gericht op alle platforms die een sterke positie hebben. Op dit moment zijn zowel platforms binnen de EU (Booking.com) als buiten de EU aangewezen (bijvoorbeeld Amazon, Meta en ByteDance) als poortwachter. De EC houdt er toezicht op dat de aangewezen poortwachters zich aan de regels uit de DMA houden. Mochten andere online marktplaatsen in de toekomst aan de poortwachterscriteria voldoen, dan kan de EC besluiten om deze partijen als poortwachter aan te wijzen.
De DMA en DSA (zie beantwoording op vraag 5 en 6) zijn recent in werking getreden. Mijn voorstel is daarom om voor zowel de DMA als de DSA eerst af te wachten wat het effect zal zijn. Pas daarna kan worden bepaald of aanpassing of aanscherping nodig is.
Ook de in juli jl. in werking getreden Corporate Sustainability Due Diligence Directive kan nieuwe handvatten bieden voor handhaving. Deze richtlijn verplicht grote bedrijven gepaste zorgvuldigheid toe te passen in hun waardeketen om zo risico’s voor mens en milieu te identificeren, te voorkomen en aan te pakken. De bedrijven die onder de verplichting gaan vallen worden dus geacht te voorkomen dat zij bijdragen aan mensenrechtenschendingen of milieuschade, met name in de toeleveringsketen. Op dit moment loopt het implementatietraject voor omzetting van de richtlijn in nationale wetgeving.
De richtlijn gaat gelden voor in de EU gevestigde bedrijven met meer dan 1.000 medewerkers en een netto jaaromzet van meer dan EUR 450 miljoen, en voor niet in de EU gevestigde bedrijven met een netto jaaromzet van meer dan EUR 450 miljoen in de EU. Daarmee wordt het speelveld voor grote bedrijven op de Europese markt op dit gebeid gelijkgetrokken. Ook grote webshops zullen dus onder de richtlijn vallen. De verplichtingen zullen gefaseerd worden toegepast vanaf juli 2027. De Autoriteit Consument en Markt is beoogd toezichthouder voor deze richtlijn. Meer informatie over deze richtlijn werd gedeeld in de brief van 12 april jl. over het voorlopig politiek akkoord op Europese IMVO-wetgeving (Kamerstuk 26 485, nr. 435).
Verder reguleert consumentenwetgeving handelspraktijken die consumenten kunnen misleiden. Deze regels gelden ook voor niet-Europese marktplaatsen die producten of diensten aanbieden aan consumenten in de Europese Unie. De Richtlijn oneerlijke handelspraktijk geeft individuele lidstaten geen ruimte om nationale regels te implementeren (maximumharmonisatie). De EC heeft op 3 oktober 2024 de resultaten gepubliceerd van de fitness check van het consumentenrecht. De EC heeft onderzocht of de huidige regels consumenten ook online voldoende bescherming. Volgens de EC blijkt uit de fitness check dat we verdere actie moeten ondernemen om de digitale omgeving eerlijk te maken voor consumenten. Dit zal door de nieuwe EC worden opgepakt, mogelijk met een voorstel voor een Digital Fairness Act. Ik zie dit voorstel met belangstelling tegemoet.

Vraag 8

Hoe ziet u erop toe dat producten van buiten de Europese Unie die niet voldoen aan onze wet- en regelgeving niet alsnog tegen een lage prijs worden doorverkocht op Nederlandse en Europese webshops?

Producten die worden doorverkocht via Nederlandse en Europese online marktplaatsen moeten ook voldoen aan de EU-productregelgeving. Ondernemers zijn door de vele nieuwe en veranderende regelgeving soms onbewust onbekwaam. Ik zet mij daarom in om de naleving te bevorderen voor de verschillende partijen in de keten.
Zo bestaat het Productcontactpunt waar ondernemers terecht kunnen met vragen over Europese productregelgeving. Daarnaast bevat de eerder genoemde Productenmeldwijzer informatie over wet- en regelgeving voor zowel consumenten als ondernemers. Verder ben ik met verschillende brancheorganisaties in gesprek over hun informatiebehoefte. Onze toezichthouders zetten zich ook in voor het begrijpelijk uitleggen van de regelgeving en de naleving hierop. Zo heeft de NVWA recent verschillende bijeenkomsten georganiseerd voor fulfilmentdienstverleners en andere partijen in de keten.

Vraag 9

Welke technische mogelijkheden ziet u om de productieketens van spullen beter inzichtelijk te maken voor consumenten, bijvoorbeeld met een unieke product-ID? Hoe draagt Nederland bij aan de ontwikkeling daarvan?

Ik vind het belangrijk dat consumenten meer inzage kunnen krijgen in de productieketen van producten. Op dit moment wordt een uniek product-ID door fabrikanten en ondernemers vooral gebruikt om producten te herkennen en vindbaar te maken. Denk daarbij aan een barcode.
Om productieketens beter inzichtelijk te maken voor consumenten zie ik het Digitaal Product Paspoort (DPP) als een geschikt instrument. Het DPP wordt met Nederlandse steun EU-breed opgepakt en voorgesteld onder de Kaderverordening Ecodesign6 voor duurzame producten. Producenten worden ertoe verplicht om een DPP beschikbaar te stellen voor producten waaraan circulaire ontwerpeisen worden gesteld. Deze verplichting geldt voor alle producenten die producten afzetten op de Europese markt, van binnen en buiten de Europese Unie. Consumenten krijgen via een uniek product-ID, zoals een QR-code, toegang tot het DPP. Per productgroep verschilt de informatie die gedeeld moet worden in het DPP. Denk aan informatie over de herkomst, de repareerbaarheid, de CO2- en milieuvoetafdruk en over het aandeel recyclaat. Onder de nieuwe Europese Batterijenverordening wordt een DPP eveneens verplicht en in de voorstellen voor voertuigen en detergenten is een DPP ook opgenomen.

Vraag 10

Bent u bekend met het FD-artikel van 8 september waarin de Duitse Minister van Economische Zaken erop aandringt spoedige actie te ondernemen tegen het overtreden van Europese wet- en regelgeving na klachten over oneerlijke concurrentie door Chinese platforms?3

Ja, hier ben ik mee bekend.

Vraag 11

Bent u het met uw Duitse collega eens dat spoedige actie nodig is tegen het overtredingen van Europese wet- en regelgeving door oneerlijke concurrentie door Chinese platforms? Vindt u dat er ook vanuit Nederland actie nodig is en denkt u dat u een sturende rol moet nemen om een integrale aanpak, samen met andere ministeries en toezichthouders, te ontwikkelen om dit probleem aan te pakken?

Ja, ik ben het er mee eens dat er actie moet worden ondernomen tegen platforms die zich niet aan de Europese wet- en regelgeving houden. Daarom heb ik tijdens de Raad van Concurrentievermogen van 26 september jl. de Duitse oproep voor een gezamenlijke Europese aanpak tegen e-commerce uit derde landen gesteund, zoals ook in mijn beantwoording op vraag 5 en 6 is aangegeven.
Als stelselverantwoordelijke voor het markttoezicht in Nederland ligt voor mij een coördinerende rol. Ik zet daarom in op een integrale aanpak, in overleg met de beleidsverantwoordelijke departementen voor productspecifieke regelgeving8, het Ministerie van Financiën en Douane en de markttoezichthouders, zoals ook in mijn beantwoording op vraag 5 en 6 is aangegeven.
Daarnaast pleit ik, zoals toegelicht in mijn eerdere antwoorden op de Kamervragen van de leden Van Dijk en Krul9, in Europa voor het verbeteren van de regelgeving zodat platforms en andere partijen uit derde landen meer verantwoordelijkheden krijgen. Zo dring ik er bij de EC op aan dat de verplichting tot het aanwijzen van een verantwoordelijke persoon voor alle producten moet gaan gelden. Niet alleen voor producten onder de algemene productveiligheidsverordening. Dit sluit aan bij mijn inzet om het DPP voor alle producten te verplichten, zoals toegelicht in mijn beantwoording op vraag 9.

Vraag 12

Bent u bereid in overleg te treden met uw Duitse evenknie om te bezien bij welke maatregelen er samenwerking mogelijk is, bijvoorbeeld om een coalitie te vormen in EU-verband?

Ja, hier ben ik zeker toe bereid. Tijdens de Raad van Concurrentievermogen van 26 september heb ik reeds met mijn Duitse collega Giegold (Staatssecretaris van het Bundesministerium für Wirtschaft und Klimaschutz) over de e-commerce problematiek gesproken. We delen de zorgen daaromtrent en blijven hierover in gesprek.

Vraag 1

Bent u bekend met de berichtgeving over de kwetsbaarheid van de ICT bij APG en het Schuberg Phyllis-onderzoek waar dit uit bleek?1

Ja, hier ben ik mee bekend.

Vraag 2

Is het bij u bekend of andere kritieke instellingen met zulke kwetsbaarheden te maken hebben?

Instellingen, zoals APG, laten periodiek testen en audits uitvoeren om IT-kwetsbaarheden en verbeterpunten aan het licht te brengen. Hieruit is gebleken dat de beveiliging van APG van zeer hoog niveau is. APG geeft echter aan dat er ook verbeterpunten zijn in de beveiliging van de IT-infrastructuur. Na deze constatering zijn er mitigerende maatregelen genomen tegen de IT-risico’s. Dit gebeurt in goed overleg met de belangrijkste stakeholder en toezichthouders. Pensioenuitvoerders staan via hun fondsen onder toezicht, en doen mee aan zeer ingrijpende cybersecuritytesten van DNB. Het doel hiervan is om eventuele kwetsbaarheden tijdig te onderkennen en deze adequaat op te lossen.

Vraag 3

Deelt u de opvatting dat het veilighouden van álle kritische ICT-infrastructuur waar mensen afhankelijk van zijn, bijvoorbeeld voor hun pensioen, gezondheid of inkomen, een overheidstaak is?

De regering hecht waarde aan de vitaliteit van belangrijke (financiële) instellingen zoals pensioenfondsen. Tegelijkertijd zet de regering in de Aanpak vitaal in op het versterken van de weerbaarheid van vitale instellingen2. De vitale infrastructuur bestaat uit processen en diensten die essentieel zijn voor de Nederlandse samenleving, waarvan verstoring, uitval of manipulatie grote gevolgen kan hebben voor de Nederlandse economie en maatschappij. De Aanpak vitaal is gericht op het voorkomen van de verstoring van vitale processen en de weerbaarheid aanhoudend te verhogen. In de cyclus vitaal identificeren vakdepartementen welke processen en aanbieders vitaal zijn en welke dreigingen en risico’s er binnen de vitale processen bestaan.
Mocht de uitkomst van de Aanpak vitaal zijn dat sommige pensioenuitvoerders als vitaal worden aangemerkt, dan brengt dit rechten en plichten met zich mee. Zo krijgt een vitale aanbieder bij cyberincidenten ondersteuning van het Nationaal Cyber Security Centrum (NCSC) in het geval van grootschalige uitval.

Vraag 4

Hoe bent u betrokken bij het oplossen van de kwetsbaarheden bij APG, gezien het essentiële belang van deze instelling voor het uitkeren van pensioenen?

Vanuit mijn positie als Minister van Sociale Zaken en Werkgelegenheid ben ik niet rechtstreeks betrokken bij het oplossen van de kwetsbaarheden bij APG. APG is een private vergunninghoudende entiteit die onder toezicht staat bij de toezichthouders AFM en DNB. APG heeft in samenspraak met de twee toezichthouders zo spoedig mogelijk zelf mitigerende maatregelen getroffen om deze problemen zelf op te lossen.

Vraag 5

Heeft De Nederlandsche Bank (DNB) als toezichthouder eerder deze kwetsbaarheden aangetroffen? Zo nee, hoe kan de toezichthouder beter in staat worden gesteld om op de ICT toe te zien?

Informatiebeveiliging en cybersecurity zijn de afgelopen jaren een belangrijk strategisch thema binnen het toezicht van DNB en AFM.
Pensioenuitvoeringsorganisaties staan via hun fondsen onder toezicht en doen mee aan zeer ingrijpende cybersecuritytesten van DNB, waaronder de TIBER-test. TIBER staat voor Threat Intelligence Based Ethical Red-teaming en heeft als doel om te testen hoe weerbaar organisaties zijn tegen geavanceerde cyberaanvallen3. Kwetsbaarheden, waar zichtbaar, worden gemitigeerd. Voor zover bij mij bekend zijn er geen gevallen waarbij de IT-veiligheid van pensioenuitvoerders niet op orde is. Er zijn geen signalen vanuit de toezichthouders dat de huidige manier van toezicht op de ICT van pensioenuitvoerders niet voldoet. DNB kan niet ingaan op vragen over individuele instellingen die onder toezicht staan.

Vraag 6

Welk aandeel van het toezicht van de DNB wordt besteed aan cyberveiligheid van pensioenfondsen? Is dit toereikend om structurele kwetsbaarheden grondig te onderzoeken?

Vanwege toezichtvertrouwelijke informatie kan DNB geen uitlatingen doen welk aandeel van het toezicht besteed wordt aan cyberveiligheid van pensioenfondsen. Er zijn mij vanuit de toezichthouders geen signalen bekend dat de huidige capaciteit ontoereikend is om structurele kwetsbaarheden grondig te onderzoeken.
In zijn algemeenheid geldt dat cyberdreigingen toenemen. Dat ziet DNB terug in externe dreigingsanalyses van onder andere het Nationaal Cyber Security Centrum (NCSC). DNB heeft recent ook informatie gedeeld over cyberrisico’s voor de financiële stabiliteit in het Overzicht Financiële Stabiliteit (najaar 2024). Dat komt enerzijds door steeds verdergaande automatisering van bedrijfsprocessen die al jarenlang aan de gang is. Dat maakt instellingen potentieel kwetsbaar voor cybercriminaliteit. Anderzijds ziet DNB dat dreigingen toenemen als gevolg van geopolitieke spanningen. Dit maakt instellingen potentieel ook kwetsbaar voor verstoring/sabotage door statelijke actoren.
DNB geeft aan dat maatregelen gelijke tred moeten houden met eventuele toenemende dreigingen. Instellingen moeten voortdurend alert zijn dat hun beheersmaatregelen passend zijn en blijven. DNB vraagt daarvoor aandacht, onder andere met de DNB Good Practice informatiebeveiliging. DNB ziet risico-gebaseerd erop toe dat instellingen aandacht houden voor voortdurende verbetering en dat zij de effectiviteit van hun maatregelen ook regelmatig testen. Voorts heeft DNB binnen de divisie Toezicht Pensioenfondsen een expertisecentrum specifiek gericht op operationele en IT-risico’s.

Vraag 7

Hoe zorgt u ervoor dat andere kritieke instellingen zo goed mogelijk lessen trekken uit het Schuberg Phyllis-onderzoek en de stappen die APG zet ter verbetering?

Instellingen moeten voortdurend alert zijn dat hun beheersmaatregelen passend zijn en blijven. DNB vraagt daarvoor aandacht, onder andere met de DNB Good Practice informatiebeveiliging. DNB ziet er risico-gebaseerd op toe dat instellingen aandacht houden voor voortdurende verbetering en dat zij de effectiviteit van hun maatregelen ook regelmatig testen. Voorts heeft DNB binnen de divisie Toezicht Pensioenfondsen een expertisecentrum specifiek gericht op operationele en IT-risico’s.
De regering hecht waarde aan de vitaliteit van belangrijke (financiële) instellingen zoals pensioenfondsen. Daartoe zet de regering in de Aanpak Vitaal in op het versterken van de weerbaarheid van vitale instellingen.4 Het doel hiervan is om de weerbaarheid van kritieke instellingen blijvend te verhogen.

Vraag 8

Bent u bereid andere kritieke instellingen aan te moedigen al dan niet financieel te ondersteunen bij het uitvoeren van diepgravende analyses van hun ICT-kwetsbaarheden?

Organisaties zijn primair zelf verantwoordelijk voor hun ICT, zo ook de daaruit naar voren komende kwetsbaarheden. Vitale aanbieders dienen bij het in gebruik nemen van producten en diensten goed risicomanagement uit te voeren. Het analyseren van mogelijke risico’s is gestoeld op het in kaart brengen van (1) de te beschermen belangen, (2) de dreiging tegen deze belangen te identificeren en (3) de bestaande weerbaarheid van de organisatie te definiëren en (4) op basis van deze analyse aanvullende maatregelen treffen om de risico’s te beheersen. Het doel is om uiteindelijk tot een passend niveau van weerbaarheid te komen en de mate van risicoacceptatie te bepalen.
Pijler I van de Nederlandse Cybersecurity Strategie 2022–2028 ziet toe op het verhogen van de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Er worden verschillende acties uitgevoerd die de vergaande publiek-private samenwerking – hetgeen nodig is om deze ambitie te realiseren – te verdiepen en uit te breiden.
Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hebben het afgelopen jaar diverse kennis- en adviesproducten ontwikkeld over cybersecurity in het risicomanagementproces, crisispreparatie en incidentrespons. Het gaat daarbij niet alleen om producten die relevant zijn voor organisaties die onder het toepassingsbereik van Cyber beveiligingswet vallen, maar ook voor alle andere organisaties. Daarnaast is er door het NCSC en het DTC een nieuwe set cybersecurity basisprincipes geschreven.
Om in publiek-privaatverband nog sneller en beter samen te werken heeft het NCSC gewerkt aan het digitaliseren van onder andere het delen van kwetsbaarheden. Hierbij wordt gebruik gemaakt van kwetsbaarheidsregisters om zo organisaties snel van advies te kunnen voorzien. Dit gebeurt mede in samenhang met het programma Cyclotron.
Daarnaast is er in 2024 met het publiceren van de toekomstvisie voor het Cyberweerbaarheidsnetwerk (CWN) een belangrijke stap gezet naar het verdiepen en uitbreiden van publiek-private samenwerking op het gebied van cybersecurity.
Tot slot heeft de Cyberbeveiligingswet ook invloed. Organisaties die onder deze wet vallen moeten voldoen aan een zorgplicht, waarin risicomanagement een centrale rol speelt. De verwachting is dat het wetsvoorstel in Q4 2024 aan de Afdeling Advisering van de Raad van State kan worden aangeboden. Op 17 oktober 2024 is de kamer geïnformeerd over de huidige stand van zaken.

Vraag 9

Welke voorzieningen staan er in de Cyberveiligheidswet die nog naar de Kamer komt, die onmisbare (publieke én private) instellingen als het APG zouden helpen?

De Cyberbeveiligingswet is de nationale wetgeving die voortkomt uit de Europese Network and Information Security Directive (NIS2-richtlijn). Het wetsvoorstel dat nog naar de Kamer komt heeft als doel om de digitale en economische weerbaarheid te versterken tegen toenemende dreigingen. De wet zal gelden voor bedrijven en organisaties die in specifieke «kritieke» sectoren actief zijn en een bepaalde omvang hebben. Voor financiële instellingen geldt de DORA, waarvoor het Ministerie van Financiën en DNB verantwoordelijk zijn.
De Cyberbeveiligingswet is horizontale wetgeving en schrijft voor de organisaties die daaronder vallen een zorgplicht voor. De zorgplicht verplicht organisaties zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. De leden van het bestuur van die entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.
De organisaties waarop de Cyberbeveiligingswet van toepassing is, moeten met advies en bijstand worden ondersteund door een CSIRT (Computer Security Incident Response Team). De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en kennisuitwisseling over maatregelen met als doeleinde het verhogen van cyberweerbaarheid.
Daarnaast zal worden toegezien op de naleving van de Cyberbeveiligingswet door de verantwoordelijke toezichthouders.

Vraag 10

Erkent u evenals bronnen uit het artikel dat het versterken van de ICT-kennis in de besturen van grote instellingen direct bijdraagt aan de cyberveiligheid van die organisaties?

De leden van het bestuur van organisaties moeten de maatregelen in het kader van de risicoanalyse goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen. Deze verplichting is onderdeel van de eerder benoemde NIS2-richtlijn en hier zal ook op worden toegezien.

Vraag 11

Op welke manier gaat u ervoor zorgen dat er meer ICT-kennis komt aan de top van kritieke instellingen? Is het versterken van de rol van de functionaris gegevensbescherming hiervoor voldoende? Kan er desnoods vanuit het Rijk bijgesprongen worden met ICT-expertise als die expertise aan de bestuurstafel mist?

De NIS2-richtlijn schrijft het bestuur van organisaties voor dat zij een cybersecurity-opleiding volgt. We hanteren in Nederland het principe dat er met de vertaling van EU-richtlijnen naar Nederlandse wet- en regelgeving zo dicht mogelijk bij de richtlijn wordt gebleven.
Een functionaris gegevensbescherming kan indien nodig ingezet worden, als dit nodig wordt geacht vanuit toezicht & handhaving. De precieze invulling hiervan volgt uit de Cyberbeveiligingswet en de bijbehorende AMvB.
Organisaties zijn zelf verantwoordelijk en dus is het niet mogelijk dat de overheid deze rol aan de bestuurstafel overneemt. Wel kunnen organisaties indien nodig een beroep doen op bijstand en expertise van de CSIRT.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Duizenden apparaten in Nederland getroffen door Chinese staatshackers»?1

Ja, alle aangeschreven bewindspersonen zijn bekend met het bericht.

Vraag 2

Sinds wanneer is deze hack bij u bekend? Hoeveel tijd is er verstreken tussen de initiële aanval en het moment dat het onder uw aandacht kwam?

De Nederlandse overheid is enkele dagen voor de publicatie van de FBI op 18 september 2024 in vertrouwen geïnformeerd over deze casus door de VS. De gehackte Nederlandse apparaten waren onderdeel van een botnet dat bekend staat in open bronnen als het Raptor Train-botnet. Dit botnet is in mei 2020 geïnitieerd. Het is niet bekend wanneer de eerste apparaten in Nederland zijn besmet. Het ging hier namelijk om een wereldwijd botnet waarvan ca. 260.000 systemen onderdeel uitgemaakt hebben, waaronder ook ruim 2000 apparaten in Nederland.

Vraag 3

Bent u bekend met welk motief Nederlandse apparaten gehackt zijn, naast het kapen van deze systemen voor het uitvoeren van andere cyberaanvallen? Was deze aanval gericht of ongericht?

Bij het opzetten van een botnet worden apparaten besmet die op dat moment eenvoudig over te nemen zijn. Het doel is meestal zo veel mogelijk verschillende apparaten onder controle te krijgen om deze later gericht te kunnen inzetten. Het botnet zelf is dus ongericht. Ook de cybersecurity advisory van de Amerikaanse diensten geeft weer dat deze cyberoperatie ongericht was.
De Chinese cyberactor, een commercieel bedrijf, hackte doorlopend en wereldwijd kwetsbare apparaten om deze toe te voegen aan het Raptor-Train botnet. Vervolgens bood deze het botnet aan als dienstverlening voor obfuscatie doeleinden. Andere Chinese cyberactoren kregen hiermee toegang tot een middel om hun cyberoperaties langs te routeren en zo de herkomst hiervan te verhullen.
Deze activiteit past binnen het normbeeld van het Chinese cyberecosysteem en de rol van commerciële bedrijven daarbinnen. Deze professionaliseerden hun operaties door gebruik te maken van gehackte infrastructuur, waaronder consumentenapparatuur, zo meldden de AIVD2 en MIVD3 in hun jaarverslagen over 2023.

Vraag 4

Welke gevolgen verbindt u aan het de aanval van Chinese staatshackers? Trekt u hierin gezamenlijk op met de andere getroffen landen?

De Joint Cyber Security Advisory4 van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren5 en het Cybersecuritybeeld Nederland (CSBN 2024)6. Met de Nederlandse Cybersecurity Strategie (NLCS)7 streeft het kabinet naar een digitaal veilig Nederland en verhoogt het de weerbaarheid tegen cyberaanvallen.
De antwoorden op vragen 5, 8, 10 en 11 hieronder geven weer welke mitigerende maatregelen zijn genomen door het National Cybersecurity Centrum (NCSC) en Digital Trust Center (DTC). Over verdere maatregelen tracht het Kabinet zoveel mogelijk naar buiten te treden, in lijn met motie Erkens, maar dit is niet altijd mogelijk. Nederland trekt hierbij zoveel mogelijk op met partners, vooral in EU- en NAVO-verband.

Vraag 5

Op welke termijn verwacht u een totaalbeeld te hebben van de gevolgen, de schaal en het motief van deze aanval? Kunt u de analyse (al dan niet vertrouwelijk) aan de Kamer doen toekomen?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren en het Cybersecuritybeeld Nederland (CSBN 2024). Verder geven de antwoorden op vragen 6, 7 en 8 hieronder weer wat het huidige, en naar verwachting zo volledig mogelijk nationale totaalbeeld over de gevolgen, de schaal en het vermoedelijk motief is.
Het NCSC heeft door tussenkomst van het Digital Trust Centre (DTC) van het Ministerie van Economische Zaken, waar mogelijk eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is daarbij een algemeen advies meegegeven aan de eigenaren. Het NCSC en het DTC hebben ook op hun websites8 9 algemeen beveiligingsadvies uitgebracht met een verwijzing naar deze Joint Cyber Security Advisory en algemene kennisproducten over het verhogen van weerbaarheid toegevoegd.

Vraag 6

Is er kritische digitale infrastructuur geraakt door deze aanval? Zijn de volledige gevolgen voor de cyberveiligheid van Nederland in beeld?

Nee, voor zover bekend waren de in Nederland besmette systemen geen onderdeel van de Rijksoverheid of vitale infrastructuur. Het ging met name om besmetting van consumentenapparaten.

Vraag 7

Is er mogelijk staatsgeheime informatie geraakt in de aanval? Met welke zekerheid kunt u dat zeggen?

Voor zover bekend waren de besmette systemen geen onderdeel van de kritische infrastructuur, er zijn geen apparaten van de Rijksoverheid of vitale infrastructuur besmet en onderdeel geweest van het Raptor-Train botnet. Voor zover bekend is het botnet ook niet door andere Chinese cyberactoren gebruikt om cyberoperaties uit te voeren tegen Nederlandse of Europese belangen. Zeer waarschijnlijk is er vanuit het botnet geen dreiging geweest voor Nederlandse staatsgeheimen. Gezien het doel van het netwerk was om cyberoperaties te verhullen, kan echter inherent niet worden uitgesloten dat dit op enig moment het geval is geweest.

Vraag 8

Op welk detailniveau is het bekend welke personen, organisaties en apparaten getroffen zijn? Welke rol speelt het Nationaal Cyber Security Centrum (NCSC) nu bij het informeren en de verdere hulpverlening van getroffenen?

Van de Nederlandse gehackte apparaten is het bekend wat de IP-adressen en MAC-adressen waren. De gebruikers van deze apparaten hebben voor zover bekend geen problemen ondervonden van de malware, omdat deze er op gericht was om internetverkeer op heimelijke wijze via het apparaat te routeren. Voor zover bekend hebben de betreffende gebruikers ook geen problemen ondervonden door de Amerikaanse verstoringsoperatie waarbij deze malware verwijderd is van hun apparaten en waarmee het botnet werd uitgeschakeld.
Het NCSC heeft een lijst gekregen met alle IP-adressen van getroffen apparaten. Partijen zijn, waar mogelijk, via het DTC geïnformeerd. Het gaat hier om een klein deel van de totale hoeveelheid getroffen apparaten in Nederland Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het niet ging om apparaten van organisaties behorende tot de doelgroep van het NCSC (Rijksoverheid of vitale aanbieders). Wel hebben zowel het DTC en het NCSC op hun website algemeen advies gepubliceerd en verwijzingen toegevoegd naar het Joint Cyber Security Advisory en bestaande kennisproducten om de weerbaarheid te verhogen.

Vraag 9

Kunt u vaststellen of de getroffen apparaten een gedeelde kwetsbaarheid hadden? Hoe kan deze kwetsbaarheid worden afgedekt? Zou de Cyber Resilience Act (CRA) voorkomen dat dergelijke hacks in de toekomst weer plaatsvinden?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten spreekt over misbruikte kwetsbaarheden in meer dan 70 verschillende typen apparaten, van meer dan 40 fabrikanten. Het betrof zowel apparaten die end-of-lifezijn als apparaten die nog door de fabrikant ondersteund worden.
Aangezien het botnet vat heeft gekregen op veel verschillende type kwetsbare apparaten is er waarschijnlijk sprake van meerdere uitgebuite kwetsbaarheden. De Cyber Resilience Act(CRA) schrijft voor dat producten met digitale elementen (hard- en software) vanaf eind 2027 aan cybersecurityvereisten moeten voldoen om in de EU op de markt te mogen worden aangeboden. Vanaf 1 augustus 2025 gelden er bovendien op grond van de radioapparatenrichtlijn al cybersecurityeisen voor het op de Europese markt aanbieden van draadloos verbonden apparatuur. De Rijksinspectie voor Digitale Infrastructuur (RDI) zal toezien op de naleving van deze eisen. De kans op kwetsbaarheden in apparatuur wordt met deze cybersecurity-producteisen aanzienlijk verkleind. Toch zullen kwetsbaarheden en hacks die daar misbruik van maken nooit volledig kunnen worden voorkomen. Om die reden krijgen fabrikanten op grond van de CRA ook een zorgplicht voor de cybersecurity van de producten gedurende de verwachte gebruiksduur, waarbij zij een gratis veiligheidsupdate moeten verstrekken zodra er een kwetsbaarheid wordt geïdentificeerd, die in beginsel automatisch wordt geïnstalleerd. Hierdoor zal de impact van een eventuele hack zo veel mogelijk worden beperkt.

Vraag 10

Welke rol hebben uw verschillende ministeries bij het verder afhandelen van de gevolgen van deze aanval?

Het NCSC heeft door tussenkomst van het DTC, waar mogelijk, eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is door het DTC een algemeen advies meegegeven aan de eigenaren. Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het voor zover bekend niet ging om apparaten van organisaties binnen de Rijksoverheid of van vitale aanbieders. Ook hebben het NCSC en het DTC op hun websites algemeen beveiligingsadvies uitgebracht om dergelijke apparaten veiliger te kunnen maken. Tevens hebben het DTC en het NCSC organisaties geattendeerd op de Joint Cyber Security Advisory en algemene kennisproducten die weerbaarheid tegen digitale aanvallen verhogen.
Het Ministerie van Buitenlandse Zaken onderhoudt contact met partners over mogelijke aanvullende maatregelen. Mochten diplomatieke vervolgstappen t.a.v. het incident in beeld komen, dan zal het Ministerie van Buitenlandse Zaken daarover de coördinatie voeren.

Vraag 11

Met welke organisaties en partijen werken uw ministeries en de NCSC samen, zowel landelijk als internationaal, om de aanval verder af te handelen?

De verdere afhandeling van deze cyberoperatie binnen Nederland is beperkt. Er zijn voor zover bekend geen vitale of overheidsbelangen getroffen waar verdere mitigatie nodig is. Door de Amerikaanse verstoringsoperatie is de malware verwijderd van de gehackte Nederlandse apparaten in het botnet. Het kabinet heeft in de communicatie rondom dit incident gewezen op de beschikbare adviesproducten op de website van het NCSC en DTC over cyberdreigingen voor kwetsbare apparaten van particulieren en midden- en kleinbedrijf om eventuele mitigatie van kwetsbaarheden.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en op zo kort mogelijke termijn beantwoorden?

Deze antwoorden zijn in samenwerking van de Ministers van Justitie en Veiligheid, Economische Zaken, Buitenlandse Zaken en Binnenlandse Zaken opgesteld en zijn op een zo kort mogelijk termijn beantwoord.

Vraag 1

Bent u bekend met het bericht «Ministeries komen belofte niet na: zakelijke appjes niet op juiste manier bewaard» van nu.nl?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Op welke termijn komt u met een reactie op het onderzoeksrapport van de Auditdienst Rijk over de naleving van de richtlijnen met betrekking tot het bewaren van berichtenverkeer?2

Gestreefd wordt om de reactie op het ADR-onderzoeksrapport voor de behandeling van de begroting van Algemene Zaken te geven.

Vraag 3

Waarom worden de nieuwe richtlijnen voor het bewaren van berichtenverkeer door Ministers en Staatssecretarissen nog steeds niet altijd goed nageleefd?

Werkprocessen en de daarbij gebruikte instrumenten om chatgesprekken op een goede manier duurzaam veilig te stellen waren ten tijde van de ADR audit in het eerste kwartaal van 2024 nog volop in ontwikkeling. Een aantal departementen heeft inmiddels diverse aanvullende, structurele verbeteringen in het werkproces doorgevoerd. Op basis van een nieuwe uitvraag van BZK gedurende de maand augustus 2024, vastgelegd in een aanvullende rapportage van CIO Rijk, blijkt dat de naleving van de instructie voor bewindspersonen duidelijk is verbeterd. Bij één bewindspersoon bleek het technisch niet mogelijk om de Whatsapp berichten uit te lezen. Bij een tweede bewindspersoon bleek dat nog niet alle whatsappberichten van de gehele kabinetsperiode waren veiliggesteld en is nog verdere actie noodzakelijk.

Vraag 4

Kunt u toelichten waarom de naleving van deze richtlijnen – die sinds 21 juni 2023 gelden – niet consistent is op alle ministeries, ondanks de expliciete oproep om het gebruik van sms- en berichtenapplicaties te beperken en om het automatisch verwijderen van berichten uit te zetten?

De meest impactvolle afwijking van de naleving, die de uitvoerbaarheid van het informatiebeheer beperkt, zat primair in de opvolging van twee maatregelen. Dit betreft het scheiden van zakelijke, partijpolitieke en privé chatgesprekken door gebruik van twee telefoons en onduidelijkheid over het al dan niet mogen verwijderen van privé en partijpolitieke chatberichten en persoonsgegevens die onderdeel uitmaken van een gearchiveerd zakelijk chatgesprek.
Aan de hand van de aanvullende rapportage van CIO Rijk kan worden geconcludeerd dat er op elk departement nu middelenscheiding is toegepast.
Daarnaast heeft de Landsadvocaat een analyse gemaakt over de noodzaak tot verwijdering van persoonsgegevens die onderdeel uitmaken van een gearchiveerd zakelijk chatgesprek. De Landsadvocaat concludeert dat verwijdering daarvan niet verplicht is3.
Wel moet er een procedure zijn ingericht om (achteraf) privé of partijpolitieke chatgesprekken of -berichten op verzoek te kunnen uitzonderen c.q. markeren in de veiliggestelde set4. Door te sturen op het -bij gebruik- bewust scheiden van zakelijke contacten en privé en partijpolitieke contacten in combinatie met het geautomatiseerd laten uitzonderen van puur privé en partijpolitieke chatgesprekken, zou deze procedure in de praktijk maar beperkt ingezet moeten worden.

Vraag 5

Hoe wordt momenteel toezicht gehouden op de naleving van deze richtlijnen bij de verschillende ministeries? Hoe wordt er toegezien op de meer subjectieve suggesties, zoals «beperk het gebruik van sms en berichtenapplicaties»?

Toezicht op de naleving van de Archiefwet door de centrale overheid is belegd bij de Inspectie Overheidsinformatie en Erfgoed. Daarnaast intensiveert CIO Rijk de frequentie van de monitoring op de veiligstelling en archivering van zakelijke chatgesprekken. Ook kan de Auditdienst Rijk, op verzoek van de politieke en ambtelijke leiding van ministeries, de beleids- en de bedrijfsvoering, waaronder het veiligstellen van zakelijke chatgesprekken, onderzoeken.
Het toezicht op de meer subjectieve suggesties uit de richtlijnen is lastig meetbaar te maken. De hoofdmaatregel ter bevordering van de naleving van meer subjectieve suggesties uit de richtlijnen bestaat uit herhaaldelijke voorlichting voor ambtenaren en bewindspersonen over hoe zij chat zakelijk kunnen en mogen gebruiken. Er wordt niet gemonitord op de mate van gebruik.

Vraag 6

Hoe wordt formeel het onderscheid gemaakt tussen bestuurlijke, partijpolitieke en privécommunicatie? Wie hakt de knoop door als er onduidelijkheid bestaat over de aard van een appje?

Partij-politieke -en privéinformatie is niet bestuurlijk van aard en valt daarmee niet onder het regime van de Archiefwet en de Wet open overheid. Partij-politieke communicatie betreft berichten van bewindslieden met partijgenoten over onderwerpen die hun partij aangaan. Dit kan betrekking hebben op zowel interne partijaangelegenheden als inhoudelijke partijpolitieke standpunten.
De definitie van privéinformatie is tweeledig: Allereerst uit het zich in met wie er wordt gecommuniceerd. Gaat het om een privépersoon, niet zijnde een werk -of bestuurlijk contact, dan betreft het bij uitstek privéinformatie. Daarnaast uit het zich in de inhoud van de communicatie. Is die niet bestuurlijk maar puur privé van aard, dan betreft het eveneens privéinformatie. Ongeacht of het een werk of bestuurlijk contact betreft5.
Alle overige communicatie wordt bestuurlijk van aard geacht. Het is aan de berichteneigenaar zelf om dit onderscheid te maken, bij voorkeur aan «de voorkant» door het gebruik van twee telefoons: een zakelijke en privételefoon. Van belang hierbij is wel om te benadrukken dat niet het gebruikte medium – de zakelijke dan wel privételefoon – maar de inhoud van bericht bepalend is voor de vraag of het onder beheer van de organisatie moet worden gebracht. Bij twijfel hierover kan de berichteneigenaar desgewenst hierover in overleg treden met de binnen de organisatie aangewezen verantwoordelijke personen voor de borging van de juiste berichten.

Vraag 7

Is het in alle gevallen terug te zien óf berichten verwijderd zijn? Heeft het (meermaals) verwijderen van chatberichten gevolgen? Hoe voorkomt u dat berichten verwijderd worden, zoals destijds gebeurde met de sms’jes van voormalig Minister-President Rutte?

Nee, met de huidige technische voorzieningen is dit niet na te gaan. De werkprocessen zijn nu echter zodanig ingericht dat informatieverlies van zakelijke chatgesprekken wordt voorkomen.

Vraag 8

Kunt u aangeven welke maatregelen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties neemt om strenger toezicht te houden op de naleving van deze richtlijnen? Zijn er sancties voor het niet naleven van deze richtlijnen en zo ja, welke?

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties scherpt de frequentie van de monitoring op de naleving van de richtlijnen aan en deelt de opgehaalde gegevens met de Inspectie Overheidsinformatie en Erfgoed. Het ministerie heeft daarbij niet het mandaat om eventuele sancties op te leggen.
De Archiefwet bepaalt welke ambtenaren toezichthouden op de naleving van de wet. Toezicht op de naleving van de Archiefwet door de centrale overheid is belegd bij de Inspectie Overheidsinformatie en Erfgoed. De Inspectie heeft wel de mogelijkheid om bestuursorganen onder verscherpt toezicht6 te plaatsen en in het uiterste geval zelfs sancties op te leggen.
CIO Rijk heeft maandelijks afstemmingsoverleg met de Inspectie rondom coördinatie en monitoring, audits en toezicht op de naleving van de Archiefwet door de centrale overheid.

Vraag 9

Wie is er binnen een departement verantwoordelijk voor het goed archiveren van zakelijke appjes? Is het nodig om een bepaalde functionaris in een departement hier een mandaat voor te geven?

In de Archiefwet 1995 staat wie op welk moment de zorgdrager is. Voor departementen zijn dit de Ministers.
De uitvoering van deze archivering is via ondermandatering vastgelegd in afzonderlijke organisatie- en mandaatbesluiten. Op de website van de inspectie staan een aantal voorbeelden van archiefbeheersregels7

Vraag 10

Waarom verschilt de manier waarop het bewaren van berichtenverkeer wordt aangepakt per departement? Leidt dit volgens u tot uiteenlopende naleving van de richtlijnen?

Hier geeft het rapport van de ADR een uitgebreide verklaring voor. De werkprocessen waren bij een aantal organisaties nog in ontwikkeling waarbij verschillende operationele keuzes zijn gemaakt. Ook worden er verschillende technische oplossingen voor de veiligstelling van chatgesprekken toegepast.
De vereiste spoed in het daadwerkelijk realiseren van veiligstelling van zakelijke chatgesprekken had niet kunnen worden betracht als de organisaties hadden moeten wachten op een uniforme Rijksbrede invoering van een voorziening voor chatgesprekkenarchivering. Om uiteenlopende naleving te verminderen zijn dus nog nadere harmonisatieslagen nodig in de uitvoering van beleid. Ook zal de inzet van een Rijksbrede voorziening inclusief dienstverlening hierbij gaan helpen.

Vraag 11

Waarom wordt het proces van veiligstellen van berichtenverkeer als omslachtig en arbeidsintensief beschouwd? Hoe wilt u dit proces automatiseren en makkelijker maken, zodat er een geoliede routine ontstaat voor het bewaren van berichtenverkeer?

Het handmatig selecteren van privé en partijpolitieke chatberichten in veiliggestelde zakelijke chatconversaties is een arbeidsintensief proces. Het bij gebruik aan de voorkant scheiden van privé, partijpolitieke en zakelijke chatgesprekken (door privé en partijpolitieke gesprekken via een privé telefoon te laten verlopen en zakelijke chatgesprekken via de zakelijke telefoon) in combinatie met een voorziening voor het geautomatiseerd veiligstellen van zakelijke chatgesprekken, maakt het informatiebeheer minder arbeidsintensief en voorkomt willekeur in selectie.

Vraag 12

Betrekt u de verkenning van een in eigen beheer zijnde chatapplicatie (conform de motie-Palmen) bij het verbeteren van de digitale archivering? Is het technisch mogelijk om een dergelijke applicatie interoperabel te maken met de meest populaire chatdiensten en deze ook te voorzien van een functie om gesprekken in uitleesbaar format te exporteren?3

Na een eerste verkenning en afstemming van de Open Source Software Tchap met de eigenaar DINUM9, is in augustus 2024 besloten tot het uitvoeren van een Proof of Concept. Dit initiatief maakt onderdeel uit van het ontwerp van een nieuwe werkplek voor de Rijksdienst en interoperabiliteit met populaire chatdiensten is ook een onderwerp wat daarin wordt meegenomen.
Eventuele inzet van de Franse voorziening bij de Nederlandse (Rijks)overheid is een complexer en langduriger traject dan het inzetten van nu al beschikbare technische oplossingen. Gedurende 2024 is er een technische pilot uitgevoerd met software die zakelijke chatgesprekken veiligstelt.
Op basis van deze succesvolle pilot heeft de Rijksorganisatie voor Informatiehuishouding de opdracht gekregen om tussentijds een Rijksbrede voorziening te realiseren op basis van interoperabele technieken uit de markt die het zakelijke chatverkeer van bewindspersonen en geselecteerde Rijksambtenaren kunnen afvangen en archiveren.

Vraag 13

Wat wordt er gedaan om de cultuur van informatiebeheer binnen de Rijksoverheid te verbeteren? Hoe wordt ervoor gezorgd dat alle betrokkenen zich bewust zijn van het belang van zorgvuldig informatiebeheer en bekend zijn met de beste maatregelen die zij zelf kunnen nemen?

Naast aanpassing van de gedragsregeling voor de digitale werkomgeving voor rijksambtenaren en het handboek voor bewindspersonen gedurende 2024, wordt ook de ambtseed voor rijksambtenaren vernieuwd. Voor de invoering van de vernieuwde ambtseed per 1 januari 2025 wordt ook een informatiecampagne voorbereid voor het vergroten van het bewustzijn van het belang van zorgvuldig informatiebeheer en het daarbij behorende gedrag.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja, de vragen zijn afzonderlijk beantwoord.

Vraag 1

Bent u bekend met de inhoud van het voorstel tot chatcontrole dat op de agenda van de Raad van de Europese Unie staat?1

Ja.

Vraag 2

Is u bekend wanneer dit voorstel in de Raad besproken en in stemming gebracht zal worden?

Het voorstel van het Hongaarse voorzitterschap is voor het eerst op hoofdlijnen met de lidstaten besproken tijdens de Coreper-vergadering van 4 september jl. Ten grondslag aan deze bespreking lag een nota van het Voorzitterschap met daarin de kaders voor het voorstel. De compromistekst van het voorstel is vervolgens op 9 september jl. met de lidstaten gedeeld. Tot een vaststelling van een Algemene Oriëntatie is het tot dusver nog niet gekomen. Het Hongaarse voorzitterschap streeft nog steeds naar het bereiken van een algemene oriëntatie over deze Verordening. Om die reden is het de verwachting dat het voorstel geagendeerd zal worden voor de JBZ-raad van 12 en 13 december.

Vraag 3

Wat is het standpunt van het kabinet ten aanzien van dit voorstel en van overige maatregelen van chatcontrole waarbij end-to-endversleuteling generiek verzwakt of omzeild wordt?

Het kabinet erkent de urgentie van de bestrijding van kinderpornografisch materiaal volledig en is voorstander van EU-regelgeving voor het tegengaan van de verspreiding van kinderpornografisch materiaal. Deze opgave is ook opgenomen in het regeerprogramma van het kabinet.
Binnen het EU-voorstel voor de CSAM-verordening staat een bepaling die het mogelijk maakt om, als laatste redmiddel en als alle andere middelen onvoldoende resultaat hebben opgeleverd, een detectiebevel aan een aanbieder van een tussenhandeldienst of interpersoonlijke communicatiedienst op te leggen. Nederland heeft op dit punt altijd gehandeld binnen het kader van de in 2022 aangenomen motie-Van Raan, die inhoudt dat Nederland geen voorstellen ondersteunt die end-to-end encryptie onmogelijk maken.2
Ook stelde het kabinet eerder vast dat client-side scanning ten aanzien van berichtendiensten die gebruik maken van end-to-end encryptie de enige technische manier is om, binnen die diensten, het detectiebevel uit te voeren op een wijze die end-to-end encryptie niet onmogelijk maakt. Dit standpunt en de onderbouwing is met uw Kamer gedeeld.3
Op 29 november jl. heb ik uw Kamer, naar aanleiding van de motie Kathmann c.s.,4 voorzien van een brief welke de uitgangspunten inzake de positie van Nederland voor de onderhandelingen in Brussel, specifiek ten aanzien van het detectiebevel, bepaalt. Met de informatie die nu voorhanden is, zal het kabinet geen voorstellen over verplichte detectie ondersteunen die in de praktijk uitsluitend kunnen worden uitgevoerd door middel van client-side scanning,vanwege de gevolgen voor de digitale weerbaarheid. Het kabinet concludeert dat voorstellen voor verplichte detectie op dit moment niet ondersteund kunnen worden of nadere bestudering vergen. De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein zijn op dit moment onvoldoende weggenomen. De techniek is in ontwikkeling en er is nog weinig studie naar gedaan. Met het oog op de noodzakelijke zorgvuldigheid is meer tijd nodig om het Nederlandse standpunt op dit aspect nader te concretiseren en in te vullen.
Mocht de Verordening voor besluitvorming op de JBZ-Raad agenda van 12 en 13 december a.s. blijven staan, dan zal Nederland de eerder ingenomen positie herhalen. Nederland zal actief kenbaar maken zich te onthouden van stemming en daarmee worden gerekend tot de landen die de algemene oriëntatie niet steunen.
Voor een uitgebreide toelichting over het kabinetsstandpunt bij dit voorstel en, in het bijzonder over het zogeheten detectiebevel, verwijs ik naar de Kamerbrieven van 1 oktober 2024 en 29 november jl.

Vraag 4

Hoe verhoudt het kabinetsstandpunt zich tot artikel 10 van de Grondwet: het recht op eerbiediging van de persoonlijke levenssfeer?

Artikel 10 van de Grondwet waarborgt de persoonlijke levenssfeer van individuen. Hoewel het recht op privacy fundamenteel is, is het niet onbeperkt. Beperkingen op dit recht zijn toegestaan wanneer deze bij wet worden vastgesteld en noodzakelijk zijn voor een legitiem doel, zoals de bestrijding van criminaliteit of de bescherming van kinderen, en voldoen aan de algemene eisen van proportionaliteit en subsidiariteit en de specifieke eisen die de Grondwet stelt.
Voor wat betreft privacy-inbreuken zal Nederland geen voorstellen ondersteunen die verplichte detectie in de privécommunicatie van alle burgers inhouden, conform het verzoek aan de regering dat is neergelegd in de voornoemde motie Kathmann c.s.
De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein, zijn op dit moment onvoldoende weggenomen om met de Verordening in te kunnen stemmen.

Vraag 5

Hoe verhoudt het kabinetsstandpunt zich tot artikel 13 van de Grondwet: het recht op eerbiediging van het telecommunicatiegeheim?

De doelstelling van artikel 13 Grondwet betreft het beschermen van de vertrouwelijkheid van de communicatie. Deze bescherming houdt in dat de overheid en andere partijen niet zonder wettelijke grond en zonder rechterlijke toestemming, of (in het belang van de nationale veiligheid) machtiging van hen die daartoe bij de wet zijn aangewezen, privécommunicatie mogen onderscheppen, monitoren of doorzoeken. Die bescherming geldt met én zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om je daartegen te beschermen.
Net als bij artikel 10 van de Grondwet (recht op privacy) staat ook bij artikel 13 Grondwet de vraag centraal in welke mate de staat inbreuk kan maken op dit recht ten behoeve van een legitiem doel, zoals de bestrijding van online kindermisbruik. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.
Ook hiervoor geldt dat de zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten op dit moment onvoldoende weggenomen.

Vraag 6

Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Hof van Justitie van de Europese Unie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?2

Zoals benoemd in de beantwoording van eerdere Kamervragen over dit onderwerp ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems.6 , 7 Het Europese Hof gaf hierin aan dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het EU-Handvest gewaarborgd». Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelden in deze zaak.

Vraag 7

Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Europees Hof voor de Rechten van de Mens, namelijk: «Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving»?3

Voor de beantwoording van deze vraag verwijs ik naar de beantwoording van eerdere Kamervragen, waar wordt ingegaan op de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland en hoe deze uitspraak zich verhoudt tot het standpunt van het kabinet.9

Vraag 8

Hoe verhoudt het kabinetsstandpunt zich tot het proportionaliteitsbeginsel uit artikel 3:4 van de Algemene wet bestuursrecht?

Het proportionaliteitsbeginsel uit artikel 3:4 van de Algemene wet bestuursrecht (Awb) vereist dat een bestuursorgaan bij het nemen van besluiten een evenwichtige belangenafweging maakt en dat de nadelige gevolgen van een besluit niet onevenredig mogen zijn in verhouding tot het doel dat ermee wordt gediend. Op het kabinetsstandpunt als zodanig is de Awb niet van toepassing en het hoeft dan ook niet te voldoen aan de eisen van artikel 3:4, eerste lid, Awb.
Voor zover de vraag is of het kabinetsstandpunt evenredig is, benadruk ik nogmaals dat het kabinet van mening is dat op dit moment onvoldoende duidelijkheid bestaat over de impact van het detectiebevel. De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein, zijn op dit moment onvoldoende weggenomen om met het voorstel in te kunnen stemmen.

Vraag 9

Wilt u deze vragen afzonderlijk, onderbouwd en binnen drie weken beantwoorden?

Het is helaas niet gelukt om uw Kamer binnen de termijn van een beantwoording op deze vragen te voorzien.

Vraag 1

Bent u bekend met het onderzoek van Trollrensics over desinformatienetwerken op sociale media met als doel de Europese verkiezingen van 2024 te beïnvloeden?1

Ja, hiermee zijn we bekend.

Vraag 2

Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?

Ja. Heimelijke beïnvloeding ondermijnt onze democratische rechtsstaat en het vertrouwen in onze democratische instituties. Daarmee vormt het een bedreiging voor onze nationale veiligheid. Het is voor het kabinet van groot belang om dreigingen tegen onze samenleving tegen te gaan.

Vraag 3

Beamen de AIVD, MIVD en NCTV de resultaten van het onderzoek volledig? Met hoeveel zekerheid is te zeggen dat in Nederland niet op dezelfde schaal campagnes zijn gevoerd door buitenlandse mogendheden tijdens de verkiezingen van 2024?

Onze inlichtingen- en veiligheidsdiensten waarschuwen al langere tijd dat inmengingsactiviteiten van andere landen in toenemende mate een bedreiging vormen.2 Het netwerk ontdekt door Trollrensics was actief in Frankrijk, Duitsland en Italië. In Nederland werd het niet waargenomen. Dit netwerk past in het normbeeld waarbij Rusland voortdurend probeert westerse beeld- en besluitvorming te beïnvloeden ten gunste van Rusland, maatschappelijke tegenstellingen probeert aan te wakkeren en te versterken en onderlinge eenheid te ondermijnen. In de openbare jaarverslagen van de AIVD en MIVD is te lezen dat Rusland zijn heimelijke beïnvloedingsactiviteiten vooral op grote Europese landen richt. Dat betekent niet dat er geen risico is voor Nederland op heimelijke beïnvloeding vanuit Rusland. Rusland stelt zich in deze opportunistisch op en is in staat om in te spelen op zich voordoende kansen in kleinere landen. Bovendien kunnen beïnvloedingscampagnes tegen bondgenoten ook indirect gevolgen hebben voor Nederland.

Vraag 4

Hebben de AIVD en MIVD signalen opgevangen dat soortgelijke desinformatiecampagnes in Nederland zijn gevoerd tijdens de verkiezingen van 2024? Zo ja, zijn deze effectief bestreden? Wat was de schaal van deze campagne(s)?

De diensten hebben een divers instrumentarium om heimelijke beïnvloeding te onderzoeken en waar nodig de samenleving, instanties en/of personen te alerteren. Het kabinet kan in het openbaar geen mededelingen doen naar waar de inlichtingen- en veiligheidsdiensten al dan niet onderzoek naar doen. Het is voor het werk van de inlichtingen- en veiligheidsdiensten immers van doorslaggevend belang dat zij in het belang van onze nationale veiligheid, geheimhouding en bronbescherming waarborgen. U kunt ervan uitgaan dat de diensten hun wettelijke bevoegdheden kunnen en zullen inzetten om heimelijke beïnvloeding te onderkennen en waar mogelijk, tegen te gaan.

Vraag 5

Draagt Nederland als wereldwijde host van online diensten, waaronder servers die gebruikt worden in Russische desinformatiecampagnes zoals recent bevestigd door de AIVD2, een bijzondere verantwoordelijkheid in het bestrijden van desinformatie? Zo ja, hoe kan hier effectief tegen worden opgetreden met respect voor de privacy van onschuldige internetgebruikers?

Aanbieders van hostingdiensten (inclusief online platformen) hebben bepaalde verantwoordelijkheden voor de informatie die zij hosten, die nader beschreven staan in de Digitaledienstenverordening (DSA). Dit betekent onder andere dat wanneer desinformatie de vorm heeft van illegale inhoud de DSA diverse bepalingen bevat die aanbieders van hostingdiensten een verantwoordelijkheid geven in de bestrijding daarvan. Artikel 6 DSA bepaalt dat aanbieders van hostingdiensten in beginsel niet aansprakelijk zijn voor informatie die gebruikers op hun servers plaatsen en opslaan. Zodra zij er echter kennis van krijgen dat ze illegale inhoud hosten, dan zijn ze verplicht om prompt te handelen en die inhoud te verwijderen of de toegang ertoe te blokkeren. Doen ze dat niet, dan kan de Europese Commissie, als toezichthouder van de DSA, ze wél aansprakelijk stellen voor die illegale inhoud. De DSA verplicht hen ook om meldingen van illegale inhoud mogelijk te maken en verduidelijkt dat dergelijke meldingen leiden tot kennis in de zin van artikel 6 (artikel 16, derde lid). Daarmee is er niet alleen een verplichting maar ook een prikkel om dat soort meldingen op te volgen.
Een puur hostingsbedrijf kan veelal niet ingrijpen op het niveau van specifieke inhoud van internetgebruikers, maar wel op het niveau van een hele server of website. Bijvoorbeeld door die ontoegankelijk te maken. Ingrepen door hostingbedrijven zijn daardoor over het algemeen minder proportioneel dan ingrepen door de website-eigenaar of de dienst die op de servers van het hostingbedrijf draait.
Niet alle desinformatie is illegaal. Niettemin kan het schadelijk zijn. Voor die gevallen bevat de DSA verplichtingen voor zeer grote online platformen. Zeer grote online platformen zoals X moeten daardoor in aanvulling op de verplichtingen waar alle aanbieders van hostingdiensten aan dienen te voldoen, verantwoordelijkheid nemen tegen desinformatiecampagnes, bijvoorbeeld in de vorm van niet-authentieke manipulatie van die diensten, op hun platformen. Dit probleem moet Europa-breed en bij de bron worden aangepakt. Artikel 34 en 35 van de DSA, die betrekking hebben op risicobeoordeling en risicobeperking, verplichten sociale media platforms als X of Facebook om maatregelen te nemen tegen gecoördineerd niet-authentiek gedrag en desinformatiecampagnes. Het is de Europese Commissie die hierop toezicht houdt vanuit de Digital Services Act (DSA). Meer informatie over de wijze waarop de Europese Commissie dit heeft ingevuld rondom de Europese Parlementsverkiezing is te vinden in het recentelijk gepubliceerde rapport hierover.4

Vraag 6

Zijn er nog andere voorbeelden bekend waar Nederland een faciliterende rol speelde in beïnvloedingscampagnes gericht op andere landen? Hoe wordt dit ondervangen?

Nederland is een belangrijk knooppunt in mondiale digitale netwerken en infrastructuur. Het is voor veel statelijke actoren aantrekkelijk om misbruik te maken van Nederlandse ICT-infrastructuur, omdat deze van hoge kwaliteit is en eenvoudig is in te zetten. De AIVD, MIVD en NCTV waarschuwen daarom al langer voor het risico van misbruik van Nederlandse infrastructuur door statelijke actoren.5 Het is een belangrijke bevoegdheid en tegelijkertijd een taak van de AIVD en de MIVD om heimelijke beïnvloeding te onderkennen en tegen te gaan. Ook als de beïnvloeding in een ander land plaatsvindt en gebruik maakt van Nederlandse infrastructuur. Op 9 juli jl. is uw Kamer geïnformeerd over de verstoring van een Russische digitale beïnvloedingsoperatie, gericht op de beïnvloeding van het publieke debat in de Verenigde Staten van Amerika. Bij deze beïnvloedingsoperatie werd gebruik gemaakt van een server in Nederland. De MIVD rapporteerde in 2022 over routers die door de Russische militaire inlichtingendienst (Glavnoje Razvedyvatelnoje Oepravlenije, GROe) gebruikt worden als aanvalsinfrastructuur en de verstoring van dat netwerk.6 In 2023 zag de MIVD dat Russische actoren gebruik blijven maken van gehackte infrastructuur van onschuldige gebruikers ten behoeve van digitale spionage-, sabotage- en beïnvloedingsactiviteiten.7
Het is van belang om de Nederlandse ICT-infrastructuur in generieke zin weerbaarder te maken tegen misbruik, daarom zet het kabinet in op de uitvoering van de Nederlandse Cybersecurity Strategie.8

Vraag 7

Doet de regering uws inziens voldoende om desinformatiecampagnes in Nederland als ook beïnvloedingscampagnes die gehost worden vanuit Nederland tegen te gaan?

Het kabinet heeft in de Voortgangsbrief Rijksbrede strategie desinformatie, die in juni aan de Tweede Kamer is verzonden, beschreven wat zij deed en welke nieuwe acties zij voornemens zijn te ondernemen. Deze acties zijn onder andere gericht op het versterken van de weerbaarheid van burgers tegen desinformatie.9
Zie verder het antwoord op vraag 5.

Vraag 8

Zijn er tijdens de Europese verkiezingen in 2024 aanvullende maatregelen genomen om desinformatienetwerken tegen te gaan? Zo ja, welke en bleken deze effectief? Zo nee, waarom niet?

Ja, er zijn maatregelen genomen in aanvulling op reeds bestaande maatregelen, zowel in samenwerking op Europees niveau, als aanvullende maatregelen op nationaal niveau.
De Europese Dienst voor extern optreden (EDEO) heeft netwerken van statelijke actoren tijdens de Europese verkiezingen beter in beeld gebracht door deze te identificeren en hierover artikelen te publiceren op de website EUvsDisinfo.10
De Europese Commissie heeft met enkele van de sociale media platformen, NGO’s en nationale toezichthouders, waaronder de ACM, een zogenoemde «stresstest» gevoerd. Hierbij testte de Commissie samen met de platformen of zij klaar waren voor heimelijke verkiezingsbeïnvloeding, zoals desinformatienetwerken, op hun platform en hoe daarmee om te gaan.11 Verder heeft de Commissie richtsnoeren gepubliceerd voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOPS en VLOSE) inzake de beperking van systeemrisico’s voor verkiezingsprocessen.12 Sinds de inwerkingtreding van de DSA is de ACM in Nederland aangewezen als digitaledienstencoördinator. Bij de afgelopen EP-verkiezing was de ACM betrokken bij onder andere de verkiezingstafel.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt samen met andere EU-lidstaten via mechanismen zoals het Rapid Alert System (RAS), de voor de verkiezingen ingestelde geïntegreerde regeling politieke crisis­respons (IPCR) en het European Cooperation Network on Elections (ECNE) om informatie en acties te coördineren en de weerbaarheid te vergroten.
Op nationaal niveau neemt het Ministerie van BZK tijdens de verkiezingen standaard extra maatregelen om de effecten van desinformatienetwerken te verminderen.13 Dit gaat op de eerste plaats om begrijpelijke en transparante communicatie over het verkiezingsproces en de stemprocedure. Als burgers weten hoe het verkiezingsproces werkt, zijn ze minder vatbaar voor desinformatie over dit onderwerp. Daarnaast organiseerde het Ministerie BZK wederom een verkiezingstafels voor vertegenwoordigers van de gemeenten, de Kiesraad en alle veiligheidspartners (Politie, OM, ACM en betrokken ministeries), waar mogelijke risico’s worden besproken die ondermijnend zijn voor het verkiezingsproces. Verder organiseerde het ministerie een webinar voor gemeenteambtenaren waar specifiek is ingegaan op het tegengaan van desinformatie.
Tot slot kan het Ministerie van BZK in bijzondere gevallen haar trusted flagger status inzetten, waardoor meldingen door sociale media platformen met prioriteit worden behandeld. De sociale mediabedrijven maken hierbij altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of actie gerechtvaardigd is. Het ministerie heeft geen bevoegdheid bepaalde content te laten verwijderen. Deze status is voor de EP-verkiezing eenmalig ingezet bij het platform X om een algemene waarschuwing te geven dat er wellicht valse berichten worden verspreid over het verkiezingsproces. Uw Kamer wordt hierover nader geïnformeerd in de evaluatie van de EP-verkiezingen. De Minister van BZK streeft ernaar deze evaluatie begin november aan uw Kamer toe te sturen.
Uit rapporten van de onder de DSA opgerichte Europese digitaledienstenraad en de EDMO (het factcheckers consortium) Task Force blijkt dat er, ondanks pogingen van desinformatienetwerken, geen grote of structurele problemen zijn geweest bij de Europese verkiezingen.14 Ook de nieuwe, onder de DSA opgerichte, Europese digitaledienstenraad concludeert op dit moment dat er geen grootschalige of systemische incidenten hebben plaatsgevonden waardoor het verloop van de Europese verkiezingen is verstoord.15

Vraag 9

Biedt de bestaande Europese wet- en regelgeving, met name via de Digital Services Act, voldoende mogelijkheden om op te treden tegen desinformatiecampagnes? Welke nationale en Europese maatregelen zijn er verder nog nodig om desinformatie effectief te bestrijden?

Ja, de desinformatiecampagnes zoals omschreven in het onderzoek van Trollrensics, vonden plaats op X. Dit platform geldt als een zeer grote online platform en valt sinds augustus 2023 onder de DSA. De DSA bevat verschillende bepalingen over inhoudsmoderatie door aanbieders van online tussenhandeldiensten. Volgens de definitie van het begrip «inhoudsmoderatie» (artikel 3, onderdeel t, van de DSA) gaat het dan om zowel illegale inhoud als om informatie die in strijd is met de algemene voorwaarden die de aanbieder toepast, bijvoorbeeld omdat hij deze onwenselijk of schadelijk acht. Desinformatie kan zowel de vorm aannemen van illegale inhoud als schadelijke inhoud. In het geval van het laatste, kan desinformatie en andere schadelijke inhoud vallen onder contractuele beperkingen die in de algemene voorwaarden opgenomen zijn. Daarnaast kan desinformatie ook vallen onder zogenaamde «systeemrisico» zoals beschreven in artikel 34 van de verordening. Tegen dergelijke schadelijke inhoud moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken.
Aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines moeten daarom, bij de beoordeling van systeemrisico’s, bijzondere aandacht besteden aan de manier waarop hun diensten (kunnen) worden gebruikt om misleidende of bedrieglijke inhoud, met inbegrip van desinformatie en gecoördineerde desinformatiecampagnes, te verspreiden of versterken. Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om toezicht te houden op zeer grote online platformen en onlinezoekmachines. Bij het treffen van maatregelen moeten platformen de rechten van burgers beschermen, zoals het recht op privacy en de vrijheid van meningsuiting.
Daarnaast is uw Kamer recentelijk geïnformeerd over de nieuwe maatregelen die wij nemen in de Rijksbrede strategie voor de effectieve aanpak van desinformatie.16 Het Ministerie van BZK heeft opdracht gegeven tot een brede verkenning waarin wordt onderzocht hoe de kwaliteit van het open publieke debat beter kan worden gewaarborgd. Daarbij wordt onderzocht welke kwetsbaarheden het open publieke debat kent, waaronder de wijze waarop desinformatie de Nederlandse democratische rechtsstaat kan ondermijnen en welke interventies het open publieke debat beter kunnen beschermen. Over dit onderzoek en de eerste resultaten wordt uw Kamer eind 2024 geïnformeerd.

Vraag 10

Doen grote online platforms volgens u voldoende om desinformatiecampagnes op hun kanalen te bestrijden? Zo ja, waaruit blijkt dat? Zo niet, van welke online platforms verwacht u meer actie en is de Digital Services Act, onder andere, voldoende uitgerust om hen hiertoe te dwingen?

De DSA verplicht zeer grote online platforms en zoekmachines om tenminste jaarlijks een risicobeoordeling te verrichten om te onderzoeken of hun diensten vatbaar zijn voor systeemrisico’s. De verspreiding van desinformatie kan zo’n systeemrisico vormen. Indien dergelijke systeemrisico’s aanwezig zijn, moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken. Dergelijke maatregelen kunnen de aanpassing van hun diensten, online-interfaces, algemene voorwaarden inhoudsmoderatieprocedures, algoritmische systemen of aanbevelingssystemen omvatten.
Het is nu nog te vroeg om volledig te kunnen vaststellen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om systeemrisico’s, waaronder de verspreiding van desinformatie, te mitigeren. Dat oordeel is in de eerste plaats aan de Europese Commissie als bevoegde toezichthouder. In het geval van niet-naleving van de bepalingen door zeer grote online platformen en zeer grote onlinezoekmachines kan de Europese Commissie handhavingsmaatregelen. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de wereldwijde omzet van een zeer groot online platform.
De Europese Commissie is voortvarend gestart met het toezicht, ook op de verplichtingen van artikel 34 en 35 DSA. Op 18 december 2023 is ze een formele procedure gestart tegen X. Onder meer omdat ze twijfelt aan de doeltreffendheid van de maatregelen die X neemt ter bestrijding van desinformatie. Deze procedure loopt nog. Op 12 juli j.l. heeft de Europese Commissie zijn voorlopige bevindingen naar X gestuurd.17 Daarnaast is ze een formele procedure gestart tegen Meta. De systeemrisico-analyses van Meta, de risico’s van desinformatie, en de maatregelen die Meta daartoe heeft genomen zijn onderdeel van die procedure.18 Wij volgen de voortgang van deze procedures en ondersteunen de Europese Commissie waar nodig in haar rol als toezichthouder op de naleving van de DSA.

Vraag 11

Welke stappen gaat u nemen om samen met uw ambtsgenoten in de EU op te treden tegen deze vorm van buitenlandse verkiezingsbeïnvloeding? Bepleit u samen met hen een gezamenlijke boodschap richting de nieuwe Europese Commissie?

Het hoofdlijnenakkoord omschrijft dat de overheid zich inzet om de maatschappij weerbaar te maken tegen desinformatie. Dit belang dragen we ook in de EU uit. Het kabinet staat in EU verband in nauw contact met andere landen waar het buitenlandse beïnvloeding betreft. Concrete voorbeelden hiervan zijn het Europese Rapid Alert System (RAS) en het European cooperation network on elections (ECNE). In deze gremia zijn onder andere signalen over desinformatie, maatregelen om hiermee om te gaan en de laatste wetenschappelijke inzichten uitgewisseld. Leden van de Europese lidstaten doen mee om de negatieve impact van desinformatie zo effectief mogelijk aan te pakken en van elkaar te leren. Via deze wegen worden ook FIMI-campagnes19 gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Waar nodig wordt gekeken naar een gezamenlijke reactie. Nederland participeert actief, o.a. door via het Rapid Alert System vertaalde versies van de Rijksbrede Strategie en de Kamerbrief Weerbaarheid Verkiezingsproces te delen.
De nieuwe Europese Commissie zal op het onderwerp desinformatie nieuwe stappen willen zetten. Dat blijkt uit de politieke richtlijnen van de herkozen Commissievoorzitter.20 Het is nu aan de Commissie om binnen hun mandaat met nieuwe voorstellen te komen. Uw Kamer wordt hier te zijner tijd over geïnformeerd.

Vraag 12

Wat is de stand van zaken van de motie van de leden Piri en Paternotte over het in de Europese Raad pleiten voor onderzoek naar buitenlandse inmenging in de Europese Parlementsverkiezingen?3

Deze motie is uitgevoerd. De Minister-President heeft tijdens de informele Europese Raad van 17 juni 2024 zijn zorgen overgebracht over mogelijke buitenlandse inmenging in de EP-verkiezingen.22 De Minister-President gaf daarbij aan dat een onderzoek wenselijk is als er indicaties van inmenging zijn. Een dergelijk onderzoek op Europees niveau zou in de eerste plaats aan het EP zijn, in samenwerking met de Belgische autoriteiten.

Vraag 13

Kunt u de vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.

Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.

Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.

Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.

Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.

Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.

Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.

Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.

Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.

Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.

Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.

Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.

Vraag 1

Bent u bekend met het voorwoord uit het CTIVD Jaarverslag 2023, waarin ook wordt gesteld dat het niet is gelukt om «in de benodigde werkruimte te voorzien» en «de CTIVD daarom aan de uitbreiding van de organisatie nog steeds geen opvolging kan geven»?1

Ja.

Vraag 2

Bent u eveneens bekend met het bericht «Controle op geheime diensten is vanaf 1 juli «niet meer mogelijk»» van Follow the Money (17 juni 2024)?2

Ja.

Vraag 3

Kunt u uitleggen waarom het nog steeds niet is gelukt om de benodigde werkruimte en uitbreiding van 10 fte te realiseren bij de Commissie Toezicht Inlichtingen- en Veiligheidsdiensten (CTIVD), die u sinds 2022 heeft toegezegd en noodzakelijk is voor het goed uitvoeren van de Tijdelijke wet op de inlichtingen- en veiligheidsdiensten (Tijdelijke wet)? Wat is daarin uw verantwoordelijkheid?

Het kabinet zoekt al geruime tijd naar geschikte huisvesting voor de CTIVD. Dit is geen gemakkelijke opgave gebleken. Zoals ook in de brief van 26 juni jl. aan uw Kamer gesteld is het zo dat gelet op het bijzondere karakter van de CTIVD, die zelfstandig toegang heeft tot alle systemen van de AIVD en MIVD en daarnaast ook eigen systemen gebruikt voor de verwerking van staatsgeheime gegevens, worden er hoge eisen gesteld aan de huisvesting.3 Het gaat om eisen die vergelijkbaar zijn met de eisen aan de huisvesting van de diensten zelf en die dus niet eenvoudig in reguliere kantoorpanden zijn te realiseren. Inmiddels is zowel een lange termijnoplossing als een overbruggingsoplossing gevonden. De verantwoordelijkheid voor werving van geschikt personeel ligt bij de CTIVD zelf.

Vraag 4

Deelt u de mening van de CTIVD, die toezicht moet houden op de inlichtingendiensten, dat zij «het toezicht dat de Ministers nu beloofd hebben gewoon niet waar [kunnen] maken»? Zo ja / nee, kunt u toelichten waarom?

Zoals is aangegeven in de brief die door het vorige kabinet is verstuurd op 26 juni 2024, is in zijn algemeenheid op te merken over de werkbelasting van de CTIVD dat deze niet direct na de inwerkingtreding van de Tijdelijke wet in volle omvang zijn beslag krijgt, gelet op het gegeven dat er enige tijd overheen gaat alvorens nieuwe wetgeving volledig wordt toegepast en tot grotere toezichts-belasting leidt. Een deel van de voorzieningen in de Tijdelijke wet brengt geen extra werkbelasting voor de CTIVD met zich mee, omdat hiervoor al een voorziening is getroffen en een werkproces is ingeregeld door de CTIVD of omdat deze voorzieningen onafhankelijk zijn van de accentverschuiving binnen het stelsel van toetsing en toezicht. Inmiddels is afgesproken dat ook verkennen in het kader van de hackbevoegdheid tot uitvoerbaar toezicht leidt voor de CTIVD. Aan deze bevoegdheid wordt door de AIVD en de MIVD dus ook toepassing gegeven. De CTIVD heeft aangegeven geen toezicht te kunnen houden op de overige bepalingen uit de Tijdelijke wet, omdat de daarvoor benodigde cyberspecialisten voor een groot deel belast zijn met werkzaamheden voor de huisvestingsproblematiek. Toepassing van deze bevoegdheden onder de condities van de Tijdelijke wet zal dus pas plaatsvinden nadat de CTIVD de tijdelijke huisvesting betrokken heeft. De praktijk zal doorlopend gemonitord worden. Op deze manier zal worden gewaarborgd dat de toepassing van bevoegdheden uit de nieuwe wet zal «ingroeien» in de uitvoerings- en toezichtspraktijk. Hierbij de notie dat de Tijdelijke wet géén uitbreiding is van bevoegdheden voor de AIVD en de MIVD, maar een nadere invulling en verduidelijking van bevoegdheden geeft die reeds in de Wiv 2017 waren geïntroduceerd.

Vraag 5

Kan de Tijdelijke wet, gezien de kern van deze wet was om het toezicht op de bevoegdheden van de inlichtingendiensten te verschuiven van vóóraf naar áchteraf, op verantwoorde wijze van kracht gaan als de CTIVD zelf aangeeft dat zij niet in staat is om achteraf toezicht te houden?

Zie antwoord vraag 4.

Vraag 6

Acht u de gevolgen voor de kwaliteit van het toezicht door de CTIVD, door het niet op orde hebben van de huisvesting en extra capaciteit, verantwoord? Zo ja, kunt u toelichten hoe lang u deze situatie verantwoord acht? Zo nee, wat betekent dit voor de geplande invoering van de Tijdelijke wet?

Zoals aangegeven in de antwoorden 4 en 5, zal de toepassing van bevoegdheden uit de nieuwe wet zal «ingroeien» in de uitvoerings- en toezichtspraktijk. Dit acht het kabinet verantwoord. De CTIVD zal per januari 2025 in volle formatie, inclusief de 10 fte voor het toezicht op de toepassing van de Tijdelijke wet, op één locatie gehuisvest worden.

Vraag 7

Bent u van mening dat, zolang de CTIVD niet op sterkte is en toestemming achteraf voor de inzet van bevoegdheden niet verleend kan worden, die bevoegdheden wél met de goedkeuring vooraf van de Toetsingscommissie Inzet Bevoegdheden (TIB) ingezet moeten kunnen worden? Biedt de wet daartoe de mogelijkheid en gaat u deze inzetten? Zo nee, deelt u dan de mening dat u, zolang de CTIVD niet op sterkte is, geen toestemming voor de inzet van versnelde bevoegdheden moet verlenen? Kunt u uw antwoord toelichten?

Wanneer de diensten bij de uitoefening van een bijzondere bevoegdheid als bedoeld in paragraaf 3.2.5 van de Wiv 2017 toepassing willen geven aan de Tijdelijke wet, dan vermelden zij dit in het verzoek om toestemming voor de uitoefening van die bevoegdheid.4 Zonder een dergelijke vermelding is hoofdstuk 2 van de Tijdelijke wet niet van toepassing op de uitoefening van de betreffende bevoegdheid. In dit geval vindt de uitoefening van de bevoegdheid plaats onder de condities van de Wiv 2017. De Tijdelijke wet biedt dus de mogelijkheid om bevoegdheden in te zetten onder de condities van de Wiv 2017. Daar waar de Wiv 2017 een TIB-toets voorschrijft zal deze dus blijven plaatsvinden als de Tijdelijke wet niet wordt toegepast. Zoals is aangegeven in de brief die door het vorige kabinet is verstuurd op 26 juni 2024, nemen de dreigingen vanuit statelijke actoren gericht op Nederland en de Nederlandse belangen dagelijks toe. Daarom is de Tijdelijke wet per 1 juli 2024 in werking getreden en is het van belang dat zo snel mogelijk toepassing kan worden gegeven aan al haar bepalingen. Het is in de tussentijd geen optie om bevoegdheden helemaal niet uit te oefenen. Het is daarom mogelijk dat gedurende de geleidelijke toepassing van de Tijdelijk wet bevoegdheden zullen worden ingezet onder de condities van de Wiv 2017.
Volledigheidshalve moet er wel op gewezen worden dat de CTIVD niet achteraf toestemming verleent voor de inzet van bevoegdheden. Deze toestemming wordt vóóraf gegeven door – in onderhavige gevallen – de Minister. De CTIVD kan tijdens of na afloop van de inzet een oordeel vellen over de rechtmatigheid van de door de Minister gegeven toestemming.

Vraag 8

Kan van de CTIVD überhaupt verwacht worden dat zij haar verzwaarde takenpakket kan uitvoeren, gezien het uitblijven van de toegezegde nieuwe medewerkers, de slechte (bestaande) huisvesting, de verouderde IT-voorziening, en de leegloop in het bestuur?

Zie antwoorden 4 en 5.

Vraag 9

Kunt u uitleggen hoe het in werking laten gaan van de Tijdelijke wet zonder uitgeruste toezichthouder recht doet aan de uitspraak van het Europees Hof voor de Rechten van de Mens, die stelt dat «adequaat en effectief toezicht» nodig is op afluisterprogramma's?3

Uiteraard is het van groot belang dat er adequaat en effectief toezicht gehouden wordt op de inlichtingen- en veiligheidsdiensten. De inwerkingtreding van de Tijdelijke wet brengt dit niet in gevaar. Zoals in de brief van 26 juni 2024 over de inwerkingtreding van de Tijdelijke wet is aangegeven, bevat de Tijdelijke wet voorzieningen waarvan het van groot belang is dat deze zo spoedig mogelijk beschikbaar komen, maar waar geen extra werkzaamheden voor de CTIVD uit voortvloeien. Over de toepassing van voorzieningen uit de Tijdelijke wet die wél capaciteit van de CTIVD vergen zijn, zoals aangegeven in antwoorden 4 en 5, gesprekken gevoerd met de CTIVD zodat de toepassing van de Tijdelijke wet past bij de mogelijkheden van de toezichthouder. Dit doet recht aan «adequaat en effectief toezicht» zoals vereist door het Europees Hof voor de Rechten van de Mens.

Vraag 10

Wat zijn uw plannen om op zo kort mogelijke termijn de 10 extra fte te werven en fatsoenlijke (tijdelijke en definitieve) huisvesting te organiseren voor de CTIVD? Kunt u de planning toelichten en beschrijven wie verantwoordelijk is voor welk onderdeel?

De CTIVD wordt per 1 januari 2025 tot 1 juli 2026 tijdelijk gehuisvest. De CTIVD wordt per 1 juli 2026 definitief gehuisvest op de locatie Turfmarkt 147 in Den Haag. Op beide locaties zal de CTIVD voldoende ruimte hebben om met alle werknemers, inclusief de uitbreiding met 10 fte, vanuit één locatie te kunnen werken.
De CTIVD is zelf verantwoordelijk voor de werving van personeel. Deze werving is thans door de CTIVD hervat, met de inzet om per 1 januari 2025 op sterkte te zijn en volledig toezicht te kunnen houden. Door de diensten is toegezegd dat de veiligheidsonderzoeken van het nieuwe personeel met prioriteit zullen worden opgepakt.

Vraag 11

Kunt u uiteenzetten welke acties u wanneer heeft ondernomen sinds er in 2022 10 nieuwe fte zijn toegezegd bij de CTIVD, om een geschikte werkplek te vinden en kundige mensen te werven? Op welke momenten heeft u de Kamer hierover geïnformeerd?

Wij kunnen uw kamer alleen informeren over de stappen die gezet zijn om geschikte huisvesting te vinden. De CTIVD gaat, zoals reeds eerder gesteld, zelf over de werving van personeel.
Zoals ook in het gesprek dat met uw kamer is gevoerd op 27 juni 2024 is aangegeven door het RVB, heeft AZ in mei 2022 een verzoek bij het RVB neergelegd om een voorstel te doen om zowel korte als lange termijn huisvesting te realiseren voor de CTIVD. Na oplevering van het resultaat hiervan is door een stuurgroep van AZ, CTIVD en het RVB besloten om voorrang te geven aan het realiseren van de lange termijn huisvesting aan de Turfmarkt en de korte termijn nog niet verder uit te werken. Dit omdat de investering voor de korte termijn huisvesting relatief hoog is voor een korte periode en vanwege een beperkte capaciteit bij het RVB.
Op basis van de voorgenoemde haalbaarheidsstudie is gebleken dat voor de lange termijn huisvesting van de CTIVD op twee verdiepingen aan de Turfmarkt een reële optie is. Een vervolgonderzoek moet hier definitief uitsluitsel over geven. Als overgegaan wordt tot de verbouwing, is de inschatting dat oplevering van de huisvesting op de Turfmarkt uiterlijk in de zomer van 2026 kan plaatsvinden.
Voor de tijdelijke oplossing zijn begin 2024 werkplekken bij de AIVD in Zoetermeer gerealiseerd, waarvan pas later is gebleken dat dit voor de CTIVD nog geen volwaardige werkplekken zijn, onder andere vanwege het ontbreken van de eigen beveiligde systemen. Inmiddels is een nieuwe overbruggingsoptie aan de CTIVD aangeboden. Hier kan de CTIVD als geheel, inclusief het nieuw te werven personeel, per begin januari 2025 in tot de definitieve oplossing aan de Turfmarkt gereed is.
In het kader van de parlementaire behandeling van de Tijdelijke wet is aangegeven dat er bij de CTIVD behoefte is aan ruimere huisvesting en dat hier door de regering aan wordt gewerkt. Dit heeft richting de Tweede Kamer plaatsgevonden in de nota naar aanleiding van het verslag van 4 september 2023 en tijdens het wetgevingsoverleg van 16 oktober 2023.6 Hierop is in meer detail ingegaan richting de Eerste Kamer, onder andere in de nota naar aanleiding van het verslag van 28 februari 2024.7

Vraag 12

In de beantwoording op vragen van de Eerste Kamer, schreef u in februari 2024 dat er «ter overbrugging voorzien [is] in een tijdelijke oplossing die ruimte biedt aan minimaal de extra capaciteit om uitvoering te geven aan de Tijdelijke wet.» Op welke oplossing doelde u? Is deze optie nog in beeld? Zo nee, waarom niet?

Het betreft hier de werkplekken die voor de CTIVD in het AIVD-pand in Zoetermeer zijn gerealiseerd. De CTIVD heeft deze werkplekken in februari 2024 in gebruik genomen, maar heeft hiervan inmiddels aangegeven dat deze plekken niet als volwaardig kunnen worden beschouwd. Dit onder meer vanwege het ontbreken van het eigen -gerubriceerde- computersysteem, maar ook omdat het wenselijk is om, ook in de overbruggingsperiode, de CTIVD als geheel bij elkaar te huisvesten. Inmiddels is, zoals ook in de vorige vraag aangegeven, een oplossing gevonden ter overbrugging. Deze wordt beschikbaar per januari 2025. Tot die tijd zullen de werkplekken bij de AIVD nog steeds als werkplek voor de CTIVD behouden blijven.

Vraag 13

Bent u het met de indiener eens dat tijdelijk inwonen bij de AIVD voor de onafhankelijke CTIVD, die juist toezicht moet houden op deze dienst, geen optie is?

Het kabinet benadrukt het belang van onafhankelijk toezicht op de inlichtingendiensten- en veiligheidsdiensten. Zoals gezegd zoekt AZ al geruime tijd, samen met andere partijen binnen de overheid zoals het RVB, naar geschikte huisvesting voor de CTIVD. Dit is echter geen gemakkelijke opgave vanwege alle beveiligingsvereisten waar die huisvesting aan moet voldoen. Het gaat om eisen die vergelijkbaar zijn met de eisen aan de huisvesting van de diensten zelf. In afwachting van de lange termijn huisvesting en om voor de korte termijn tegemoet te komen aan de extra huisvestingsbehoefte van de CTIVD, heeft de AIVD daarom werkplekken gerealiseerd.
Gezien de taken van de CTIVD is het belangrijk dat zij onafhankelijk van de inlichtingen- en veiligheidsdiensten kan opereren. Gedeelde huisvesting staat hier echter niet aan in de weg. De CTIVD kan, ook vanaf deze werkplekken, onafhankelijk werken. Het kabinet deelt niet de mening van de indiener dat (tijdelijk) inwonen bij de AIVD geen optie zou zijn.

Vraag 14

Is er inmiddels een schetsontwerp afgerond voor definitieve huisvesting? Op welke termijn verwacht u dat deze gerealiseerd is en in gebruik kan worden genomen? Waarop baseert u die inschatting?

Zie antwoord 6.

Vraag 15

Kunt u uw uitspraak van 5 maart 2024, bij de behandeling van de Tijdelijke wet in de Eerste Kamer, nader toelichten «We hebben de CTIVD met tien fte uitgebreid [...] Ja. De CTIVD is dus met tien fte uitgebreid.» Was u destijds op de hoogte dat het de CTIVD niet lukt om deze 10 fte te werven zonder huisvesting?4

Op dat moment was het zo dat de gevraagde extra fte door de CTIVD mogelijk was gemaakt doordat de financiering daarvan was geregeld. Dat de CTIVD de werving had stopgezet als gevolg van een gebrek aan huisvesting was op dat moment niet duidelijk. Ook was het op dat moment nog niet duidelijk dat de werkplekken bij de AIVD niet als volwaardige vervanging werden beschouwd voor de CTIVD.

Vraag 16

Kunt u deze vragen afzonderlijk en nog vóór de inwerkingtreding van het nieuwe regime van toezicht vanaf 1 juli 2024 beantwoorden?

Het is niet haalbaar gebleken deze vragen vóór 1 juli 2024 te beantwoorden.

Vraag 1

Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?

Ja, dat klopt.

Vraag 2

Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?

Het hoofdfiche digitalisering is ten behoeve van de formatietafel opgesteld onder auspiciën van de Ambtelijke Commissie Digitalisering (ACD). Alle departementen zijn op hoog-ambtelijk niveau in deze commissie vertegenwoordigd.
De onderliggende fiches zijn gemaakt door verschillende departementen. Om een integraal beeld te bieden, hebben departementen aangegeven welke fiches zij hebben opgesteld die kunnen worden verbonden aan de opgaven op het gebied van digitalisering die in het hoofdfiche digitalisering worden genoemd. Deze onderliggende fiches zijn niet vastgesteld in de ACD. De verschillende departementen zijn zelf verantwoordelijk voor deze fiches en hebben dan ook zelf een afweging gemaakt om een bepaald fiche te verbinden aan het hoofdfiche digitalisering.
Ik ben niet bekend met eventuele andere fiches die raken aan digitale zaken dan de zeventwintig fiches die in het hoofdfiche zijn opgenomen.

Vraag 3

Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?

Uit artikel 5.4 van de Wet open overheid (Woo) volgt dat in beginsel geldt dat documenten die ten behoeve van de formatie zijn opgesteld – zoals de onderhavige fiches – uitgezonderd zijn van openbaarheid totdat de formatie is afgerond. Deze bepaling werkt ook door in de wijze waarop ik met het verzoek vanuit uw Kamer dien om te gaan.
Dit betekent dat alle fiches eventueel pas openbaar gemaakt kunnen worden als de formatie is afgerond. Hierbij geldt, als in antwoord op vraag 2 genoemd, dat het hier gaat om fiches van verschillende departementen. De afweging om de fiches nadien openbaar te maken is aan de dan verantwoordelijke bewindspersonen. Hierbij geldt als gedeeld uitgangspunt dat dergelijke stukken in beginsel openbaar kunnen worden gemaakt, met dien verstande dat er ook redenen kunnen zijn om dat niet te doen, dan wel om gedeeltelijk te verstrekken.

Vraag 1

Bent u bekend met het bericht «Politiechefs spreken zich uit tegen versleutelde chatberichten» (NU.nl, 22 april)?1

Ja

Vraag 2

Wat is uw reactie op de oproep van Europese politiechefs om actie te ondernemen tegen online platforms die berichten end-to-end versleutelen? Heeft u hierover contact gehad met uw Europese collega's? Welke acties verbinden u en uw collega's aan deze oproep?

Vraag 3

Wat is uw standpunt en wat is het standpunt de Nederlandse politie over end-to-end versleuteling? Onder welke concrete voorwaarden vindt u het verbreken van end-to-end versleuteling gerechtvaardigd, zowel individueel gericht als via het inbouwen van een generieke achterdeur bij versleutelde berichtenplatforms?

De Kamer heeft in juli 2022 middels de motie van het lid Van Raan c.s. de regering verzocht end-to-end-encryptie in stand te houden en voorstellen die dat onmogelijk maken niet te steunen. Het vorige kabinet heeft, in antwoord op dit verzoek, toegezegd uitvoering te geven aan deze motie.3 Dit standpunt staat hier niet ter discussie.
Wel wil ik, zoals mijn voorganger vaak heeft benadrukt, het belang onderstrepen dat wij moeten blijven zoeken naar mogelijkheden om rechtmatige toegang tot gegevens mogelijk te maken en/of te behouden. Zoals de Kamer is geïnformeerd wordt onder andere in Europees verband naar oplossingen gezocht.4 Dat is echter een lang proces, waarbij nog geen concrete oplossingen in zicht zijn.
Overigens geeft (vooral) het Wetboek van Strafvordering bevoegdheden voor de opsporing van strafbare feiten. Deze bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd werk, kunnen leiden tot een inbreuk op de persoonlijke levenssfeer en zijn daarom met voorwaarden en waarborgen omkleed. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal. Of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, wordt derhalve niet bepaald door de keuze van de beveiligingstechniek van de verdachte.

Vraag 4

Heeft u contact gehad met Europol en de nationale politie over deze gezamenlijke oproep? Ontvangt u dergelijke signalen ook van Nederlandse politiechefs? Zo ja, wat is uw reactie?

Vraag 5

Deelt u de mening van politiechefs dat end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is? Zo ja, hoe ziet u dat voor zich? Hoe stelt u voor dat dit technisch kan zonder dat deze achterdeur algemeen beschikbaar komt en daarmee een einde maakt aan end-to-end versleuteling?

De hoofden van politie wijzen op de uitdagingen voor de opsporing bij de rechtmatige toegang tot gegevens. Zij roepen op tot het mogelijk houden dan wel maken van die rechtmatige toegang, waarbij zij tevens vermelden dat de technische oplossingen hiervoor kunnen verschillen voor diverse platforms of vormen van toegang. Zoals gemeld wordt momenteel onder andere in Europees verband naar oplossingen gezocht.
De politie geeft in haar verklaring niet aan dat «end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is». Het is van belang te zoeken naar mogelijkheden om te voorkomen dat er vrijplaatsen voor criminele activiteiten ontstaan, die tevens recht doen aan het belang van het in stand houden van end-to-end encryptie.

Vraag 6

In de Staat van de Unie 20232 schrijft u dat «end-to-end encryptie niet onmogelijk (mag) worden gemaakt,» tegelijkertijd stelt u in eerdere antwoorden op Kamervragen van de leden Kuik en Slootweg3 dat «het van belang [is] dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot (end-to-end versleuteld) berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.» Hoe verenigt u deze standpunten? Zou toegang onder bepaalde voorwaarden en waarborgen end-to-end versleuteling niet per definitie onmogelijk maken?

Een inperking van de privacy door de overheid moet steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Waar nodig worden in wettelijke regelingen daarover waarborgen opgenomen, zoals een rechterlijke machtiging voor het inperken van de vertrouwelijkheid van communicatie. In het kader van de opsporing van strafbare feiten betreft dergelijke wetgeving vooral het Wetboek van Strafvordering. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal geformuleerd. Welke beveiligingsmethodiek wordt toegepast, is niet van belang voor de vraag of een inbreuk op de privacy gerechtvaardigd is.
Toegang tot informatie in specifieke gevallen leidt niet noodzakelijkerwijs tot het onmogelijk maken van end-to-end-encryptie. Wanneer informatie wordt getransporteerd tussen twee punten («end-to-end») kan deze worden beveiligd (versleuteld) worden met end-to-end-encryptie. Deze beveiligingsmethode zorgt er voor dat tijdens het transport van die informatie derden dit bericht niet in leesbare vorm kunnen onderscheppen. Om toch toegang tot het berichtenverkeer te verkrijgen, bijvoorbeeld omdat op grond van wettelijke bevoegdheden tot toegang tot de berichten van een verdachte in het kader van een opsporingsonderzoek is besloten, zijn er in theorie diverse mogelijkheden. Het bericht kan bijvoorbeeld versleuteld worden onderschept en later worden ontsleuteld. Dit blijkt echter tegenwoordig in de praktijk vaak technisch niet mogelijk. Een andere mogelijkheid is dat de aanbieder van de communicatiedienst de encryptie voor de berichten van een specifieke verdachte niet toepast en de berichten onversleuteld aan de autoriteiten verstrekt, zoals ook aanbieders van openbare telecommunicatiediensten verplicht zijn de versleuteling ongedaan te maken in het geval van het aftappen van telecommunicatie. De end-to-end-versleuteling wordt voor berichten van en naar deze specifieke verdachte dan uitgezet. Zoals eerder is toegelicht aan uw Kamer staat deze methode los van andere processen die plaatsvinden op een apparaat.7 Een manieren waarop inzicht in informatie kan worden verkregen op het apparaat is bijvoorbeeld het binnendringen in een geautomatiseerd werk. Met een dergelijke methode is er toegang tot de gegevens op het apparaat in plaats van tijdens het transport. De berichten zijn dan veelal in leesbare vorm, omdat deze op het apparaat nog niet zijn versleuteld voor het transport, of reeds zijn ontsleuteld na het transport.
Deze mogelijkheden kunnen een meer dan geringe inbreuk op de privacy opleveren en zijn daarom met passende wettelijke voorwaarden en waarborgen omkleed. Zo moeten zij onder meer voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Voor een nadere toelichting wil ik verwijzen naar brieven van 8 mei, 28 juni en 18 september 2023 aan uw Kamer.8

Vraag 7

Bent u bekend met cryptotelefoons? Zo ja, hoe denkt u te voorkomen dat criminelen gebruik maken van deze devices in plaats van reguliere end-to-end versleutelde berichtenplatforms? Hoe weegt u de effectiviteit van de inbreuk op de privacy van miljoenen mensen tegenover de georganiseerde misdaad die vervolgens via cryptotelefoons anoniem kan blijven communiceren?

Ja, ik ben bekend met cryptotelefoons. Deze zijn op zichzelf niet verboden. Voor handhavingsautoriteiten is het probleem bij cryptotelefoons niet anders dan bij andere sterk versleutelde diensten: iedereen, inclusief gerechtelijke autoriteiten in Europese lidstaten die handelen op basis van wettelijke bevoegdheden, wordt toegang ontzegd tot de inhoud van deze berichten door het platform dat de communicatie mogelijk maakt. Dit gebrek aan rechtmatige toegang tot digitale gegevens raakt tevens de kern van de zorg die wordt uitgesproken door de nationale hoofden van politie in hun verklaring d.d. 18 april.9

Vraag 8

Wat is het staande beleid ten opzichte van de strategie «store-now-decrypt-later»? Wordt er nu al door veiligheidsdiensten versleutelde informatie opgeslagen, om deze op een later moment te ontsleutelen? Hoe lang mag de politie deze informatie dan hiervoor opslaan?

Ik ben bekend met het store-now-decrypt-later-begrip en de mogelijkheid om versleutelde informatie op te slaan om deze op een later moment te kunnen ontsleutelen indien er in de toekomst een kwantumcomputer beschikbaar komt. In dat verband wil ik wijzen op de strategie die de rijksoverheid heeft ontwikkeld om organisaties te helpen de risico’s van kwantumtechnologie op cryptografie op tijd te beheersen, door tijdig te migreren naar zogenaamde post-quantum cryptografie.10 Deze vorm van cryptografie biedt weerstand tegen het eerder genoemde store-now-decrypt-later-scenario.
Op uw vraag over de veiligheidsdiensten wijs ik erop dat over de precieze werkwijze van de inlichtingen- en veiligheidsdiensten in het openbaar geen uitspraken worden gedaan. Voor de politie in Nederland geldt dat zij in het kader van de opsporing versleutelde persoonsgegevens rechtmatig kunnen vergaren op grond van diverse bevoegdheden uit het Wetboek van Strafvordering. De wettelijke bewaartermijnen voor politiegegevens, zoals onder andere opgenomen in de Wet politiegegevens, maken geen onderscheid tussen versleutelde en onversleutelde gegevens.

Vraag 9

Bent u bekend met de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland?4 Bent u eveneens bekend met de gezamenlijke reactie van de European Data Protection Board (EDPB) van 13 februari 2024 op de Verordening ter voorkoming en bestrijding van seksueel kindermisbruik (CSAM)?5 Bent u bovendien bekend met het standpunt van het Europese Hof van Justitie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?6

Ja, ik ben bekend met de uitspraak in de zaak Podchasov v. Rusland.
Daarnaast ben ik bekend met de verklaring van het Europees Comité voor gegevensbescherming van 13 februari 2024. Dit betreft echter geen reactie op de Verordening ter bestrijding en voorkoming van seksueel kindermisbruik zoals voorgesteld door de commissie, maar op het (tegen)voorstel zoals gedaan door het Europees Parlement op 22 november 2023.14 Ten slotte ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems. Versleutelde berichten of versleuteling speelden echter geen rol in deze zaak.

Vraag 10

Onderschrijft u de conclusies van deze zwaarwegende uitspraken omtrent end-to-end versleuteling volledig? Kunt u op de uitspraken en standpunten van de drie organisaties afzonderlijk reageren?

In de zaak Podchasov v. Rusland is klager een Russische onderdaan, en gebruiker van de berichtenapplicatie Telegram. Telegram is door de Russische staat aangemerkt als «Internet organisator van communicatie». Als gevolg hiervan is het bij wet verplicht om alle communicatiegegevens op te slaan voor de duur van een jaar en de inhoud van alle communicatie gedurende zes maanden. Verder is bepaald dat deze gegevens kunnen worden voorgelegd aan de rechtshandhavingsinstanties of veiligheidsdiensten, samen met de informatie die nodig is om versleutelde berichten te kunnen ontsleutelen.15 Het EHRM overweegt dat het opslaan van de gegevens van klager een inmenging is in het recht op privéleven (artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM)). Deze inmenging kan gerechtvaardigd zijn indien deze heeft plaatsgevonden in overeenstemming met de wet, een legitiem doel dient en noodzakelijk is in een democratische samenleving. Het EHRM overweegt dat nationale wetgeving voldoende waarborgen moet bieden met betrekking tot onder andere de duur, de opslag, het gebruik, de toegang van derden, procedures voor het bewaren van de integriteit en vertrouwelijkheid van gegevens en procedures voor de vernietiging ervan, zodat er voldoende garanties zijn tegen het risico van misbruik en willekeur, om te voorkomen dat persoonsgegevens in strijd met artikel 8 EVRM worden gebruikt. De nationale wetgeving moet er met name voor zorgen dat de bewaarde gegevens relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden bewaard, en dat ze in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden bewaard. Daarnaast moet de wetgeving aan het voorzienbaarheidsvereiste voldoen.
Het EHRM overweegt dat Russische wetgeving communicatieaanbieders verplicht tot het installeren van technieken die directe toegang door de Russische veiligheidsdiensten tot de communicatie mogelijk maken. De Russische opsporingsautoriteiten moeten weliswaar een rechterlijke machtiging verkrijgen alvorens deze gegevens te kunnen raadplegen, maar er bestaat geen verplichting om die machtiging ook aan de communicatieaanbieder te tonen.16 Gezien het risico van misbruik dat een dergelijke regeling in het leven roept, moet de wet voldoende waarborgen bevatten tegen willekeur en misbruik. Het EHRM oordeelt dat daar in deze zaak onvoldoende sprake van is.
Met betrekking tot de verplichting tot medewerking van Telegram aan het ontsleutelen van alle end-to-end versleutelde communicatie overweegt het EHRM:
«Deze maatregelen kunnen naar verluidt niet worden beperkt tot specifieke individuen en zouden zonder onderscheid iedereen treffen, inclusief individuen die geen bedreiging vormen voor een legitiem overheidsbelang. Het verzwakken van de encryptie door het creëren van achterdeuren zou het blijkbaar technisch mogelijk maken om routinematige, algemene en willekeurige surveillance van persoonlijke elektronische communicatie uit te voeren.»
Het EHRM overweegt dat onder die omstandigheden de bovengenoemde verplichting die Rusland oplegde aan Telegram niet proportioneel is ten aanzien van het beoogde doel.17 Het EHRM concludeert dat de bestreden Russische wetgeving onvoldoende adequate waarborgen tegen misbruik bevat en de kern van artikel 8 EVRM aantast – het recht op eerbiediging van het privéleven.
Het vorige kabinet heeft aangegeven uitvoering te geven aan de motie-Van Raan en heeft dit standpunt uitgebreid weergegeven en onderbouwd. Dit standpunt, dat hier niet ter discussie staat, staat haaks op het creëren van enige verplichting tot afzwakking, uitschakeling of algehele ontsleuteling van end-to-end versleutelde informatie.
Het Europese Hof in de zaak Schrems schreef dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd».18
Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelde in deze zaak.
Het kabinet onderschrijft de conclusie van het Europees Comité voor gegevensbescherming dat end-to-end versleuteling een belangrijk middel is om de vertrouwelijkheid van elektronische communicatie te kunnen bewerkstelligen.

Vraag 11

Is uw standpunt over end-to-end versleuteling veranderd naar aanleiding van de recente uitspraken van het EHRM en EDPB? Zo ja, op welke wijze draagt u dit uit bij lopende onderhandelingen in Europa en het binnenland over wet- en regelgeving? Zo niet, kan u met voorbeelden onderbouwen dat het huidige kabinetsstandpunt voldoende invulling geeft aan de uitspraken van de rechter en de EDPB?

Nee. Dit standpunt, zoals aangehaald en beschreven in mijn beantwoording op uw vorige vragen, is niet strijdig met voornoemde uitspraken.

Vraag 12

Biedt het geactualiseerde Grondwetsartikel 13 over het brief- en telecommunicatiegeheim een absolute garantie dat er geen verzwakkingen van end-to-end versleuteling mogen plaatsvinden in Nederland? Zijn de aanbevelingen van de staatscommissie-Grondwet 2010 hiermee volledig geïmplementeerd?7

De doelstelling van artikel 13 Grondwet (Gw) betreft het beschermen van de vertrouwelijkheid van communicatie. Die bescherming geldt met en zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om daartegen te beschermen. Artikel 13 schrijft niet voor of en op welke wijze private partijen hun communicatie dienen te beschermen.20 Dat een beveiligingsmethode eventueel gekraakt kan worden doet aan de juridische bescherming niet af.21 Overigens biedt artikel 13 Gw expliciet de mogelijkheid inperkingen te maken op het communicatiegeheim. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. Een voorbeeld van een dergelijke beperking is inzet van de interceptiebevoegdheid ten behoeve van de opsporing van strafbare feiten. Voorafgaande machtiging van de rechter is dan vereist.
In 2010 adviseerde de Staatscommissie om de bescherming van artikel 13 Gw te beperken tot de transportfase van de informatie en de inhoud van de communicatie buiten de bescherming van artikel 13 te laten vallen.22 In de memorie van toelichting bij de herziening van dit grondwetsartikel, alsmede tijdens debatten over het wetsvoorstel in de Tweede Kamer, is toegelicht waarom voor een andere, tevens techniek-onafhankelijke benadering is gekozen bij de vormgeving van dit grondwetsartikel.23 In de kern komt het erop neer dat bij de bescherming van het telecommunicatiegeheim is gekozen om niet het middel dat bescherming kan bieden, maar bescherming van de inhoud van de communicatie zelf centraal te stellen.24

Vraag 13

Bent u bereid om samen met de nationale politie en de Autoriteit Persoonsgegevens tot een eenduidig standpunt te komen over het borgen van end-to-end versleuteling, dat recht doet aan de uitspraken van het EHRM, EHJ en de EDPB, en dit blijvend uit te dragen in Nederland en Europa?

Zoals gezegd is voornoemd standpunt inzake end-to-end-encryptie niet strijdig met voornoemde uitspraken. Voor nadere uitleg verwijs ik naar mijn puntsgewijze beantwoording van vraag 10.

Vraag 14

Kunt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Geheime afmeldcodes van duizenden alarmsystemen opvraagbaar door softwarefout»?1

Ja.

Vraag 2

Is het u bekend welke (Rijks-)overheidsorganisaties en vitale organisaties getroffen zijn door het lek in de systemen van SMC en Securitas? Zo ja, kunt u een overzicht aanleveren? Zo nee, waarom niet?

Nee, dat is mij niet bekend. SMC en Securitas zijn zelf verantwoordelijk voor het informeren van hun klanten over het lek. Vanwege de aard en beperkte impact van het lek heeft het Nationaal Cyber Security Centrum (NCSC) geen reden gezien om hierover verdere navraag te doen bij Rijksoverheidsorganisaties en vitale aanbieders.

Vraag 3

Zijn alle (Rijks-)overheidsorganisaties en vitale organisaties die getroffen zijn door het lek in de systemen van SMC en Securitas inmiddels op de hoogte van het lek? Is het u bekend of zij allemaal inmiddels maatregelen hebben getroffen?

Zowel SMC als Securitas heeft te kennen gegeven dat na eigen onderzoek geen indicatie van actief misbruik van het lek is waargenomen bij bedrijven en andere organisaties die gebruik maken van de systemen van SMC en Securitas. Daarnaast hebben zij aangegeven aanvullende maatregelen te hebben genomen zoals het offline halen van kwetsbare systemen, het resetten en verwijderen van de oude afmeldcodes en het inrichten van een nieuw verificatieproces. (Rijks-)overheidsorganisaties en vitale organisaties zijn daarmee voldoende beschermd.
Het NCSC heeft besloten geen algemeen advies op te stellen vanwege de maatregelen die door SMC en Securitas zijn getroffen, de aard van de kwetsbaarheid en de daardoor geringe impact op haar doelgroep.

Vraag 4

Heeft u contact gehad met SMC en Securitas over dit incident? Zo ja, welke stappen gaat u de komende periode zetten om dit probleem af te wikkelen? Zo nee, waarom niet?

Het NCSC en het Digital Trust Center (DTC) hebben meerdere malen contact gehad met SMC en Securitas over de kwetsbaarheid. Met name gelet op de toelichting van de zijde van SMC en Securitas in die gesprekken over de aard en beperkte impact van dit lek op bedrijven en andere organisaties is door het NCSC besloten hierover geen verdere actie te ondernemen ten behoeve van de eigen doelgroep. Zie ook antwoord op vraag 3.

Vraag 5

Gaat u getroffen bedrijven helpen om de risico's van dit lek zo goed en snel mogelijk te mitigeren? Welke middelen zijn hiervoor beschikbaar? Zo nee, waarom niet?

Zie antwoord op vraag 3 en vraag 4.
Het product waarin de kwetsbaarheid is gevonden, was een zogenaamd end-of-life product. Dit betekent dat dit product niet meer werd onderhouden of ondersteund door de leverancier. Het gebruik van dit soort producten brengt een risico met zich mee. Het Nationaal Cyber Security Centrum (NCSC) heeft diverse adviesproducten op de website over risicomanagement in het algemeen en het omgaan met producten waarvan het onderhoud en ondersteuning door de leverancier afloopt in het bijzonder. In de toekomst moeten nieuwe digitale producten die op de Europese markt worden gebracht voldoen aan cybersecurityeisen conform de Cyber Resilience Act. Dit betreft onder meer het verplicht en gratis leveren van veiligheidsupdates, zolang je mag verwachten dat een product kan worden gebruikt.

Vraag 6

Hebben gevoelige gegevens en locaties gevaar gelopen door dit lek? Zo nee, waar blijkt dat uit?

SMC en Securitas hebben aangegeven dat er na onderzoek geen indicatie van misbruik is waargenomen. Het Nationaal Cyber Security Centrum (NCSC) heeft zelf ook geen indicaties hiervoor waargenomen.
Van de zijde van SMC en Securitas is aangegeven dat het initieel leek alsof met de kwetsbaarheid onrechtmatig toegang verkregen kon worden tot fysieke locaties. Echter, na onderzoek van deze twee partijen bleek de kwetsbaarheid alleen zogenaamde telefonische afmeldcodes te betreffen richting de centrale. Om een alarm daadwerkelijk uit te schakelen moet lokaal een code fysiek worden ingevoerd. Deze code is alleen bekend bij de klant en was ook niet onderdeel van de kwetsbaarheid. Zonder het invoeren van deze lokale code kan het alarm niet worden uitgeschakeld.

Vraag 7

Kunt u aangeven of dit lek meer alarmcentrales heeft getroffen dan enkel Securitas en SMC?

Van andere alarmcentrales is niet bekend of deze zijn getroffen.

Vraag 8

Kunt u aangeven of de aantallen, van minstens 26.000 getroffen organsaties en personen, kloppen? Hoeveel organisaties en personen zijn er volgens u getroffen?

Het Nationaal Cyber Security Centrum (NCSC) kan dit aantal niet bevestigen, met name ook omdat het zelf geen meldingen hierover van organisaties heeft ontvangen. Zie beantwoording vraag 6.

Vraag 9

Kunt u aangeven of het Nationaal Cyber Security Centrum (NCSC) of een andere overheidsorganisatie betrokken is bij het onderzoek dat SMC zelf uitvoert naar de scope van het lek? Worden de uitkomsten daarvan gedeeld met de Minister en andere relevante partijen, zoals de Autoriteit Persoonsgegevens?

Het SMC is primair verantwoordelijk voor het onderzoek naar de scope van het lek en het delen van de uitkomsten daarvan. Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hebben meerdere malen contact gehad met SMC en Securitas over de kwetsbaarheid. Zoals aangegeven in het antwoord op vraag 6 is het onderzoek inmiddels afgerond en zijn de uitkomsten gedeeld met het Ministerie van Justitie en Veiligheid. Op grond van de AVG is elke organisatie die te maken heeft met een datalek zelf verantwoordelijk om daar melding van te doen bij de Autoriteit Persoonsgegevens. SMC en Securitas hebben aangegeven melding van het onderhavige lek te hebben gedaan bij de Autoriteit Persoonsgegevens.

Vraag 10

Kunt u aangeven of de softwareontwikkelaar die het lek heeft aangetroffen zich had kunnen melden bij het NCSC om een Coordinated Vulnerability Disclosure te doen?

Deze persoon heeft een Coordinated Vulnerability Disclosure, ook wel CVD-melding genoemd, bij het NCSC gedaan.

Vraag 11

Wat kunt u doen om het doen van Coordinated Vulnerability Disclosures bij NCSC breder bekend te maken bij mensen die werkzaam zijn in de IT-sector?

Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum(NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Ontvangt u signalen dat beeldmateriaal van mensen met een beperking onterecht wordt afgeschermd en verwijderd van Facebook?

In algemene zin merk ik dat de moderatiekeuzes van grote platforms kunnen leiden tot gefronste wenkbrauwen in de samenleving. Content zou onterecht verwijderd worden, of juist onterecht worden gehandhaafd. Ook is er discussie over of platforms bepaalde inhoud minder zichtbaar maken in hun netwerk. Over het door u genoemde geval heb ik geen signalen ontvangen. Laat ik heel helder zijn: discriminatie door grote platformbedrijven wordt niet geaccepteerd.
Sinds de komst van de Europese digitaledienstenverordening (DSA) worden platforms verplicht hun moderatiepraktijken duidelijk kenbaar te maken, en waarborgen te bieden aan gebruikers bij het modereren van inhoud. Voorop staat in ieder geval dat de vrijheid van meningsuiting en het discriminatieverbod daarin duidelijk moeten worden meegenomen.

Vraag 2

Staat het een groot sociale media platform als Facebook vrij om alledaagse foto’s en video’s van mensen met een amputatie te verwijderen omdat dit aangemerkt wordt als «het vieren van lijden of vernedering» en «overmatig gewelddadig» zou zijn? Is dit volgens u in lijn met nationaal en Europees beleid?

Grote sociale media platforms mogen op basis van hun algemene voorwaarden aan moderatie van inhoud doen. Inhoud die in strijd is met de algemene voorwaarden, mogen zij minder zichtbaar maken of verwijderen.
Dat is echter geen vrijbrief: de DSA stelt voorwaarden met betrekking tot de transparantie over inhoudsmoderatie. Zo moet elk moderatiebesluit gemotiveerd worden en moeten gebruikers geïnformeerd worden over de mogelijkheden in beroep te gaan of bezwaar aan te tekenen via het intern klachtenafhandelingssysteem van het platform, of waar mogelijk bij een onafhankelijk geschillenbeslechtingsorgaan.
Bovendien mogen platforms bij het aanbieden van hun diensten niet discrimineren op grond van handicap. Artikel 5b van de Wet gelijke behandeling op grond van handicap of chronische ziekte (Wgbh/cz) verbiedt het maken van onderscheid bij het aanbieden van of verlenen van toegang tot goederen of diensten en bij het sluiten, uitvoeren of beëindigen van overeenkomsten ter zake. Dit verbod richt zich ook tot sociale media platforms die in Nederland actief zijn. Op basis van deze wet is het ook mogelijk om een uitspraak te vragen van het College voor de rechten van de mens ten aanzien van de vraag of en wanneer er sprake is van ongeoorloofd onderscheid (art. 12 Wgbh/cz, in samenhang met artikel 10 Wet College voor de rechten van de mens).

Vraag 3

Hoe beoordeelt u het verwijderen en afschermen van foto's en video's van mensen met een zichtbare beperking door sociale media platforms als het gaat om uitingen geplaatst door mensen die zelf een beperking hebben, belangenorganisaties en journalistieke organisaties? Kunt u op iedere doelgroep apart ingaan?

Het verwijderen van content mag nooit leiden tot discriminatie. Grote sociale media platforms doen aan moderatie van de inhoud en maken daarbij constant afwegingen tussen verschillende belangen en rechten. Daarbij dienen sociale media platforms rekening te houden met het verbod van onderscheid, zoals opgenomen in de Wgbh/cz. Het verwijderen van foto’s en video’s van mensen met een zichtbare beperking die deze personen op eigen accounts hebben geplaatst, is mogelijk discriminerend. De platforms dienen zich ten opzichte van alle aanwezige content te houden aan dit verbod. Dat geldt dus voor content geplaatst door individuen, belangenorganisaties en journalistieke organisaties (of journalisten).
Zoals ook opgemerkt in het vorige antwoord kunnen mensen met een zichtbare beperking die vermoeden dat beeldmateriaal ten onrechte van hun account wordt verwijderd een klacht indienen via het intern klachtenafhandelingssysteem van het platform zelf of waar mogelijk via een onafhankelijk geschillenbeslechtingsorgaan. Daarnaast kunnen ze het College voor de rechten van de mens verzoeken om een oordeel over de vraag of het sociale media platform daarmee handelt in strijd met de Wgbh/cz. Ook organisaties die in overeenstemming met hun statuten de belangen behartigen van diegenen in wier bescherming de Wgbh/cz beoogt te voorzien, kunnen een beroep doen op de bescherming van deze wet. Tot slot staat natuurlijk een gang naar de rechter open.

Vraag 4

Bent u het met eens met de stelling dat het vrij kunnen delen van foto's en video's van mensen met een zichtbare beperking bijdraagt aan de representatie en normalisatie van deze doelgroep?

Iedereen hoort zich vrij te kunnen voelen om foto’s en video’s van zichzelf te delen. Ik ben het eens met de vragenstellers dat het delen van foto’s en video’s van mensen met een zichtbare beperking kan bijdragen aan de representatie en normalisatie van deze doelgroep, afhankelijk van het beeld of videomateriaal en in welke context dit wordt gedeeld.

Vraag 5

Wat gaat u verder doen om mensen met een zichtbare beperking in uw eigen uitingen een prominentere plek te geven, bijvoorbeeld door inclusieve stockfoto's te gebruiken en beschikbaar te stellen voor derden?

Ik erken het belang van representatie en inclusie in de communicatie-uitingen, en zal me blijvend inzetten om beeld te ontwikkelen en te gebruiken conform de aanbevelingen uit het onderzoek «Diversiteit in Beeld» van de Dienst Publiek en Communicatie en de tips die daarin zijn opgenomen voor inclusief beeldgebruik.1

Vraag 6

Welke Nederlandse en Europese wetgeving stelt eisen aan de wijze waarop content op grote online platforms gemodereerd moet worden? Welke zekerheid wordt hierin geboden dat mensen met een zichtbare beperking foto’s en video’s van zichzelf kunnen plaatsen op hun eigen sociale media kanalen net als iedere andere gebruiker?

De DSA legt voorwaarden op aan de manier waarop inhoudsmoderatie moet worden uitgevoerd. Zo moet een besluit om inhoud te verwijderen gemotiveerd worden en moet een vorm van bezwaar of beroep openstaan. Indien een sociaal media platform inhoud modereert, dan verplicht de DSA bovendien om daarbij gepaste aandacht te hebben voor de rechten en legitieme belangen van alle betrokkenen, waaronder de fundamentele rechten uit het handvest zoals de vrijheid van meningsuiting en het recht van non-discriminatie.
Zoals in het antwoord op vraag 2 ook is opgemerkt, dienen online platforms die actief zijn in Nederland rekening te houden met de Wgbh/cz. Deze wet bevat onder meer een verbod op discriminatie bij het aanbieden van diensten, waaronder ook online dienstverlening wordt begrepen (vergelijk College voor de rechten van de mens, oordeel 2020-106, overweging 6.1).
Kort gezegd beschermt de DSA de vrijheid van meningsuiting van burgers om niet-illegale inhoud te uiten, en bijvoorbeeld in bezwaar te gaan tegen moderatiebesluiten zoals verwijdering. Daarnaast verplicht het platforms om hun systemen zo in te richten dat systeemrisico’s en negatieve effecten op de samenleving worden beperkt.
Artikel 34, eerste lid, onder b en c, van de DSA verplicht platforms rekening te houden met «eventuele werkelijke of voorzienbare negatieve effecten met betrekking tot ernstige negatieve gevolgen voor het geestelijke welzijn van de persoon», en met «werkelijke of voorzienbare negatieve effecten op de uitoefening van de grondrechten, met name het in artikel 21 van het Handvest verankerde grondrecht op non-discriminatie.»
Aanbieders van zeer grote online platforms en van zeer grote online zoekmachines moeten met name rekening houden met de vraag of en hoe het ontwerp van hun aanbevelingssystemen en andere relevante algoritmische systemen, hun inhoudsmoderatiesystemen, de toepasselijke algemene voorwaarden en de handhaving ervan, systemen voor de selectie en weergave van reclame en data-gerelateerde praktijken van de aanbieder van invloed zijn op deze systeemrisico’s.
Onder artikel 35 van de DSA worden aanbieders van zeer grote online platforms en van zeer grote online zoekmachines verplicht om redelijke, evenredige en doeltreffende risicobeperkende maatregelen te nemen die zijn toegesneden op de specifieke systeemrisico’s. Dergelijke maatregelen omvatten aanpassing van het ontwerp, de kenmerken of de werking van hun diensten, met inbegrip van hun online-interfaces, aanpassing van hun algemene voorwaarden en de handhaving ervan, aanpassing van inhoudsmoderatieprocedures, testen en aanpassing van hun algoritmische systemen, met inbegrip van hun aanbevelingssystemen, het nemen van bewustmakingsmaatregelen en aanpassing van hun online-interface om de gebruikers van de dienst meer informatie te verschaffen.

Vraag 7

Welke Nederlandse en Europese wetgeving beschermt het recht van mensen met een zichtbare beperking om beeldmateriaal van zichzelf te delen op het internet? Op welke wijze kan u sociale media platforms verplichten om dergelijke foto’s en video’s niet ten onrechte af te schermen of te verwijderen?

Het delen van informatie op internet, waaronder beeldmateriaal, valt onder het recht op de vrijheid van meningsuiting (zoals neergelegd in artikel 7 Grondwet, artikel 10 EVRM en artikel 11 van het EU-Grondrechtenhandvest). Dit recht beschermt mensen tegen een ongerechtvaardigde beperking van de vrije meningsuiting door de overheid. In het geval van sociale media platforms gaat het om een horizontale relatie tussen bedrijven en mensen, waarvoor de DSA regels geeft, zoals transparantie over inhoudsmoderatie. In 2016 heeft Nederland het VN-verdrag inzake de rechten van personen met een handicap geratificeerd. In het verlengde daarvan is de Wgbh/cz uitgebreid met een verbod van onderscheid op grond van handicap of chronische ziekte bij het aanbieden van en het verlenen van toegang tot goederen en diensten. De wet biedt mensen met een zichtbare beperking dus bescherming tegen discriminatie op grond van hun zichtbare handicap bij online dienstverlening.

Vraag 8

Welke rol speelt de Digital Services Act (DSA) in het handhaven op de gelijke behandeling van internetgebruikers met een zichtbare beperking als zij foto’s en video’s van zichzelf delen en hun ervaringen openlijk delen?

De DSA stelt regels aan aanbieders van tussenhandeldiensten, met name als het gaat om hun rol en verantwoordelijkheid bij inhoud die als illegaal of onverzoenbaar met de algemene voorwaarden wordt aangemerkt. Eén van de doelen van de DSA is om daarin ook de mensenrechten te beschermen. Dat doet de DSA onder meer door ervoor te zorgen dat inhoudsmoderatie gebeurt met waarborgen, en door rechten te bieden aan mensen die zich daarin benadeeld voelen. Voor een uiteenzetting verwijs ik graag naar het antwoord op vraag 6.

Vraag 9

Op welke manieren kan iemand melding doen als zij vermoeden dat beeldmateriaal van mensen met een zichtbare beperking ten onrechte wordt verwijderd? Wat is de rol van de overheid en nationale toezichthouders om in te grijpen als er sprake is van discriminatie?

Op grond van de DSA kunnen gebruikers hun recht halen door direct bij het platform te klagen via een intern klachtenafhandelingssysteem, indien mogelijk een buitenrechtelijke geschillenprocedure te starten, of naar de rechter te stappen. Ook kunnen zij een klacht indienen bij de zogenoemde «digitaledienstencoördinator», ofwel de primaire toezichthouder op de DSA. In Nederland is dat de Autoriteit Consument en Markt (ACM).
Daarnaast kunnen mensen met een zichtbare beperking die vermoeden dat beeldmateriaal ten onrechte van hun account wordt verwijderd het College voor de rechten van de mens verzoeken om een oordeel over de vraag of het sociale media platform daarmee handelt in strijd met de Wgbh/cz.

Vraag 10

Hoe vaak heeft u overleg met vertegenwoordigers van sociale media platforms over de naleving van Nederlandse en Europese wetgeving over anti-discriminatie? Doen platforms in uw beleving voldoende om de gelijke rechten van gebruikers met en zonder zichtbare beperking te beschermen? Zo niet, hoe gaat u platforms dwingen tot verbetering?

Het toezicht op de naleving van de DSA door zeer grote online platforms ligt primair bij de Europese Commissie. De toezichthouder in de lidstaat waar zo’n platform gevestigd is, is gedeeltelijk mede bevoegd. Zo is de toezichthouder in Ierland mede bevoegd voor bijvoorbeeld Instagram, TikTok en YouTube. Terwijl de ACM (mede) bevoegd is voor sociale media platforms zoals Snap, Reddit en Discord. De toezichthouders gaan toezien op de naleving en deze zo nodig verbeteren. Daarbij zullen ze waarschijnlijk ook in gesprek gaan met de platforms indien er klachten zijn binnengekomen of als uit onderzoek daar een noodzaak toe blijkt.
Omdat het toezicht elders is belegd, heb ik zelf geen zicht op welke manier platforms zorgen dat de gelijke rechten van gebruikers met en zonder zichtbare beperking worden beschermd. Ik vind het wel van belang dat deze gebruikers niet worden gediscrimineerd.

Vraag 11

Bent u bereid in gesprek te gaan met ervaringsdeskundigen en vertegenwoordigers van mensen met een beperking om in beeld te brengen op welke manieren grote online platforms mensen met een beperking nu benadelen? Kunt u dit vervolgens aankaarten bij de nationale en Europese vertegenwoordigers van grote online platforms?

Vanuit mijn coördinerende rol als Staatssecretaris van Digitalisering vind ik het belangrijk dat de zorgen van ervaringsdeskundigen en vertegenwoordigers van mensen met een beperking worden gehoord. In de «Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie en aankondiging nieuwe acties» vertel ik dat het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de volgende stap zet in een verkenning van een meldvoorziening, een geschillenbeslechtingsorgaan (zoals in artikel 21 van de DSA) en een kenniscentrum. Hier zouden burgers over de hele EU terecht kunnen voor geschillenbeslechting betreffende contentmoderatie besluiten van online platformen. Onderdeel van deze volgende stap is het ophalen van de ervaringen en behoeften van mensen en groepen die nadelen ondervinden van contentmoderatie besluiten van sociale media platformen. Zoals mensen met een beperking. Zodat we samen een effectief orgaan kunnen vormgeven en ongelijke behandeling door sociale media platformen kunnen tegengaan.
Daarnaast hebben de Ministers van Binnenlandse Zaken en Koninkrijksrelaties, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Onderwijs, Cultuur en Wetenschap en Langdurige Zorg en Sport uw Kamer op 22 februari 2023 een Kamerbrief2 gestuurd over de aanpak van online discriminatie, racisme en hate speech. In de brief is een inventarisatie gemaakt van lopend beleid en wordt benadrukt dat het kabinet de komende jaren inzet op een meer geïntegreerde, samenhangende en gestructureerde aanpak. Deze aanpak krijgt vorm aan de hand van de pijlers ondersteuning van slachtoffers, bewustwording, verantwoordelijkheden van en samenwerking met internetpartijen, consequenties voor daders en betere registratie en onderzoek, zoals ook wordt opgeroepen in de aanbeveling van de Raad van Europa. Deze pijlers worden op dit moment uitgewerkt tot concrete acties door een interdepartementale werkgroep. Deze uitwerking vindt onder andere plaats door sessies met het veld over deze thematiek. Deze uitwerking zal voor het einde van de zomer aan uw Kamer worden gestuurd.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het feit dat er door DUO jarenlang een risicoprofiel is gehanteerd waarbij mbo de hoogste risicofactor gaf, hbo de middelste risicofactor en wo de laagste risicofactor?1

Ja. In de kabinetsreactie op het onderzoeksrapport van PwC is het kabinet ingegaan op onder meer het risicoprofiel in het controleproces van DUO bij de uitwonendenbeurs. Deze kabinetsreactie is op 1 maart jl. aan uw Kamer verzonden.2 Tevens heeft de Minister van OCW uw Kamer op 22 mei een brief gestuurd naar aanleiding van vervolgonderzoek.3

Vraag 2

Kunt u een overzicht geven van alle risicoprofielen/algoritmes binnen de overheid waarbij opleidingsniveau een risico-indicator is voor fraude?

Het kabinet kan dat Rijksbrede overzicht op dit moment niet geven, omdat dit overzicht er nu niet volledig is. Het kabinet wil dit overzicht verkrijgen door het verder vullen van het landelijk algoritmeregister voor de overheid.4 Met departementen is afgesproken dat zij uiterlijk 2025 ten minste door hen gebruikte algoritmes met een hoog risico geregistreerd hebben in het algoritmeregister. In het register kan worden geregistreerd welke gegevens daarbij worden gebruikt. Op dit moment hebben wij in het algoritmeregister geen algoritmes rondom fraudebestrijding gevonden waarbij opleidingstype benoemd wordt als risico-indicator. Wel zijn er algoritmen die opleidingstype gebruiken voor bijvoorbeeld het matchen van werkzoekenden met werkgevers. Hierbij merken wij op dat het niet altijd wenselijk noch mogelijk is om volledig transparant te zijn over welke gegevens gebruikt worden bij fraudebestrijding, omdat dit het makkelijker maakt de controle te ontwijken. Om diezelfde reden bestaat in de Wet Open Overheid (WOO) een uitzondering voor inspectie en controle en toezicht door bestuursorganen5.
De Staatssecretaris van BZK werkt aan het algoritmekader. Daarin wordt aanbevolen om bij de ontwikkeling van impactvolle algoritmes gebruik te maken van een mensenrechtentoets zoals het Impact Assessment Mensenrechten en Algoritmes (IAMA). Het IAMA is een hulpmiddel om alle relevante aandachtspunten bij de inzet van algoritmen, waaronder eventueel opleidingstype als selectiecriterium, op een gestructureerde manier aan bod te laten komen en grondig te doordenken.

Vraag 3

Kunt u bij elk voorbeeld aangeven of dit risicoprofiel wetenschappelijk is onderbouwd?

Zie antwoord vraag 2.

Vraag 4

Kunt u bij elk voorbeeld aangeven waarom u het ethisch juist vindt om mensen met een mbo-opleiding minder te vertrouwen dan mensen met een hbo of wo-opleiding?

Als kabinet vinden wij het onwenselijk om de mate van vertrouwen in mensen te koppelen aan het type opleiding dat zij volgen en/of gevolgd hebben.
Ons uitgangspunt is dat grote terughoudendheid op zijn plaats is bij gebruik van opleidingstype als risico-indicator voor fraude bij toeslagen, beurzen, belastingen en uitkeringen. Tenzij een opleiding een voorwaarde is voor het recht, er een andere expliciet gemotiveerde onderbouwing voor is. Zoals toegelicht bij het antwoord op vraag 2, is het noodzakelijk dat hoogrisico en impactvolle algoritmes in het algoritmeregister worden vermeld om zo een beeld te krijgen van het gebruik en te zorgen voor meer transparantie.
Onderscheid maken op basis van onderwijstype kan in sommige gevallen gerechtvaardigd zijn. Bijvoorbeeld als het gaat om het aannemen van werknemers voor beroepen waarvoor opleidingseisen gelden. Het gaat dan niet om vertrouwen, maar om het gebruiken van onderwijstype als criterium daar waar het onderwijstype van de (oud-)student relevant is voor de keuze die wordt gemaakt. Daarbij moet aangetekend worden dat vanwege de bestaande kansenongelijkheid in het onderwijs sommige groepen bijvoorbeeld over- of ondervertegenwoordigd zijn in de verschillende typen vervolgonderwijs. Opleiding als criterium kan daardoor wellicht onbedoeld indirecte discriminatie tot gevolg hebben. Daarom vraagt het gebruik van opleidingstype als risico-indicator grote terughoudendheid.
In het risicoprofiel bij DUO dat in juni 2023 buiten werking is gesteld, werd ook onderscheid gemaakt op basis van onderwijstype. Onderwijstype was één van de drie criteria in het risicoprofiel, waarbij mbo-studenten een hogere risicoscore kregen dan hbo-studenten en hbo-studenten een hogere risicoscore kregen dan wo-studenten. Het uitgevoerde interne onderzoek van DUO over onder meer de risicoprofielen leert ons dat er in dit geval onvoldoende statistisch verband was bij het hanteren van het criterium onderwijstype met onrechtmatig gebruik van de beurs.6 Hiermee was wat ons betreft onderwijstype geen gerechtvaardigd selectiecriterium in het risicoprofiel. Met andere woorden: onderwijstype was een onvoldoende relevant criterium om op basis daarvan onderscheid te maken in het controleproces uitwonendenbeurs.
Zoals benoemd in het debat over de controles bij de uitwonendenbeurs op 21 maart jl., valt opleidingstype niet onder het toepassingsbereik van de Algemene wet gelijke behandeling. Enkel de specifiek genoemde persoonskenmerken, zoals afkomst of nationaliteit, vallen hieronder. Onderwijstype wordt in de Algemene wet gelijke behandeling niet als discriminatiegrond genoemd. Voor de maatschappelijke herwaardering van het mbo heeft de Minister van Binnenlandse Zaken, mede namens de Minister van Onderwijs Cultuur en Wetenschap, een adviesaanvraag ingediend bij het College voor de Rechten van de Mens. Deze adviesaanvraag loopt nog en gaat over de toevoeging van opleidingstype als discriminatiegrond aan de Algemene wet gelijke behandeling. Hiermee geef ik uitvoering aan de motie van Bouchallikht (GroenLinks) en De Hoop (PvdA).7

Vraag 5

Hoe verhoudt het gebruik van opleidingsniveau als risico-indicator voor fraude zich tot alle goede voornemens van dit kabinet om de opleidingskloof te verkleinen en elke vorm van onderwijs gelijk te waarderen?

Het is inderdaad het voornemen van dit kabinet om elke vorm van onderwijs gelijk te waarderen. In plaats van een ladder van «laag» naar «hoog», zien we het onderwijsstelsel als een waaier waarin verschillende opleidingen gelijkwaardig naast elkaar bestaan, ieder met hun eigen kwaliteiten, en met ruimte voor excellentie. We willen alleen onderscheid naar onderwijstype maken als dat een relevant en onderbouwd criterium is om te onderscheiden, waarbij er een oorzakelijke relatie is tussen het frauderisico en de specifieke opleiding. Denk aan de eerdergenoemde beroepen waarvoor opleidingseisen gelden of om opleidingen waar een specifieke vooropleiding voor nodig is.
Een belangrijke voorwaarde bij een nieuw risicogericht controleproces is dat het degelijk onderbouwd is. Dat was mede aanleiding om excuses aan te bieden. Daarnaast is het belangrijk om het controleproces zo in te richten dat het systeem geen indirecte discriminatie op grond van wettelijk beschermde persoonskenmerken, zoals afkomst en nationaliteit, teweegbrengt. Bovendien moet een risicogericht controleproces periodiek gevalideerd worden om te waarborgen dat de onderliggende aannames nog steeds kloppen. In de voormalige controlewerkwijze was het gebruik van het criterium onderwijstype niet gerechtvaardigd. DUO zal dan ook het criterium opleidingstype niet langer hanteren als risico-indicator, tenzij in de specifieke situaties zoals hierboven beschreven.

Vraag 1

Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van de leden van GroenLinks-PvdA over Russische desinformatiecampagnes?1

Vraag 2

Bent u van mening dat de in uw antwoord vermelde maatregelen en acties afdoende zijn om Nederland te beschermen tegen Russische desinformatie, of ziet u noodzaak aanvullende maatregelen te treffen? Zo ja, welke? Zo nee, waarom niet?

Vraag 3

Bent u bekend met het artikel «Tsjechisch desinformatie-netwerk met Russische inmenging werd opgericht in Nederland» van De Groene Amsterdammer van 28 maart jongstleden?2

Vraag 4

Heeft u de Tsjechische regering verzocht om de informatie over Russische financiering van Nederlandse politici met u te delen? Zo ja, bent u bereid die informatie openbaar te maken? Zo nee, gaat u dat alsnog doen?

Vraag 5

Herinnert u zich de uitspraak van de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat er geen tekenen waren van buitenlandse inmenging bij de verkiezingen? Staat u nog steeds achter deze uitspraak?

Vraag 6

Hoe verhoudt deze uitspraak zich tot de onthulling van de Tsjechische geheime dienst dat de Voice of Europe een Russische desinformatie-outlet blijkt te zijn dat fungeerde als doorgeefluik voor financiële transacties tussen het Kremlin en Nederlandse politici?

Vraag 7

Deelt u de zorgen dat Rusland via dit soort outlets het Nederlandse publieke debat verstoort en daarmee onze verkiezingen beïnvloedt?

Vraag 8

Bent u bereid om een onderzoek in te stellen of er meerdere soortgelijke outlets in Nederland en andere lidstaten van de Europese Unie bestaan?

Vraag 9

Wanneer ontvangt de Kamer van het kabinet de voortgangsbrief over de Rijksbrede strategie voor de effectieve aanpak van desinformatie?

Vraag 10

Is het kabinet naar aanleiding van de onthulling over Voice of Europe en met het oog op de aanstaande Europese verkiezingen bereid aanvullende investeringen doen in de capaciteit van de Rijksoverheid om de dreiging van desinformatie tegen te gaan?

Vraag 11

Bent u bereid om deze schriftelijke vragen te beantwoorden voorafgaand aan het plenaire debat over het bericht dat volgens de Tsjechische geheime dienst Rusland cash betaalde aan Nederlandse en Europese politici van dinsdag 2 april aanstaande?