Vraag 1

Bent u bekend met het onderzoek van Trollrensics over desinformatienetwerken op sociale media met als doel de Europese verkiezingen van 2024 te beïnvloeden?1

Ja, hiermee zijn we bekend.

Vraag 2

Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?

Ja. Heimelijke beïnvloeding ondermijnt onze democratische rechtsstaat en het vertrouwen in onze democratische instituties. Daarmee vormt het een bedreiging voor onze nationale veiligheid. Het is voor het kabinet van groot belang om dreigingen tegen onze samenleving tegen te gaan.

Vraag 3

Beamen de AIVD, MIVD en NCTV de resultaten van het onderzoek volledig? Met hoeveel zekerheid is te zeggen dat in Nederland niet op dezelfde schaal campagnes zijn gevoerd door buitenlandse mogendheden tijdens de verkiezingen van 2024?

Onze inlichtingen- en veiligheidsdiensten waarschuwen al langere tijd dat inmengingsactiviteiten van andere landen in toenemende mate een bedreiging vormen.2 Het netwerk ontdekt door Trollrensics was actief in Frankrijk, Duitsland en Italië. In Nederland werd het niet waargenomen. Dit netwerk past in het normbeeld waarbij Rusland voortdurend probeert westerse beeld- en besluitvorming te beïnvloeden ten gunste van Rusland, maatschappelijke tegenstellingen probeert aan te wakkeren en te versterken en onderlinge eenheid te ondermijnen. In de openbare jaarverslagen van de AIVD en MIVD is te lezen dat Rusland zijn heimelijke beïnvloedingsactiviteiten vooral op grote Europese landen richt. Dat betekent niet dat er geen risico is voor Nederland op heimelijke beïnvloeding vanuit Rusland. Rusland stelt zich in deze opportunistisch op en is in staat om in te spelen op zich voordoende kansen in kleinere landen. Bovendien kunnen beïnvloedingscampagnes tegen bondgenoten ook indirect gevolgen hebben voor Nederland.

Vraag 4

Hebben de AIVD en MIVD signalen opgevangen dat soortgelijke desinformatiecampagnes in Nederland zijn gevoerd tijdens de verkiezingen van 2024? Zo ja, zijn deze effectief bestreden? Wat was de schaal van deze campagne(s)?

De diensten hebben een divers instrumentarium om heimelijke beïnvloeding te onderzoeken en waar nodig de samenleving, instanties en/of personen te alerteren. Het kabinet kan in het openbaar geen mededelingen doen naar waar de inlichtingen- en veiligheidsdiensten al dan niet onderzoek naar doen. Het is voor het werk van de inlichtingen- en veiligheidsdiensten immers van doorslaggevend belang dat zij in het belang van onze nationale veiligheid, geheimhouding en bronbescherming waarborgen. U kunt ervan uitgaan dat de diensten hun wettelijke bevoegdheden kunnen en zullen inzetten om heimelijke beïnvloeding te onderkennen en waar mogelijk, tegen te gaan.

Vraag 5

Draagt Nederland als wereldwijde host van online diensten, waaronder servers die gebruikt worden in Russische desinformatiecampagnes zoals recent bevestigd door de AIVD2, een bijzondere verantwoordelijkheid in het bestrijden van desinformatie? Zo ja, hoe kan hier effectief tegen worden opgetreden met respect voor de privacy van onschuldige internetgebruikers?

Aanbieders van hostingdiensten (inclusief online platformen) hebben bepaalde verantwoordelijkheden voor de informatie die zij hosten, die nader beschreven staan in de Digitaledienstenverordening (DSA). Dit betekent onder andere dat wanneer desinformatie de vorm heeft van illegale inhoud de DSA diverse bepalingen bevat die aanbieders van hostingdiensten een verantwoordelijkheid geven in de bestrijding daarvan. Artikel 6 DSA bepaalt dat aanbieders van hostingdiensten in beginsel niet aansprakelijk zijn voor informatie die gebruikers op hun servers plaatsen en opslaan. Zodra zij er echter kennis van krijgen dat ze illegale inhoud hosten, dan zijn ze verplicht om prompt te handelen en die inhoud te verwijderen of de toegang ertoe te blokkeren. Doen ze dat niet, dan kan de Europese Commissie, als toezichthouder van de DSA, ze wél aansprakelijk stellen voor die illegale inhoud. De DSA verplicht hen ook om meldingen van illegale inhoud mogelijk te maken en verduidelijkt dat dergelijke meldingen leiden tot kennis in de zin van artikel 6 (artikel 16, derde lid). Daarmee is er niet alleen een verplichting maar ook een prikkel om dat soort meldingen op te volgen.
Een puur hostingsbedrijf kan veelal niet ingrijpen op het niveau van specifieke inhoud van internetgebruikers, maar wel op het niveau van een hele server of website. Bijvoorbeeld door die ontoegankelijk te maken. Ingrepen door hostingbedrijven zijn daardoor over het algemeen minder proportioneel dan ingrepen door de website-eigenaar of de dienst die op de servers van het hostingbedrijf draait.
Niet alle desinformatie is illegaal. Niettemin kan het schadelijk zijn. Voor die gevallen bevat de DSA verplichtingen voor zeer grote online platformen. Zeer grote online platformen zoals X moeten daardoor in aanvulling op de verplichtingen waar alle aanbieders van hostingdiensten aan dienen te voldoen, verantwoordelijkheid nemen tegen desinformatiecampagnes, bijvoorbeeld in de vorm van niet-authentieke manipulatie van die diensten, op hun platformen. Dit probleem moet Europa-breed en bij de bron worden aangepakt. Artikel 34 en 35 van de DSA, die betrekking hebben op risicobeoordeling en risicobeperking, verplichten sociale media platforms als X of Facebook om maatregelen te nemen tegen gecoördineerd niet-authentiek gedrag en desinformatiecampagnes. Het is de Europese Commissie die hierop toezicht houdt vanuit de Digital Services Act (DSA). Meer informatie over de wijze waarop de Europese Commissie dit heeft ingevuld rondom de Europese Parlementsverkiezing is te vinden in het recentelijk gepubliceerde rapport hierover.4

Vraag 6

Zijn er nog andere voorbeelden bekend waar Nederland een faciliterende rol speelde in beïnvloedingscampagnes gericht op andere landen? Hoe wordt dit ondervangen?

Nederland is een belangrijk knooppunt in mondiale digitale netwerken en infrastructuur. Het is voor veel statelijke actoren aantrekkelijk om misbruik te maken van Nederlandse ICT-infrastructuur, omdat deze van hoge kwaliteit is en eenvoudig is in te zetten. De AIVD, MIVD en NCTV waarschuwen daarom al langer voor het risico van misbruik van Nederlandse infrastructuur door statelijke actoren.5 Het is een belangrijke bevoegdheid en tegelijkertijd een taak van de AIVD en de MIVD om heimelijke beïnvloeding te onderkennen en tegen te gaan. Ook als de beïnvloeding in een ander land plaatsvindt en gebruik maakt van Nederlandse infrastructuur. Op 9 juli jl. is uw Kamer geïnformeerd over de verstoring van een Russische digitale beïnvloedingsoperatie, gericht op de beïnvloeding van het publieke debat in de Verenigde Staten van Amerika. Bij deze beïnvloedingsoperatie werd gebruik gemaakt van een server in Nederland. De MIVD rapporteerde in 2022 over routers die door de Russische militaire inlichtingendienst (Glavnoje Razvedyvatelnoje Oepravlenije, GROe) gebruikt worden als aanvalsinfrastructuur en de verstoring van dat netwerk.6 In 2023 zag de MIVD dat Russische actoren gebruik blijven maken van gehackte infrastructuur van onschuldige gebruikers ten behoeve van digitale spionage-, sabotage- en beïnvloedingsactiviteiten.7
Het is van belang om de Nederlandse ICT-infrastructuur in generieke zin weerbaarder te maken tegen misbruik, daarom zet het kabinet in op de uitvoering van de Nederlandse Cybersecurity Strategie.8

Vraag 7

Doet de regering uws inziens voldoende om desinformatiecampagnes in Nederland als ook beïnvloedingscampagnes die gehost worden vanuit Nederland tegen te gaan?

Het kabinet heeft in de Voortgangsbrief Rijksbrede strategie desinformatie, die in juni aan de Tweede Kamer is verzonden, beschreven wat zij deed en welke nieuwe acties zij voornemens zijn te ondernemen. Deze acties zijn onder andere gericht op het versterken van de weerbaarheid van burgers tegen desinformatie.9
Zie verder het antwoord op vraag 5.

Vraag 8

Zijn er tijdens de Europese verkiezingen in 2024 aanvullende maatregelen genomen om desinformatienetwerken tegen te gaan? Zo ja, welke en bleken deze effectief? Zo nee, waarom niet?

Ja, er zijn maatregelen genomen in aanvulling op reeds bestaande maatregelen, zowel in samenwerking op Europees niveau, als aanvullende maatregelen op nationaal niveau.
De Europese Dienst voor extern optreden (EDEO) heeft netwerken van statelijke actoren tijdens de Europese verkiezingen beter in beeld gebracht door deze te identificeren en hierover artikelen te publiceren op de website EUvsDisinfo.10
De Europese Commissie heeft met enkele van de sociale media platformen, NGO’s en nationale toezichthouders, waaronder de ACM, een zogenoemde «stresstest» gevoerd. Hierbij testte de Commissie samen met de platformen of zij klaar waren voor heimelijke verkiezingsbeïnvloeding, zoals desinformatienetwerken, op hun platform en hoe daarmee om te gaan.11 Verder heeft de Commissie richtsnoeren gepubliceerd voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (VLOPS en VLOSE) inzake de beperking van systeemrisico’s voor verkiezingsprocessen.12 Sinds de inwerkingtreding van de DSA is de ACM in Nederland aangewezen als digitaledienstencoördinator. Bij de afgelopen EP-verkiezing was de ACM betrokken bij onder andere de verkiezingstafel.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt samen met andere EU-lidstaten via mechanismen zoals het Rapid Alert System (RAS), de voor de verkiezingen ingestelde geïntegreerde regeling politieke crisis­respons (IPCR) en het European Cooperation Network on Elections (ECNE) om informatie en acties te coördineren en de weerbaarheid te vergroten.
Op nationaal niveau neemt het Ministerie van BZK tijdens de verkiezingen standaard extra maatregelen om de effecten van desinformatienetwerken te verminderen.13 Dit gaat op de eerste plaats om begrijpelijke en transparante communicatie over het verkiezingsproces en de stemprocedure. Als burgers weten hoe het verkiezingsproces werkt, zijn ze minder vatbaar voor desinformatie over dit onderwerp. Daarnaast organiseerde het Ministerie BZK wederom een verkiezingstafels voor vertegenwoordigers van de gemeenten, de Kiesraad en alle veiligheidspartners (Politie, OM, ACM en betrokken ministeries), waar mogelijke risico’s worden besproken die ondermijnend zijn voor het verkiezingsproces. Verder organiseerde het ministerie een webinar voor gemeenteambtenaren waar specifiek is ingegaan op het tegengaan van desinformatie.
Tot slot kan het Ministerie van BZK in bijzondere gevallen haar trusted flagger status inzetten, waardoor meldingen door sociale media platformen met prioriteit worden behandeld. De sociale mediabedrijven maken hierbij altijd hun eigen onafhankelijke afweging of er sprake is van een overtreding van de gebruikersvoorwaarden en dus of actie gerechtvaardigd is. Het ministerie heeft geen bevoegdheid bepaalde content te laten verwijderen. Deze status is voor de EP-verkiezing eenmalig ingezet bij het platform X om een algemene waarschuwing te geven dat er wellicht valse berichten worden verspreid over het verkiezingsproces. Uw Kamer wordt hierover nader geïnformeerd in de evaluatie van de EP-verkiezingen. De Minister van BZK streeft ernaar deze evaluatie begin november aan uw Kamer toe te sturen.
Uit rapporten van de onder de DSA opgerichte Europese digitaledienstenraad en de EDMO (het factcheckers consortium) Task Force blijkt dat er, ondanks pogingen van desinformatienetwerken, geen grote of structurele problemen zijn geweest bij de Europese verkiezingen.14 Ook de nieuwe, onder de DSA opgerichte, Europese digitaledienstenraad concludeert op dit moment dat er geen grootschalige of systemische incidenten hebben plaatsgevonden waardoor het verloop van de Europese verkiezingen is verstoord.15

Vraag 9

Biedt de bestaande Europese wet- en regelgeving, met name via de Digital Services Act, voldoende mogelijkheden om op te treden tegen desinformatiecampagnes? Welke nationale en Europese maatregelen zijn er verder nog nodig om desinformatie effectief te bestrijden?

Ja, de desinformatiecampagnes zoals omschreven in het onderzoek van Trollrensics, vonden plaats op X. Dit platform geldt als een zeer grote online platform en valt sinds augustus 2023 onder de DSA. De DSA bevat verschillende bepalingen over inhoudsmoderatie door aanbieders van online tussenhandeldiensten. Volgens de definitie van het begrip «inhoudsmoderatie» (artikel 3, onderdeel t, van de DSA) gaat het dan om zowel illegale inhoud als om informatie die in strijd is met de algemene voorwaarden die de aanbieder toepast, bijvoorbeeld omdat hij deze onwenselijk of schadelijk acht. Desinformatie kan zowel de vorm aannemen van illegale inhoud als schadelijke inhoud. In het geval van het laatste, kan desinformatie en andere schadelijke inhoud vallen onder contractuele beperkingen die in de algemene voorwaarden opgenomen zijn. Daarnaast kan desinformatie ook vallen onder zogenaamde «systeemrisico» zoals beschreven in artikel 34 van de verordening. Tegen dergelijke schadelijke inhoud moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken.
Aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines moeten daarom, bij de beoordeling van systeemrisico’s, bijzondere aandacht besteden aan de manier waarop hun diensten (kunnen) worden gebruikt om misleidende of bedrieglijke inhoud, met inbegrip van desinformatie en gecoördineerde desinformatiecampagnes, te verspreiden of versterken. Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om toezicht te houden op zeer grote online platformen en onlinezoekmachines. Bij het treffen van maatregelen moeten platformen de rechten van burgers beschermen, zoals het recht op privacy en de vrijheid van meningsuiting.
Daarnaast is uw Kamer recentelijk geïnformeerd over de nieuwe maatregelen die wij nemen in de Rijksbrede strategie voor de effectieve aanpak van desinformatie.16 Het Ministerie van BZK heeft opdracht gegeven tot een brede verkenning waarin wordt onderzocht hoe de kwaliteit van het open publieke debat beter kan worden gewaarborgd. Daarbij wordt onderzocht welke kwetsbaarheden het open publieke debat kent, waaronder de wijze waarop desinformatie de Nederlandse democratische rechtsstaat kan ondermijnen en welke interventies het open publieke debat beter kunnen beschermen. Over dit onderzoek en de eerste resultaten wordt uw Kamer eind 2024 geïnformeerd.

Vraag 10

Doen grote online platforms volgens u voldoende om desinformatiecampagnes op hun kanalen te bestrijden? Zo ja, waaruit blijkt dat? Zo niet, van welke online platforms verwacht u meer actie en is de Digital Services Act, onder andere, voldoende uitgerust om hen hiertoe te dwingen?

De DSA verplicht zeer grote online platforms en zoekmachines om tenminste jaarlijks een risicobeoordeling te verrichten om te onderzoeken of hun diensten vatbaar zijn voor systeemrisico’s. De verspreiding van desinformatie kan zo’n systeemrisico vormen. Indien dergelijke systeemrisico’s aanwezig zijn, moeten aanbieders van zeer grote online platforms en zeer grote onlinezoekmachines maatregelen treffen om deze te beperken. Dergelijke maatregelen kunnen de aanpassing van hun diensten, online-interfaces, algemene voorwaarden inhoudsmoderatieprocedures, algoritmische systemen of aanbevelingssystemen omvatten.
Het is nu nog te vroeg om volledig te kunnen vaststellen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om systeemrisico’s, waaronder de verspreiding van desinformatie, te mitigeren. Dat oordeel is in de eerste plaats aan de Europese Commissie als bevoegde toezichthouder. In het geval van niet-naleving van de bepalingen door zeer grote online platformen en zeer grote onlinezoekmachines kan de Europese Commissie handhavingsmaatregelen. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de wereldwijde omzet van een zeer groot online platform.
De Europese Commissie is voortvarend gestart met het toezicht, ook op de verplichtingen van artikel 34 en 35 DSA. Op 18 december 2023 is ze een formele procedure gestart tegen X. Onder meer omdat ze twijfelt aan de doeltreffendheid van de maatregelen die X neemt ter bestrijding van desinformatie. Deze procedure loopt nog. Op 12 juli j.l. heeft de Europese Commissie zijn voorlopige bevindingen naar X gestuurd.17 Daarnaast is ze een formele procedure gestart tegen Meta. De systeemrisico-analyses van Meta, de risico’s van desinformatie, en de maatregelen die Meta daartoe heeft genomen zijn onderdeel van die procedure.18 Wij volgen de voortgang van deze procedures en ondersteunen de Europese Commissie waar nodig in haar rol als toezichthouder op de naleving van de DSA.

Vraag 11

Welke stappen gaat u nemen om samen met uw ambtsgenoten in de EU op te treden tegen deze vorm van buitenlandse verkiezingsbeïnvloeding? Bepleit u samen met hen een gezamenlijke boodschap richting de nieuwe Europese Commissie?

Het hoofdlijnenakkoord omschrijft dat de overheid zich inzet om de maatschappij weerbaar te maken tegen desinformatie. Dit belang dragen we ook in de EU uit. Het kabinet staat in EU verband in nauw contact met andere landen waar het buitenlandse beïnvloeding betreft. Concrete voorbeelden hiervan zijn het Europese Rapid Alert System (RAS) en het European cooperation network on elections (ECNE). In deze gremia zijn onder andere signalen over desinformatie, maatregelen om hiermee om te gaan en de laatste wetenschappelijke inzichten uitgewisseld. Leden van de Europese lidstaten doen mee om de negatieve impact van desinformatie zo effectief mogelijk aan te pakken en van elkaar te leren. Via deze wegen worden ook FIMI-campagnes19 gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Waar nodig wordt gekeken naar een gezamenlijke reactie. Nederland participeert actief, o.a. door via het Rapid Alert System vertaalde versies van de Rijksbrede Strategie en de Kamerbrief Weerbaarheid Verkiezingsproces te delen.
De nieuwe Europese Commissie zal op het onderwerp desinformatie nieuwe stappen willen zetten. Dat blijkt uit de politieke richtlijnen van de herkozen Commissievoorzitter.20 Het is nu aan de Commissie om binnen hun mandaat met nieuwe voorstellen te komen. Uw Kamer wordt hier te zijner tijd over geïnformeerd.

Vraag 12

Wat is de stand van zaken van de motie van de leden Piri en Paternotte over het in de Europese Raad pleiten voor onderzoek naar buitenlandse inmenging in de Europese Parlementsverkiezingen?3

Deze motie is uitgevoerd. De Minister-President heeft tijdens de informele Europese Raad van 17 juni 2024 zijn zorgen overgebracht over mogelijke buitenlandse inmenging in de EP-verkiezingen.22 De Minister-President gaf daarbij aan dat een onderzoek wenselijk is als er indicaties van inmenging zijn. Een dergelijk onderzoek op Europees niveau zou in de eerste plaats aan het EP zijn, in samenwerking met de Belgische autoriteiten.

Vraag 13

Kunt u de vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.

Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.

Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.

Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.

Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.

Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.

Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.

Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.

Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.

Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.

Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.

Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.

Vraag 1

Bent u bekend met het voorwoord uit het CTIVD Jaarverslag 2023, waarin ook wordt gesteld dat het niet is gelukt om «in de benodigde werkruimte te voorzien» en «de CTIVD daarom aan de uitbreiding van de organisatie nog steeds geen opvolging kan geven»?1

Ja.

Vraag 2

Bent u eveneens bekend met het bericht «Controle op geheime diensten is vanaf 1 juli «niet meer mogelijk»» van Follow the Money (17 juni 2024)?2

Ja.

Vraag 3

Kunt u uitleggen waarom het nog steeds niet is gelukt om de benodigde werkruimte en uitbreiding van 10 fte te realiseren bij de Commissie Toezicht Inlichtingen- en Veiligheidsdiensten (CTIVD), die u sinds 2022 heeft toegezegd en noodzakelijk is voor het goed uitvoeren van de Tijdelijke wet op de inlichtingen- en veiligheidsdiensten (Tijdelijke wet)? Wat is daarin uw verantwoordelijkheid?

Het kabinet zoekt al geruime tijd naar geschikte huisvesting voor de CTIVD. Dit is geen gemakkelijke opgave gebleken. Zoals ook in de brief van 26 juni jl. aan uw Kamer gesteld is het zo dat gelet op het bijzondere karakter van de CTIVD, die zelfstandig toegang heeft tot alle systemen van de AIVD en MIVD en daarnaast ook eigen systemen gebruikt voor de verwerking van staatsgeheime gegevens, worden er hoge eisen gesteld aan de huisvesting.3 Het gaat om eisen die vergelijkbaar zijn met de eisen aan de huisvesting van de diensten zelf en die dus niet eenvoudig in reguliere kantoorpanden zijn te realiseren. Inmiddels is zowel een lange termijnoplossing als een overbruggingsoplossing gevonden. De verantwoordelijkheid voor werving van geschikt personeel ligt bij de CTIVD zelf.

Vraag 4

Deelt u de mening van de CTIVD, die toezicht moet houden op de inlichtingendiensten, dat zij «het toezicht dat de Ministers nu beloofd hebben gewoon niet waar [kunnen] maken»? Zo ja / nee, kunt u toelichten waarom?

Zoals is aangegeven in de brief die door het vorige kabinet is verstuurd op 26 juni 2024, is in zijn algemeenheid op te merken over de werkbelasting van de CTIVD dat deze niet direct na de inwerkingtreding van de Tijdelijke wet in volle omvang zijn beslag krijgt, gelet op het gegeven dat er enige tijd overheen gaat alvorens nieuwe wetgeving volledig wordt toegepast en tot grotere toezichts-belasting leidt. Een deel van de voorzieningen in de Tijdelijke wet brengt geen extra werkbelasting voor de CTIVD met zich mee, omdat hiervoor al een voorziening is getroffen en een werkproces is ingeregeld door de CTIVD of omdat deze voorzieningen onafhankelijk zijn van de accentverschuiving binnen het stelsel van toetsing en toezicht. Inmiddels is afgesproken dat ook verkennen in het kader van de hackbevoegdheid tot uitvoerbaar toezicht leidt voor de CTIVD. Aan deze bevoegdheid wordt door de AIVD en de MIVD dus ook toepassing gegeven. De CTIVD heeft aangegeven geen toezicht te kunnen houden op de overige bepalingen uit de Tijdelijke wet, omdat de daarvoor benodigde cyberspecialisten voor een groot deel belast zijn met werkzaamheden voor de huisvestingsproblematiek. Toepassing van deze bevoegdheden onder de condities van de Tijdelijke wet zal dus pas plaatsvinden nadat de CTIVD de tijdelijke huisvesting betrokken heeft. De praktijk zal doorlopend gemonitord worden. Op deze manier zal worden gewaarborgd dat de toepassing van bevoegdheden uit de nieuwe wet zal «ingroeien» in de uitvoerings- en toezichtspraktijk. Hierbij de notie dat de Tijdelijke wet géén uitbreiding is van bevoegdheden voor de AIVD en de MIVD, maar een nadere invulling en verduidelijking van bevoegdheden geeft die reeds in de Wiv 2017 waren geïntroduceerd.

Vraag 5

Kan de Tijdelijke wet, gezien de kern van deze wet was om het toezicht op de bevoegdheden van de inlichtingendiensten te verschuiven van vóóraf naar áchteraf, op verantwoorde wijze van kracht gaan als de CTIVD zelf aangeeft dat zij niet in staat is om achteraf toezicht te houden?

Zie antwoord vraag 4.

Vraag 6

Acht u de gevolgen voor de kwaliteit van het toezicht door de CTIVD, door het niet op orde hebben van de huisvesting en extra capaciteit, verantwoord? Zo ja, kunt u toelichten hoe lang u deze situatie verantwoord acht? Zo nee, wat betekent dit voor de geplande invoering van de Tijdelijke wet?

Zoals aangegeven in de antwoorden 4 en 5, zal de toepassing van bevoegdheden uit de nieuwe wet zal «ingroeien» in de uitvoerings- en toezichtspraktijk. Dit acht het kabinet verantwoord. De CTIVD zal per januari 2025 in volle formatie, inclusief de 10 fte voor het toezicht op de toepassing van de Tijdelijke wet, op één locatie gehuisvest worden.

Vraag 7

Bent u van mening dat, zolang de CTIVD niet op sterkte is en toestemming achteraf voor de inzet van bevoegdheden niet verleend kan worden, die bevoegdheden wél met de goedkeuring vooraf van de Toetsingscommissie Inzet Bevoegdheden (TIB) ingezet moeten kunnen worden? Biedt de wet daartoe de mogelijkheid en gaat u deze inzetten? Zo nee, deelt u dan de mening dat u, zolang de CTIVD niet op sterkte is, geen toestemming voor de inzet van versnelde bevoegdheden moet verlenen? Kunt u uw antwoord toelichten?

Wanneer de diensten bij de uitoefening van een bijzondere bevoegdheid als bedoeld in paragraaf 3.2.5 van de Wiv 2017 toepassing willen geven aan de Tijdelijke wet, dan vermelden zij dit in het verzoek om toestemming voor de uitoefening van die bevoegdheid.4 Zonder een dergelijke vermelding is hoofdstuk 2 van de Tijdelijke wet niet van toepassing op de uitoefening van de betreffende bevoegdheid. In dit geval vindt de uitoefening van de bevoegdheid plaats onder de condities van de Wiv 2017. De Tijdelijke wet biedt dus de mogelijkheid om bevoegdheden in te zetten onder de condities van de Wiv 2017. Daar waar de Wiv 2017 een TIB-toets voorschrijft zal deze dus blijven plaatsvinden als de Tijdelijke wet niet wordt toegepast. Zoals is aangegeven in de brief die door het vorige kabinet is verstuurd op 26 juni 2024, nemen de dreigingen vanuit statelijke actoren gericht op Nederland en de Nederlandse belangen dagelijks toe. Daarom is de Tijdelijke wet per 1 juli 2024 in werking getreden en is het van belang dat zo snel mogelijk toepassing kan worden gegeven aan al haar bepalingen. Het is in de tussentijd geen optie om bevoegdheden helemaal niet uit te oefenen. Het is daarom mogelijk dat gedurende de geleidelijke toepassing van de Tijdelijk wet bevoegdheden zullen worden ingezet onder de condities van de Wiv 2017.
Volledigheidshalve moet er wel op gewezen worden dat de CTIVD niet achteraf toestemming verleent voor de inzet van bevoegdheden. Deze toestemming wordt vóóraf gegeven door – in onderhavige gevallen – de Minister. De CTIVD kan tijdens of na afloop van de inzet een oordeel vellen over de rechtmatigheid van de door de Minister gegeven toestemming.

Vraag 8

Kan van de CTIVD überhaupt verwacht worden dat zij haar verzwaarde takenpakket kan uitvoeren, gezien het uitblijven van de toegezegde nieuwe medewerkers, de slechte (bestaande) huisvesting, de verouderde IT-voorziening, en de leegloop in het bestuur?

Zie antwoorden 4 en 5.

Vraag 9

Kunt u uitleggen hoe het in werking laten gaan van de Tijdelijke wet zonder uitgeruste toezichthouder recht doet aan de uitspraak van het Europees Hof voor de Rechten van de Mens, die stelt dat «adequaat en effectief toezicht» nodig is op afluisterprogramma's?3

Uiteraard is het van groot belang dat er adequaat en effectief toezicht gehouden wordt op de inlichtingen- en veiligheidsdiensten. De inwerkingtreding van de Tijdelijke wet brengt dit niet in gevaar. Zoals in de brief van 26 juni 2024 over de inwerkingtreding van de Tijdelijke wet is aangegeven, bevat de Tijdelijke wet voorzieningen waarvan het van groot belang is dat deze zo spoedig mogelijk beschikbaar komen, maar waar geen extra werkzaamheden voor de CTIVD uit voortvloeien. Over de toepassing van voorzieningen uit de Tijdelijke wet die wél capaciteit van de CTIVD vergen zijn, zoals aangegeven in antwoorden 4 en 5, gesprekken gevoerd met de CTIVD zodat de toepassing van de Tijdelijke wet past bij de mogelijkheden van de toezichthouder. Dit doet recht aan «adequaat en effectief toezicht» zoals vereist door het Europees Hof voor de Rechten van de Mens.

Vraag 10

Wat zijn uw plannen om op zo kort mogelijke termijn de 10 extra fte te werven en fatsoenlijke (tijdelijke en definitieve) huisvesting te organiseren voor de CTIVD? Kunt u de planning toelichten en beschrijven wie verantwoordelijk is voor welk onderdeel?

De CTIVD wordt per 1 januari 2025 tot 1 juli 2026 tijdelijk gehuisvest. De CTIVD wordt per 1 juli 2026 definitief gehuisvest op de locatie Turfmarkt 147 in Den Haag. Op beide locaties zal de CTIVD voldoende ruimte hebben om met alle werknemers, inclusief de uitbreiding met 10 fte, vanuit één locatie te kunnen werken.
De CTIVD is zelf verantwoordelijk voor de werving van personeel. Deze werving is thans door de CTIVD hervat, met de inzet om per 1 januari 2025 op sterkte te zijn en volledig toezicht te kunnen houden. Door de diensten is toegezegd dat de veiligheidsonderzoeken van het nieuwe personeel met prioriteit zullen worden opgepakt.

Vraag 11

Kunt u uiteenzetten welke acties u wanneer heeft ondernomen sinds er in 2022 10 nieuwe fte zijn toegezegd bij de CTIVD, om een geschikte werkplek te vinden en kundige mensen te werven? Op welke momenten heeft u de Kamer hierover geïnformeerd?

Wij kunnen uw kamer alleen informeren over de stappen die gezet zijn om geschikte huisvesting te vinden. De CTIVD gaat, zoals reeds eerder gesteld, zelf over de werving van personeel.
Zoals ook in het gesprek dat met uw kamer is gevoerd op 27 juni 2024 is aangegeven door het RVB, heeft AZ in mei 2022 een verzoek bij het RVB neergelegd om een voorstel te doen om zowel korte als lange termijn huisvesting te realiseren voor de CTIVD. Na oplevering van het resultaat hiervan is door een stuurgroep van AZ, CTIVD en het RVB besloten om voorrang te geven aan het realiseren van de lange termijn huisvesting aan de Turfmarkt en de korte termijn nog niet verder uit te werken. Dit omdat de investering voor de korte termijn huisvesting relatief hoog is voor een korte periode en vanwege een beperkte capaciteit bij het RVB.
Op basis van de voorgenoemde haalbaarheidsstudie is gebleken dat voor de lange termijn huisvesting van de CTIVD op twee verdiepingen aan de Turfmarkt een reële optie is. Een vervolgonderzoek moet hier definitief uitsluitsel over geven. Als overgegaan wordt tot de verbouwing, is de inschatting dat oplevering van de huisvesting op de Turfmarkt uiterlijk in de zomer van 2026 kan plaatsvinden.
Voor de tijdelijke oplossing zijn begin 2024 werkplekken bij de AIVD in Zoetermeer gerealiseerd, waarvan pas later is gebleken dat dit voor de CTIVD nog geen volwaardige werkplekken zijn, onder andere vanwege het ontbreken van de eigen beveiligde systemen. Inmiddels is een nieuwe overbruggingsoptie aan de CTIVD aangeboden. Hier kan de CTIVD als geheel, inclusief het nieuw te werven personeel, per begin januari 2025 in tot de definitieve oplossing aan de Turfmarkt gereed is.
In het kader van de parlementaire behandeling van de Tijdelijke wet is aangegeven dat er bij de CTIVD behoefte is aan ruimere huisvesting en dat hier door de regering aan wordt gewerkt. Dit heeft richting de Tweede Kamer plaatsgevonden in de nota naar aanleiding van het verslag van 4 september 2023 en tijdens het wetgevingsoverleg van 16 oktober 2023.6 Hierop is in meer detail ingegaan richting de Eerste Kamer, onder andere in de nota naar aanleiding van het verslag van 28 februari 2024.7

Vraag 12

In de beantwoording op vragen van de Eerste Kamer, schreef u in februari 2024 dat er «ter overbrugging voorzien [is] in een tijdelijke oplossing die ruimte biedt aan minimaal de extra capaciteit om uitvoering te geven aan de Tijdelijke wet.» Op welke oplossing doelde u? Is deze optie nog in beeld? Zo nee, waarom niet?

Het betreft hier de werkplekken die voor de CTIVD in het AIVD-pand in Zoetermeer zijn gerealiseerd. De CTIVD heeft deze werkplekken in februari 2024 in gebruik genomen, maar heeft hiervan inmiddels aangegeven dat deze plekken niet als volwaardig kunnen worden beschouwd. Dit onder meer vanwege het ontbreken van het eigen -gerubriceerde- computersysteem, maar ook omdat het wenselijk is om, ook in de overbruggingsperiode, de CTIVD als geheel bij elkaar te huisvesten. Inmiddels is, zoals ook in de vorige vraag aangegeven, een oplossing gevonden ter overbrugging. Deze wordt beschikbaar per januari 2025. Tot die tijd zullen de werkplekken bij de AIVD nog steeds als werkplek voor de CTIVD behouden blijven.

Vraag 13

Bent u het met de indiener eens dat tijdelijk inwonen bij de AIVD voor de onafhankelijke CTIVD, die juist toezicht moet houden op deze dienst, geen optie is?

Het kabinet benadrukt het belang van onafhankelijk toezicht op de inlichtingendiensten- en veiligheidsdiensten. Zoals gezegd zoekt AZ al geruime tijd, samen met andere partijen binnen de overheid zoals het RVB, naar geschikte huisvesting voor de CTIVD. Dit is echter geen gemakkelijke opgave vanwege alle beveiligingsvereisten waar die huisvesting aan moet voldoen. Het gaat om eisen die vergelijkbaar zijn met de eisen aan de huisvesting van de diensten zelf. In afwachting van de lange termijn huisvesting en om voor de korte termijn tegemoet te komen aan de extra huisvestingsbehoefte van de CTIVD, heeft de AIVD daarom werkplekken gerealiseerd.
Gezien de taken van de CTIVD is het belangrijk dat zij onafhankelijk van de inlichtingen- en veiligheidsdiensten kan opereren. Gedeelde huisvesting staat hier echter niet aan in de weg. De CTIVD kan, ook vanaf deze werkplekken, onafhankelijk werken. Het kabinet deelt niet de mening van de indiener dat (tijdelijk) inwonen bij de AIVD geen optie zou zijn.

Vraag 14

Is er inmiddels een schetsontwerp afgerond voor definitieve huisvesting? Op welke termijn verwacht u dat deze gerealiseerd is en in gebruik kan worden genomen? Waarop baseert u die inschatting?

Zie antwoord 6.

Vraag 15

Kunt u uw uitspraak van 5 maart 2024, bij de behandeling van de Tijdelijke wet in de Eerste Kamer, nader toelichten «We hebben de CTIVD met tien fte uitgebreid [...] Ja. De CTIVD is dus met tien fte uitgebreid.» Was u destijds op de hoogte dat het de CTIVD niet lukt om deze 10 fte te werven zonder huisvesting?4

Op dat moment was het zo dat de gevraagde extra fte door de CTIVD mogelijk was gemaakt doordat de financiering daarvan was geregeld. Dat de CTIVD de werving had stopgezet als gevolg van een gebrek aan huisvesting was op dat moment niet duidelijk. Ook was het op dat moment nog niet duidelijk dat de werkplekken bij de AIVD niet als volwaardige vervanging werden beschouwd voor de CTIVD.

Vraag 16

Kunt u deze vragen afzonderlijk en nog vóór de inwerkingtreding van het nieuwe regime van toezicht vanaf 1 juli 2024 beantwoorden?

Het is niet haalbaar gebleken deze vragen vóór 1 juli 2024 te beantwoorden.

Vraag 1

Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?

Ja, dat klopt.

Vraag 2

Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?

Het hoofdfiche digitalisering is ten behoeve van de formatietafel opgesteld onder auspiciën van de Ambtelijke Commissie Digitalisering (ACD). Alle departementen zijn op hoog-ambtelijk niveau in deze commissie vertegenwoordigd.
De onderliggende fiches zijn gemaakt door verschillende departementen. Om een integraal beeld te bieden, hebben departementen aangegeven welke fiches zij hebben opgesteld die kunnen worden verbonden aan de opgaven op het gebied van digitalisering die in het hoofdfiche digitalisering worden genoemd. Deze onderliggende fiches zijn niet vastgesteld in de ACD. De verschillende departementen zijn zelf verantwoordelijk voor deze fiches en hebben dan ook zelf een afweging gemaakt om een bepaald fiche te verbinden aan het hoofdfiche digitalisering.
Ik ben niet bekend met eventuele andere fiches die raken aan digitale zaken dan de zeventwintig fiches die in het hoofdfiche zijn opgenomen.

Vraag 3

Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?

Uit artikel 5.4 van de Wet open overheid (Woo) volgt dat in beginsel geldt dat documenten die ten behoeve van de formatie zijn opgesteld – zoals de onderhavige fiches – uitgezonderd zijn van openbaarheid totdat de formatie is afgerond. Deze bepaling werkt ook door in de wijze waarop ik met het verzoek vanuit uw Kamer dien om te gaan.
Dit betekent dat alle fiches eventueel pas openbaar gemaakt kunnen worden als de formatie is afgerond. Hierbij geldt, als in antwoord op vraag 2 genoemd, dat het hier gaat om fiches van verschillende departementen. De afweging om de fiches nadien openbaar te maken is aan de dan verantwoordelijke bewindspersonen. Hierbij geldt als gedeeld uitgangspunt dat dergelijke stukken in beginsel openbaar kunnen worden gemaakt, met dien verstande dat er ook redenen kunnen zijn om dat niet te doen, dan wel om gedeeltelijk te verstrekken.

Vraag 1

Bent u bekend met het bericht «Politiechefs spreken zich uit tegen versleutelde chatberichten» (NU.nl, 22 april)?1

Ja

Vraag 2

Wat is uw reactie op de oproep van Europese politiechefs om actie te ondernemen tegen online platforms die berichten end-to-end versleutelen? Heeft u hierover contact gehad met uw Europese collega's? Welke acties verbinden u en uw collega's aan deze oproep?

Vraag 3

Wat is uw standpunt en wat is het standpunt de Nederlandse politie over end-to-end versleuteling? Onder welke concrete voorwaarden vindt u het verbreken van end-to-end versleuteling gerechtvaardigd, zowel individueel gericht als via het inbouwen van een generieke achterdeur bij versleutelde berichtenplatforms?

De Kamer heeft in juli 2022 middels de motie van het lid Van Raan c.s. de regering verzocht end-to-end-encryptie in stand te houden en voorstellen die dat onmogelijk maken niet te steunen. Het vorige kabinet heeft, in antwoord op dit verzoek, toegezegd uitvoering te geven aan deze motie.3 Dit standpunt staat hier niet ter discussie.
Wel wil ik, zoals mijn voorganger vaak heeft benadrukt, het belang onderstrepen dat wij moeten blijven zoeken naar mogelijkheden om rechtmatige toegang tot gegevens mogelijk te maken en/of te behouden. Zoals de Kamer is geïnformeerd wordt onder andere in Europees verband naar oplossingen gezocht.4 Dat is echter een lang proces, waarbij nog geen concrete oplossingen in zicht zijn.
Overigens geeft (vooral) het Wetboek van Strafvordering bevoegdheden voor de opsporing van strafbare feiten. Deze bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd werk, kunnen leiden tot een inbreuk op de persoonlijke levenssfeer en zijn daarom met voorwaarden en waarborgen omkleed. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal. Of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, wordt derhalve niet bepaald door de keuze van de beveiligingstechniek van de verdachte.

Vraag 4

Heeft u contact gehad met Europol en de nationale politie over deze gezamenlijke oproep? Ontvangt u dergelijke signalen ook van Nederlandse politiechefs? Zo ja, wat is uw reactie?

Vraag 5

Deelt u de mening van politiechefs dat end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is? Zo ja, hoe ziet u dat voor zich? Hoe stelt u voor dat dit technisch kan zonder dat deze achterdeur algemeen beschikbaar komt en daarmee een einde maakt aan end-to-end versleuteling?

De hoofden van politie wijzen op de uitdagingen voor de opsporing bij de rechtmatige toegang tot gegevens. Zij roepen op tot het mogelijk houden dan wel maken van die rechtmatige toegang, waarbij zij tevens vermelden dat de technische oplossingen hiervoor kunnen verschillen voor diverse platforms of vormen van toegang. Zoals gemeld wordt momenteel onder andere in Europees verband naar oplossingen gezocht.
De politie geeft in haar verklaring niet aan dat «end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is». Het is van belang te zoeken naar mogelijkheden om te voorkomen dat er vrijplaatsen voor criminele activiteiten ontstaan, die tevens recht doen aan het belang van het in stand houden van end-to-end encryptie.

Vraag 6

In de Staat van de Unie 20232 schrijft u dat «end-to-end encryptie niet onmogelijk (mag) worden gemaakt,» tegelijkertijd stelt u in eerdere antwoorden op Kamervragen van de leden Kuik en Slootweg3 dat «het van belang [is] dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot (end-to-end versleuteld) berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.» Hoe verenigt u deze standpunten? Zou toegang onder bepaalde voorwaarden en waarborgen end-to-end versleuteling niet per definitie onmogelijk maken?

Een inperking van de privacy door de overheid moet steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Waar nodig worden in wettelijke regelingen daarover waarborgen opgenomen, zoals een rechterlijke machtiging voor het inperken van de vertrouwelijkheid van communicatie. In het kader van de opsporing van strafbare feiten betreft dergelijke wetgeving vooral het Wetboek van Strafvordering. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal geformuleerd. Welke beveiligingsmethodiek wordt toegepast, is niet van belang voor de vraag of een inbreuk op de privacy gerechtvaardigd is.
Toegang tot informatie in specifieke gevallen leidt niet noodzakelijkerwijs tot het onmogelijk maken van end-to-end-encryptie. Wanneer informatie wordt getransporteerd tussen twee punten («end-to-end») kan deze worden beveiligd (versleuteld) worden met end-to-end-encryptie. Deze beveiligingsmethode zorgt er voor dat tijdens het transport van die informatie derden dit bericht niet in leesbare vorm kunnen onderscheppen. Om toch toegang tot het berichtenverkeer te verkrijgen, bijvoorbeeld omdat op grond van wettelijke bevoegdheden tot toegang tot de berichten van een verdachte in het kader van een opsporingsonderzoek is besloten, zijn er in theorie diverse mogelijkheden. Het bericht kan bijvoorbeeld versleuteld worden onderschept en later worden ontsleuteld. Dit blijkt echter tegenwoordig in de praktijk vaak technisch niet mogelijk. Een andere mogelijkheid is dat de aanbieder van de communicatiedienst de encryptie voor de berichten van een specifieke verdachte niet toepast en de berichten onversleuteld aan de autoriteiten verstrekt, zoals ook aanbieders van openbare telecommunicatiediensten verplicht zijn de versleuteling ongedaan te maken in het geval van het aftappen van telecommunicatie. De end-to-end-versleuteling wordt voor berichten van en naar deze specifieke verdachte dan uitgezet. Zoals eerder is toegelicht aan uw Kamer staat deze methode los van andere processen die plaatsvinden op een apparaat.7 Een manieren waarop inzicht in informatie kan worden verkregen op het apparaat is bijvoorbeeld het binnendringen in een geautomatiseerd werk. Met een dergelijke methode is er toegang tot de gegevens op het apparaat in plaats van tijdens het transport. De berichten zijn dan veelal in leesbare vorm, omdat deze op het apparaat nog niet zijn versleuteld voor het transport, of reeds zijn ontsleuteld na het transport.
Deze mogelijkheden kunnen een meer dan geringe inbreuk op de privacy opleveren en zijn daarom met passende wettelijke voorwaarden en waarborgen omkleed. Zo moeten zij onder meer voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Voor een nadere toelichting wil ik verwijzen naar brieven van 8 mei, 28 juni en 18 september 2023 aan uw Kamer.8

Vraag 7

Bent u bekend met cryptotelefoons? Zo ja, hoe denkt u te voorkomen dat criminelen gebruik maken van deze devices in plaats van reguliere end-to-end versleutelde berichtenplatforms? Hoe weegt u de effectiviteit van de inbreuk op de privacy van miljoenen mensen tegenover de georganiseerde misdaad die vervolgens via cryptotelefoons anoniem kan blijven communiceren?

Ja, ik ben bekend met cryptotelefoons. Deze zijn op zichzelf niet verboden. Voor handhavingsautoriteiten is het probleem bij cryptotelefoons niet anders dan bij andere sterk versleutelde diensten: iedereen, inclusief gerechtelijke autoriteiten in Europese lidstaten die handelen op basis van wettelijke bevoegdheden, wordt toegang ontzegd tot de inhoud van deze berichten door het platform dat de communicatie mogelijk maakt. Dit gebrek aan rechtmatige toegang tot digitale gegevens raakt tevens de kern van de zorg die wordt uitgesproken door de nationale hoofden van politie in hun verklaring d.d. 18 april.9

Vraag 8

Wat is het staande beleid ten opzichte van de strategie «store-now-decrypt-later»? Wordt er nu al door veiligheidsdiensten versleutelde informatie opgeslagen, om deze op een later moment te ontsleutelen? Hoe lang mag de politie deze informatie dan hiervoor opslaan?

Ik ben bekend met het store-now-decrypt-later-begrip en de mogelijkheid om versleutelde informatie op te slaan om deze op een later moment te kunnen ontsleutelen indien er in de toekomst een kwantumcomputer beschikbaar komt. In dat verband wil ik wijzen op de strategie die de rijksoverheid heeft ontwikkeld om organisaties te helpen de risico’s van kwantumtechnologie op cryptografie op tijd te beheersen, door tijdig te migreren naar zogenaamde post-quantum cryptografie.10 Deze vorm van cryptografie biedt weerstand tegen het eerder genoemde store-now-decrypt-later-scenario.
Op uw vraag over de veiligheidsdiensten wijs ik erop dat over de precieze werkwijze van de inlichtingen- en veiligheidsdiensten in het openbaar geen uitspraken worden gedaan. Voor de politie in Nederland geldt dat zij in het kader van de opsporing versleutelde persoonsgegevens rechtmatig kunnen vergaren op grond van diverse bevoegdheden uit het Wetboek van Strafvordering. De wettelijke bewaartermijnen voor politiegegevens, zoals onder andere opgenomen in de Wet politiegegevens, maken geen onderscheid tussen versleutelde en onversleutelde gegevens.

Vraag 9

Bent u bekend met de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland?4 Bent u eveneens bekend met de gezamenlijke reactie van de European Data Protection Board (EDPB) van 13 februari 2024 op de Verordening ter voorkoming en bestrijding van seksueel kindermisbruik (CSAM)?5 Bent u bovendien bekend met het standpunt van het Europese Hof van Justitie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?6

Ja, ik ben bekend met de uitspraak in de zaak Podchasov v. Rusland.
Daarnaast ben ik bekend met de verklaring van het Europees Comité voor gegevensbescherming van 13 februari 2024. Dit betreft echter geen reactie op de Verordening ter bestrijding en voorkoming van seksueel kindermisbruik zoals voorgesteld door de commissie, maar op het (tegen)voorstel zoals gedaan door het Europees Parlement op 22 november 2023.14 Ten slotte ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems. Versleutelde berichten of versleuteling speelden echter geen rol in deze zaak.

Vraag 10

Onderschrijft u de conclusies van deze zwaarwegende uitspraken omtrent end-to-end versleuteling volledig? Kunt u op de uitspraken en standpunten van de drie organisaties afzonderlijk reageren?

In de zaak Podchasov v. Rusland is klager een Russische onderdaan, en gebruiker van de berichtenapplicatie Telegram. Telegram is door de Russische staat aangemerkt als «Internet organisator van communicatie». Als gevolg hiervan is het bij wet verplicht om alle communicatiegegevens op te slaan voor de duur van een jaar en de inhoud van alle communicatie gedurende zes maanden. Verder is bepaald dat deze gegevens kunnen worden voorgelegd aan de rechtshandhavingsinstanties of veiligheidsdiensten, samen met de informatie die nodig is om versleutelde berichten te kunnen ontsleutelen.15 Het EHRM overweegt dat het opslaan van de gegevens van klager een inmenging is in het recht op privéleven (artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM)). Deze inmenging kan gerechtvaardigd zijn indien deze heeft plaatsgevonden in overeenstemming met de wet, een legitiem doel dient en noodzakelijk is in een democratische samenleving. Het EHRM overweegt dat nationale wetgeving voldoende waarborgen moet bieden met betrekking tot onder andere de duur, de opslag, het gebruik, de toegang van derden, procedures voor het bewaren van de integriteit en vertrouwelijkheid van gegevens en procedures voor de vernietiging ervan, zodat er voldoende garanties zijn tegen het risico van misbruik en willekeur, om te voorkomen dat persoonsgegevens in strijd met artikel 8 EVRM worden gebruikt. De nationale wetgeving moet er met name voor zorgen dat de bewaarde gegevens relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden bewaard, en dat ze in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden bewaard. Daarnaast moet de wetgeving aan het voorzienbaarheidsvereiste voldoen.
Het EHRM overweegt dat Russische wetgeving communicatieaanbieders verplicht tot het installeren van technieken die directe toegang door de Russische veiligheidsdiensten tot de communicatie mogelijk maken. De Russische opsporingsautoriteiten moeten weliswaar een rechterlijke machtiging verkrijgen alvorens deze gegevens te kunnen raadplegen, maar er bestaat geen verplichting om die machtiging ook aan de communicatieaanbieder te tonen.16 Gezien het risico van misbruik dat een dergelijke regeling in het leven roept, moet de wet voldoende waarborgen bevatten tegen willekeur en misbruik. Het EHRM oordeelt dat daar in deze zaak onvoldoende sprake van is.
Met betrekking tot de verplichting tot medewerking van Telegram aan het ontsleutelen van alle end-to-end versleutelde communicatie overweegt het EHRM:
«Deze maatregelen kunnen naar verluidt niet worden beperkt tot specifieke individuen en zouden zonder onderscheid iedereen treffen, inclusief individuen die geen bedreiging vormen voor een legitiem overheidsbelang. Het verzwakken van de encryptie door het creëren van achterdeuren zou het blijkbaar technisch mogelijk maken om routinematige, algemene en willekeurige surveillance van persoonlijke elektronische communicatie uit te voeren.»
Het EHRM overweegt dat onder die omstandigheden de bovengenoemde verplichting die Rusland oplegde aan Telegram niet proportioneel is ten aanzien van het beoogde doel.17 Het EHRM concludeert dat de bestreden Russische wetgeving onvoldoende adequate waarborgen tegen misbruik bevat en de kern van artikel 8 EVRM aantast – het recht op eerbiediging van het privéleven.
Het vorige kabinet heeft aangegeven uitvoering te geven aan de motie-Van Raan en heeft dit standpunt uitgebreid weergegeven en onderbouwd. Dit standpunt, dat hier niet ter discussie staat, staat haaks op het creëren van enige verplichting tot afzwakking, uitschakeling of algehele ontsleuteling van end-to-end versleutelde informatie.
Het Europese Hof in de zaak Schrems schreef dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd».18
Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelde in deze zaak.
Het kabinet onderschrijft de conclusie van het Europees Comité voor gegevensbescherming dat end-to-end versleuteling een belangrijk middel is om de vertrouwelijkheid van elektronische communicatie te kunnen bewerkstelligen.

Vraag 11

Is uw standpunt over end-to-end versleuteling veranderd naar aanleiding van de recente uitspraken van het EHRM en EDPB? Zo ja, op welke wijze draagt u dit uit bij lopende onderhandelingen in Europa en het binnenland over wet- en regelgeving? Zo niet, kan u met voorbeelden onderbouwen dat het huidige kabinetsstandpunt voldoende invulling geeft aan de uitspraken van de rechter en de EDPB?

Nee. Dit standpunt, zoals aangehaald en beschreven in mijn beantwoording op uw vorige vragen, is niet strijdig met voornoemde uitspraken.

Vraag 12

Biedt het geactualiseerde Grondwetsartikel 13 over het brief- en telecommunicatiegeheim een absolute garantie dat er geen verzwakkingen van end-to-end versleuteling mogen plaatsvinden in Nederland? Zijn de aanbevelingen van de staatscommissie-Grondwet 2010 hiermee volledig geïmplementeerd?7

De doelstelling van artikel 13 Grondwet (Gw) betreft het beschermen van de vertrouwelijkheid van communicatie. Die bescherming geldt met en zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om daartegen te beschermen. Artikel 13 schrijft niet voor of en op welke wijze private partijen hun communicatie dienen te beschermen.20 Dat een beveiligingsmethode eventueel gekraakt kan worden doet aan de juridische bescherming niet af.21 Overigens biedt artikel 13 Gw expliciet de mogelijkheid inperkingen te maken op het communicatiegeheim. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. Een voorbeeld van een dergelijke beperking is inzet van de interceptiebevoegdheid ten behoeve van de opsporing van strafbare feiten. Voorafgaande machtiging van de rechter is dan vereist.
In 2010 adviseerde de Staatscommissie om de bescherming van artikel 13 Gw te beperken tot de transportfase van de informatie en de inhoud van de communicatie buiten de bescherming van artikel 13 te laten vallen.22 In de memorie van toelichting bij de herziening van dit grondwetsartikel, alsmede tijdens debatten over het wetsvoorstel in de Tweede Kamer, is toegelicht waarom voor een andere, tevens techniek-onafhankelijke benadering is gekozen bij de vormgeving van dit grondwetsartikel.23 In de kern komt het erop neer dat bij de bescherming van het telecommunicatiegeheim is gekozen om niet het middel dat bescherming kan bieden, maar bescherming van de inhoud van de communicatie zelf centraal te stellen.24

Vraag 13

Bent u bereid om samen met de nationale politie en de Autoriteit Persoonsgegevens tot een eenduidig standpunt te komen over het borgen van end-to-end versleuteling, dat recht doet aan de uitspraken van het EHRM, EHJ en de EDPB, en dit blijvend uit te dragen in Nederland en Europa?

Zoals gezegd is voornoemd standpunt inzake end-to-end-encryptie niet strijdig met voornoemde uitspraken. Voor nadere uitleg verwijs ik naar mijn puntsgewijze beantwoording van vraag 10.

Vraag 14

Kunt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Geheime afmeldcodes van duizenden alarmsystemen opvraagbaar door softwarefout»?1

Ja.

Vraag 2

Is het u bekend welke (Rijks-)overheidsorganisaties en vitale organisaties getroffen zijn door het lek in de systemen van SMC en Securitas? Zo ja, kunt u een overzicht aanleveren? Zo nee, waarom niet?

Nee, dat is mij niet bekend. SMC en Securitas zijn zelf verantwoordelijk voor het informeren van hun klanten over het lek. Vanwege de aard en beperkte impact van het lek heeft het Nationaal Cyber Security Centrum (NCSC) geen reden gezien om hierover verdere navraag te doen bij Rijksoverheidsorganisaties en vitale aanbieders.

Vraag 3

Zijn alle (Rijks-)overheidsorganisaties en vitale organisaties die getroffen zijn door het lek in de systemen van SMC en Securitas inmiddels op de hoogte van het lek? Is het u bekend of zij allemaal inmiddels maatregelen hebben getroffen?

Zowel SMC als Securitas heeft te kennen gegeven dat na eigen onderzoek geen indicatie van actief misbruik van het lek is waargenomen bij bedrijven en andere organisaties die gebruik maken van de systemen van SMC en Securitas. Daarnaast hebben zij aangegeven aanvullende maatregelen te hebben genomen zoals het offline halen van kwetsbare systemen, het resetten en verwijderen van de oude afmeldcodes en het inrichten van een nieuw verificatieproces. (Rijks-)overheidsorganisaties en vitale organisaties zijn daarmee voldoende beschermd.
Het NCSC heeft besloten geen algemeen advies op te stellen vanwege de maatregelen die door SMC en Securitas zijn getroffen, de aard van de kwetsbaarheid en de daardoor geringe impact op haar doelgroep.

Vraag 4

Heeft u contact gehad met SMC en Securitas over dit incident? Zo ja, welke stappen gaat u de komende periode zetten om dit probleem af te wikkelen? Zo nee, waarom niet?

Het NCSC en het Digital Trust Center (DTC) hebben meerdere malen contact gehad met SMC en Securitas over de kwetsbaarheid. Met name gelet op de toelichting van de zijde van SMC en Securitas in die gesprekken over de aard en beperkte impact van dit lek op bedrijven en andere organisaties is door het NCSC besloten hierover geen verdere actie te ondernemen ten behoeve van de eigen doelgroep. Zie ook antwoord op vraag 3.

Vraag 5

Gaat u getroffen bedrijven helpen om de risico's van dit lek zo goed en snel mogelijk te mitigeren? Welke middelen zijn hiervoor beschikbaar? Zo nee, waarom niet?

Zie antwoord op vraag 3 en vraag 4.
Het product waarin de kwetsbaarheid is gevonden, was een zogenaamd end-of-life product. Dit betekent dat dit product niet meer werd onderhouden of ondersteund door de leverancier. Het gebruik van dit soort producten brengt een risico met zich mee. Het Nationaal Cyber Security Centrum (NCSC) heeft diverse adviesproducten op de website over risicomanagement in het algemeen en het omgaan met producten waarvan het onderhoud en ondersteuning door de leverancier afloopt in het bijzonder. In de toekomst moeten nieuwe digitale producten die op de Europese markt worden gebracht voldoen aan cybersecurityeisen conform de Cyber Resilience Act. Dit betreft onder meer het verplicht en gratis leveren van veiligheidsupdates, zolang je mag verwachten dat een product kan worden gebruikt.

Vraag 6

Hebben gevoelige gegevens en locaties gevaar gelopen door dit lek? Zo nee, waar blijkt dat uit?

SMC en Securitas hebben aangegeven dat er na onderzoek geen indicatie van misbruik is waargenomen. Het Nationaal Cyber Security Centrum (NCSC) heeft zelf ook geen indicaties hiervoor waargenomen.
Van de zijde van SMC en Securitas is aangegeven dat het initieel leek alsof met de kwetsbaarheid onrechtmatig toegang verkregen kon worden tot fysieke locaties. Echter, na onderzoek van deze twee partijen bleek de kwetsbaarheid alleen zogenaamde telefonische afmeldcodes te betreffen richting de centrale. Om een alarm daadwerkelijk uit te schakelen moet lokaal een code fysiek worden ingevoerd. Deze code is alleen bekend bij de klant en was ook niet onderdeel van de kwetsbaarheid. Zonder het invoeren van deze lokale code kan het alarm niet worden uitgeschakeld.

Vraag 7

Kunt u aangeven of dit lek meer alarmcentrales heeft getroffen dan enkel Securitas en SMC?

Van andere alarmcentrales is niet bekend of deze zijn getroffen.

Vraag 8

Kunt u aangeven of de aantallen, van minstens 26.000 getroffen organsaties en personen, kloppen? Hoeveel organisaties en personen zijn er volgens u getroffen?

Het Nationaal Cyber Security Centrum (NCSC) kan dit aantal niet bevestigen, met name ook omdat het zelf geen meldingen hierover van organisaties heeft ontvangen. Zie beantwoording vraag 6.

Vraag 9

Kunt u aangeven of het Nationaal Cyber Security Centrum (NCSC) of een andere overheidsorganisatie betrokken is bij het onderzoek dat SMC zelf uitvoert naar de scope van het lek? Worden de uitkomsten daarvan gedeeld met de Minister en andere relevante partijen, zoals de Autoriteit Persoonsgegevens?

Het SMC is primair verantwoordelijk voor het onderzoek naar de scope van het lek en het delen van de uitkomsten daarvan. Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hebben meerdere malen contact gehad met SMC en Securitas over de kwetsbaarheid. Zoals aangegeven in het antwoord op vraag 6 is het onderzoek inmiddels afgerond en zijn de uitkomsten gedeeld met het Ministerie van Justitie en Veiligheid. Op grond van de AVG is elke organisatie die te maken heeft met een datalek zelf verantwoordelijk om daar melding van te doen bij de Autoriteit Persoonsgegevens. SMC en Securitas hebben aangegeven melding van het onderhavige lek te hebben gedaan bij de Autoriteit Persoonsgegevens.

Vraag 10

Kunt u aangeven of de softwareontwikkelaar die het lek heeft aangetroffen zich had kunnen melden bij het NCSC om een Coordinated Vulnerability Disclosure te doen?

Deze persoon heeft een Coordinated Vulnerability Disclosure, ook wel CVD-melding genoemd, bij het NCSC gedaan.

Vraag 11

Wat kunt u doen om het doen van Coordinated Vulnerability Disclosures bij NCSC breder bekend te maken bij mensen die werkzaam zijn in de IT-sector?

Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum(NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Ontvangt u signalen dat beeldmateriaal van mensen met een beperking onterecht wordt afgeschermd en verwijderd van Facebook?

In algemene zin merk ik dat de moderatiekeuzes van grote platforms kunnen leiden tot gefronste wenkbrauwen in de samenleving. Content zou onterecht verwijderd worden, of juist onterecht worden gehandhaafd. Ook is er discussie over of platforms bepaalde inhoud minder zichtbaar maken in hun netwerk. Over het door u genoemde geval heb ik geen signalen ontvangen. Laat ik heel helder zijn: discriminatie door grote platformbedrijven wordt niet geaccepteerd.
Sinds de komst van de Europese digitaledienstenverordening (DSA) worden platforms verplicht hun moderatiepraktijken duidelijk kenbaar te maken, en waarborgen te bieden aan gebruikers bij het modereren van inhoud. Voorop staat in ieder geval dat de vrijheid van meningsuiting en het discriminatieverbod daarin duidelijk moeten worden meegenomen.

Vraag 2

Staat het een groot sociale media platform als Facebook vrij om alledaagse foto’s en video’s van mensen met een amputatie te verwijderen omdat dit aangemerkt wordt als «het vieren van lijden of vernedering» en «overmatig gewelddadig» zou zijn? Is dit volgens u in lijn met nationaal en Europees beleid?

Grote sociale media platforms mogen op basis van hun algemene voorwaarden aan moderatie van inhoud doen. Inhoud die in strijd is met de algemene voorwaarden, mogen zij minder zichtbaar maken of verwijderen.
Dat is echter geen vrijbrief: de DSA stelt voorwaarden met betrekking tot de transparantie over inhoudsmoderatie. Zo moet elk moderatiebesluit gemotiveerd worden en moeten gebruikers geïnformeerd worden over de mogelijkheden in beroep te gaan of bezwaar aan te tekenen via het intern klachtenafhandelingssysteem van het platform, of waar mogelijk bij een onafhankelijk geschillenbeslechtingsorgaan.
Bovendien mogen platforms bij het aanbieden van hun diensten niet discrimineren op grond van handicap. Artikel 5b van de Wet gelijke behandeling op grond van handicap of chronische ziekte (Wgbh/cz) verbiedt het maken van onderscheid bij het aanbieden van of verlenen van toegang tot goederen of diensten en bij het sluiten, uitvoeren of beëindigen van overeenkomsten ter zake. Dit verbod richt zich ook tot sociale media platforms die in Nederland actief zijn. Op basis van deze wet is het ook mogelijk om een uitspraak te vragen van het College voor de rechten van de mens ten aanzien van de vraag of en wanneer er sprake is van ongeoorloofd onderscheid (art. 12 Wgbh/cz, in samenhang met artikel 10 Wet College voor de rechten van de mens).

Vraag 3

Hoe beoordeelt u het verwijderen en afschermen van foto's en video's van mensen met een zichtbare beperking door sociale media platforms als het gaat om uitingen geplaatst door mensen die zelf een beperking hebben, belangenorganisaties en journalistieke organisaties? Kunt u op iedere doelgroep apart ingaan?

Het verwijderen van content mag nooit leiden tot discriminatie. Grote sociale media platforms doen aan moderatie van de inhoud en maken daarbij constant afwegingen tussen verschillende belangen en rechten. Daarbij dienen sociale media platforms rekening te houden met het verbod van onderscheid, zoals opgenomen in de Wgbh/cz. Het verwijderen van foto’s en video’s van mensen met een zichtbare beperking die deze personen op eigen accounts hebben geplaatst, is mogelijk discriminerend. De platforms dienen zich ten opzichte van alle aanwezige content te houden aan dit verbod. Dat geldt dus voor content geplaatst door individuen, belangenorganisaties en journalistieke organisaties (of journalisten).
Zoals ook opgemerkt in het vorige antwoord kunnen mensen met een zichtbare beperking die vermoeden dat beeldmateriaal ten onrechte van hun account wordt verwijderd een klacht indienen via het intern klachtenafhandelingssysteem van het platform zelf of waar mogelijk via een onafhankelijk geschillenbeslechtingsorgaan. Daarnaast kunnen ze het College voor de rechten van de mens verzoeken om een oordeel over de vraag of het sociale media platform daarmee handelt in strijd met de Wgbh/cz. Ook organisaties die in overeenstemming met hun statuten de belangen behartigen van diegenen in wier bescherming de Wgbh/cz beoogt te voorzien, kunnen een beroep doen op de bescherming van deze wet. Tot slot staat natuurlijk een gang naar de rechter open.

Vraag 4

Bent u het met eens met de stelling dat het vrij kunnen delen van foto's en video's van mensen met een zichtbare beperking bijdraagt aan de representatie en normalisatie van deze doelgroep?

Iedereen hoort zich vrij te kunnen voelen om foto’s en video’s van zichzelf te delen. Ik ben het eens met de vragenstellers dat het delen van foto’s en video’s van mensen met een zichtbare beperking kan bijdragen aan de representatie en normalisatie van deze doelgroep, afhankelijk van het beeld of videomateriaal en in welke context dit wordt gedeeld.

Vraag 5

Wat gaat u verder doen om mensen met een zichtbare beperking in uw eigen uitingen een prominentere plek te geven, bijvoorbeeld door inclusieve stockfoto's te gebruiken en beschikbaar te stellen voor derden?

Ik erken het belang van representatie en inclusie in de communicatie-uitingen, en zal me blijvend inzetten om beeld te ontwikkelen en te gebruiken conform de aanbevelingen uit het onderzoek «Diversiteit in Beeld» van de Dienst Publiek en Communicatie en de tips die daarin zijn opgenomen voor inclusief beeldgebruik.1

Vraag 6

Welke Nederlandse en Europese wetgeving stelt eisen aan de wijze waarop content op grote online platforms gemodereerd moet worden? Welke zekerheid wordt hierin geboden dat mensen met een zichtbare beperking foto’s en video’s van zichzelf kunnen plaatsen op hun eigen sociale media kanalen net als iedere andere gebruiker?

De DSA legt voorwaarden op aan de manier waarop inhoudsmoderatie moet worden uitgevoerd. Zo moet een besluit om inhoud te verwijderen gemotiveerd worden en moet een vorm van bezwaar of beroep openstaan. Indien een sociaal media platform inhoud modereert, dan verplicht de DSA bovendien om daarbij gepaste aandacht te hebben voor de rechten en legitieme belangen van alle betrokkenen, waaronder de fundamentele rechten uit het handvest zoals de vrijheid van meningsuiting en het recht van non-discriminatie.
Zoals in het antwoord op vraag 2 ook is opgemerkt, dienen online platforms die actief zijn in Nederland rekening te houden met de Wgbh/cz. Deze wet bevat onder meer een verbod op discriminatie bij het aanbieden van diensten, waaronder ook online dienstverlening wordt begrepen (vergelijk College voor de rechten van de mens, oordeel 2020-106, overweging 6.1).
Kort gezegd beschermt de DSA de vrijheid van meningsuiting van burgers om niet-illegale inhoud te uiten, en bijvoorbeeld in bezwaar te gaan tegen moderatiebesluiten zoals verwijdering. Daarnaast verplicht het platforms om hun systemen zo in te richten dat systeemrisico’s en negatieve effecten op de samenleving worden beperkt.
Artikel 34, eerste lid, onder b en c, van de DSA verplicht platforms rekening te houden met «eventuele werkelijke of voorzienbare negatieve effecten met betrekking tot ernstige negatieve gevolgen voor het geestelijke welzijn van de persoon», en met «werkelijke of voorzienbare negatieve effecten op de uitoefening van de grondrechten, met name het in artikel 21 van het Handvest verankerde grondrecht op non-discriminatie.»
Aanbieders van zeer grote online platforms en van zeer grote online zoekmachines moeten met name rekening houden met de vraag of en hoe het ontwerp van hun aanbevelingssystemen en andere relevante algoritmische systemen, hun inhoudsmoderatiesystemen, de toepasselijke algemene voorwaarden en de handhaving ervan, systemen voor de selectie en weergave van reclame en data-gerelateerde praktijken van de aanbieder van invloed zijn op deze systeemrisico’s.
Onder artikel 35 van de DSA worden aanbieders van zeer grote online platforms en van zeer grote online zoekmachines verplicht om redelijke, evenredige en doeltreffende risicobeperkende maatregelen te nemen die zijn toegesneden op de specifieke systeemrisico’s. Dergelijke maatregelen omvatten aanpassing van het ontwerp, de kenmerken of de werking van hun diensten, met inbegrip van hun online-interfaces, aanpassing van hun algemene voorwaarden en de handhaving ervan, aanpassing van inhoudsmoderatieprocedures, testen en aanpassing van hun algoritmische systemen, met inbegrip van hun aanbevelingssystemen, het nemen van bewustmakingsmaatregelen en aanpassing van hun online-interface om de gebruikers van de dienst meer informatie te verschaffen.

Vraag 7

Welke Nederlandse en Europese wetgeving beschermt het recht van mensen met een zichtbare beperking om beeldmateriaal van zichzelf te delen op het internet? Op welke wijze kan u sociale media platforms verplichten om dergelijke foto’s en video’s niet ten onrechte af te schermen of te verwijderen?

Het delen van informatie op internet, waaronder beeldmateriaal, valt onder het recht op de vrijheid van meningsuiting (zoals neergelegd in artikel 7 Grondwet, artikel 10 EVRM en artikel 11 van het EU-Grondrechtenhandvest). Dit recht beschermt mensen tegen een ongerechtvaardigde beperking van de vrije meningsuiting door de overheid. In het geval van sociale media platforms gaat het om een horizontale relatie tussen bedrijven en mensen, waarvoor de DSA regels geeft, zoals transparantie over inhoudsmoderatie. In 2016 heeft Nederland het VN-verdrag inzake de rechten van personen met een handicap geratificeerd. In het verlengde daarvan is de Wgbh/cz uitgebreid met een verbod van onderscheid op grond van handicap of chronische ziekte bij het aanbieden van en het verlenen van toegang tot goederen en diensten. De wet biedt mensen met een zichtbare beperking dus bescherming tegen discriminatie op grond van hun zichtbare handicap bij online dienstverlening.

Vraag 8

Welke rol speelt de Digital Services Act (DSA) in het handhaven op de gelijke behandeling van internetgebruikers met een zichtbare beperking als zij foto’s en video’s van zichzelf delen en hun ervaringen openlijk delen?

De DSA stelt regels aan aanbieders van tussenhandeldiensten, met name als het gaat om hun rol en verantwoordelijkheid bij inhoud die als illegaal of onverzoenbaar met de algemene voorwaarden wordt aangemerkt. Eén van de doelen van de DSA is om daarin ook de mensenrechten te beschermen. Dat doet de DSA onder meer door ervoor te zorgen dat inhoudsmoderatie gebeurt met waarborgen, en door rechten te bieden aan mensen die zich daarin benadeeld voelen. Voor een uiteenzetting verwijs ik graag naar het antwoord op vraag 6.

Vraag 9

Op welke manieren kan iemand melding doen als zij vermoeden dat beeldmateriaal van mensen met een zichtbare beperking ten onrechte wordt verwijderd? Wat is de rol van de overheid en nationale toezichthouders om in te grijpen als er sprake is van discriminatie?

Op grond van de DSA kunnen gebruikers hun recht halen door direct bij het platform te klagen via een intern klachtenafhandelingssysteem, indien mogelijk een buitenrechtelijke geschillenprocedure te starten, of naar de rechter te stappen. Ook kunnen zij een klacht indienen bij de zogenoemde «digitaledienstencoördinator», ofwel de primaire toezichthouder op de DSA. In Nederland is dat de Autoriteit Consument en Markt (ACM).
Daarnaast kunnen mensen met een zichtbare beperking die vermoeden dat beeldmateriaal ten onrechte van hun account wordt verwijderd het College voor de rechten van de mens verzoeken om een oordeel over de vraag of het sociale media platform daarmee handelt in strijd met de Wgbh/cz.

Vraag 10

Hoe vaak heeft u overleg met vertegenwoordigers van sociale media platforms over de naleving van Nederlandse en Europese wetgeving over anti-discriminatie? Doen platforms in uw beleving voldoende om de gelijke rechten van gebruikers met en zonder zichtbare beperking te beschermen? Zo niet, hoe gaat u platforms dwingen tot verbetering?

Het toezicht op de naleving van de DSA door zeer grote online platforms ligt primair bij de Europese Commissie. De toezichthouder in de lidstaat waar zo’n platform gevestigd is, is gedeeltelijk mede bevoegd. Zo is de toezichthouder in Ierland mede bevoegd voor bijvoorbeeld Instagram, TikTok en YouTube. Terwijl de ACM (mede) bevoegd is voor sociale media platforms zoals Snap, Reddit en Discord. De toezichthouders gaan toezien op de naleving en deze zo nodig verbeteren. Daarbij zullen ze waarschijnlijk ook in gesprek gaan met de platforms indien er klachten zijn binnengekomen of als uit onderzoek daar een noodzaak toe blijkt.
Omdat het toezicht elders is belegd, heb ik zelf geen zicht op welke manier platforms zorgen dat de gelijke rechten van gebruikers met en zonder zichtbare beperking worden beschermd. Ik vind het wel van belang dat deze gebruikers niet worden gediscrimineerd.

Vraag 11

Bent u bereid in gesprek te gaan met ervaringsdeskundigen en vertegenwoordigers van mensen met een beperking om in beeld te brengen op welke manieren grote online platforms mensen met een beperking nu benadelen? Kunt u dit vervolgens aankaarten bij de nationale en Europese vertegenwoordigers van grote online platforms?

Vanuit mijn coördinerende rol als Staatssecretaris van Digitalisering vind ik het belangrijk dat de zorgen van ervaringsdeskundigen en vertegenwoordigers van mensen met een beperking worden gehoord. In de «Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie en aankondiging nieuwe acties» vertel ik dat het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de volgende stap zet in een verkenning van een meldvoorziening, een geschillenbeslechtingsorgaan (zoals in artikel 21 van de DSA) en een kenniscentrum. Hier zouden burgers over de hele EU terecht kunnen voor geschillenbeslechting betreffende contentmoderatie besluiten van online platformen. Onderdeel van deze volgende stap is het ophalen van de ervaringen en behoeften van mensen en groepen die nadelen ondervinden van contentmoderatie besluiten van sociale media platformen. Zoals mensen met een beperking. Zodat we samen een effectief orgaan kunnen vormgeven en ongelijke behandeling door sociale media platformen kunnen tegengaan.
Daarnaast hebben de Ministers van Binnenlandse Zaken en Koninkrijksrelaties, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Onderwijs, Cultuur en Wetenschap en Langdurige Zorg en Sport uw Kamer op 22 februari 2023 een Kamerbrief2 gestuurd over de aanpak van online discriminatie, racisme en hate speech. In de brief is een inventarisatie gemaakt van lopend beleid en wordt benadrukt dat het kabinet de komende jaren inzet op een meer geïntegreerde, samenhangende en gestructureerde aanpak. Deze aanpak krijgt vorm aan de hand van de pijlers ondersteuning van slachtoffers, bewustwording, verantwoordelijkheden van en samenwerking met internetpartijen, consequenties voor daders en betere registratie en onderzoek, zoals ook wordt opgeroepen in de aanbeveling van de Raad van Europa. Deze pijlers worden op dit moment uitgewerkt tot concrete acties door een interdepartementale werkgroep. Deze uitwerking vindt onder andere plaats door sessies met het veld over deze thematiek. Deze uitwerking zal voor het einde van de zomer aan uw Kamer worden gestuurd.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het feit dat er door DUO jarenlang een risicoprofiel is gehanteerd waarbij mbo de hoogste risicofactor gaf, hbo de middelste risicofactor en wo de laagste risicofactor?1

Ja. In de kabinetsreactie op het onderzoeksrapport van PwC is het kabinet ingegaan op onder meer het risicoprofiel in het controleproces van DUO bij de uitwonendenbeurs. Deze kabinetsreactie is op 1 maart jl. aan uw Kamer verzonden.2 Tevens heeft de Minister van OCW uw Kamer op 22 mei een brief gestuurd naar aanleiding van vervolgonderzoek.3

Vraag 2

Kunt u een overzicht geven van alle risicoprofielen/algoritmes binnen de overheid waarbij opleidingsniveau een risico-indicator is voor fraude?

Het kabinet kan dat Rijksbrede overzicht op dit moment niet geven, omdat dit overzicht er nu niet volledig is. Het kabinet wil dit overzicht verkrijgen door het verder vullen van het landelijk algoritmeregister voor de overheid.4 Met departementen is afgesproken dat zij uiterlijk 2025 ten minste door hen gebruikte algoritmes met een hoog risico geregistreerd hebben in het algoritmeregister. In het register kan worden geregistreerd welke gegevens daarbij worden gebruikt. Op dit moment hebben wij in het algoritmeregister geen algoritmes rondom fraudebestrijding gevonden waarbij opleidingstype benoemd wordt als risico-indicator. Wel zijn er algoritmen die opleidingstype gebruiken voor bijvoorbeeld het matchen van werkzoekenden met werkgevers. Hierbij merken wij op dat het niet altijd wenselijk noch mogelijk is om volledig transparant te zijn over welke gegevens gebruikt worden bij fraudebestrijding, omdat dit het makkelijker maakt de controle te ontwijken. Om diezelfde reden bestaat in de Wet Open Overheid (WOO) een uitzondering voor inspectie en controle en toezicht door bestuursorganen5.
De Staatssecretaris van BZK werkt aan het algoritmekader. Daarin wordt aanbevolen om bij de ontwikkeling van impactvolle algoritmes gebruik te maken van een mensenrechtentoets zoals het Impact Assessment Mensenrechten en Algoritmes (IAMA). Het IAMA is een hulpmiddel om alle relevante aandachtspunten bij de inzet van algoritmen, waaronder eventueel opleidingstype als selectiecriterium, op een gestructureerde manier aan bod te laten komen en grondig te doordenken.

Vraag 3

Kunt u bij elk voorbeeld aangeven of dit risicoprofiel wetenschappelijk is onderbouwd?

Zie antwoord vraag 2.

Vraag 4

Kunt u bij elk voorbeeld aangeven waarom u het ethisch juist vindt om mensen met een mbo-opleiding minder te vertrouwen dan mensen met een hbo of wo-opleiding?

Als kabinet vinden wij het onwenselijk om de mate van vertrouwen in mensen te koppelen aan het type opleiding dat zij volgen en/of gevolgd hebben.
Ons uitgangspunt is dat grote terughoudendheid op zijn plaats is bij gebruik van opleidingstype als risico-indicator voor fraude bij toeslagen, beurzen, belastingen en uitkeringen. Tenzij een opleiding een voorwaarde is voor het recht, er een andere expliciet gemotiveerde onderbouwing voor is. Zoals toegelicht bij het antwoord op vraag 2, is het noodzakelijk dat hoogrisico en impactvolle algoritmes in het algoritmeregister worden vermeld om zo een beeld te krijgen van het gebruik en te zorgen voor meer transparantie.
Onderscheid maken op basis van onderwijstype kan in sommige gevallen gerechtvaardigd zijn. Bijvoorbeeld als het gaat om het aannemen van werknemers voor beroepen waarvoor opleidingseisen gelden. Het gaat dan niet om vertrouwen, maar om het gebruiken van onderwijstype als criterium daar waar het onderwijstype van de (oud-)student relevant is voor de keuze die wordt gemaakt. Daarbij moet aangetekend worden dat vanwege de bestaande kansenongelijkheid in het onderwijs sommige groepen bijvoorbeeld over- of ondervertegenwoordigd zijn in de verschillende typen vervolgonderwijs. Opleiding als criterium kan daardoor wellicht onbedoeld indirecte discriminatie tot gevolg hebben. Daarom vraagt het gebruik van opleidingstype als risico-indicator grote terughoudendheid.
In het risicoprofiel bij DUO dat in juni 2023 buiten werking is gesteld, werd ook onderscheid gemaakt op basis van onderwijstype. Onderwijstype was één van de drie criteria in het risicoprofiel, waarbij mbo-studenten een hogere risicoscore kregen dan hbo-studenten en hbo-studenten een hogere risicoscore kregen dan wo-studenten. Het uitgevoerde interne onderzoek van DUO over onder meer de risicoprofielen leert ons dat er in dit geval onvoldoende statistisch verband was bij het hanteren van het criterium onderwijstype met onrechtmatig gebruik van de beurs.6 Hiermee was wat ons betreft onderwijstype geen gerechtvaardigd selectiecriterium in het risicoprofiel. Met andere woorden: onderwijstype was een onvoldoende relevant criterium om op basis daarvan onderscheid te maken in het controleproces uitwonendenbeurs.
Zoals benoemd in het debat over de controles bij de uitwonendenbeurs op 21 maart jl., valt opleidingstype niet onder het toepassingsbereik van de Algemene wet gelijke behandeling. Enkel de specifiek genoemde persoonskenmerken, zoals afkomst of nationaliteit, vallen hieronder. Onderwijstype wordt in de Algemene wet gelijke behandeling niet als discriminatiegrond genoemd. Voor de maatschappelijke herwaardering van het mbo heeft de Minister van Binnenlandse Zaken, mede namens de Minister van Onderwijs Cultuur en Wetenschap, een adviesaanvraag ingediend bij het College voor de Rechten van de Mens. Deze adviesaanvraag loopt nog en gaat over de toevoeging van opleidingstype als discriminatiegrond aan de Algemene wet gelijke behandeling. Hiermee geef ik uitvoering aan de motie van Bouchallikht (GroenLinks) en De Hoop (PvdA).7

Vraag 5

Hoe verhoudt het gebruik van opleidingsniveau als risico-indicator voor fraude zich tot alle goede voornemens van dit kabinet om de opleidingskloof te verkleinen en elke vorm van onderwijs gelijk te waarderen?

Het is inderdaad het voornemen van dit kabinet om elke vorm van onderwijs gelijk te waarderen. In plaats van een ladder van «laag» naar «hoog», zien we het onderwijsstelsel als een waaier waarin verschillende opleidingen gelijkwaardig naast elkaar bestaan, ieder met hun eigen kwaliteiten, en met ruimte voor excellentie. We willen alleen onderscheid naar onderwijstype maken als dat een relevant en onderbouwd criterium is om te onderscheiden, waarbij er een oorzakelijke relatie is tussen het frauderisico en de specifieke opleiding. Denk aan de eerdergenoemde beroepen waarvoor opleidingseisen gelden of om opleidingen waar een specifieke vooropleiding voor nodig is.
Een belangrijke voorwaarde bij een nieuw risicogericht controleproces is dat het degelijk onderbouwd is. Dat was mede aanleiding om excuses aan te bieden. Daarnaast is het belangrijk om het controleproces zo in te richten dat het systeem geen indirecte discriminatie op grond van wettelijk beschermde persoonskenmerken, zoals afkomst en nationaliteit, teweegbrengt. Bovendien moet een risicogericht controleproces periodiek gevalideerd worden om te waarborgen dat de onderliggende aannames nog steeds kloppen. In de voormalige controlewerkwijze was het gebruik van het criterium onderwijstype niet gerechtvaardigd. DUO zal dan ook het criterium opleidingstype niet langer hanteren als risico-indicator, tenzij in de specifieke situaties zoals hierboven beschreven.

Vraag 1

Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van de leden van GroenLinks-PvdA over Russische desinformatiecampagnes?1

Vraag 2

Bent u van mening dat de in uw antwoord vermelde maatregelen en acties afdoende zijn om Nederland te beschermen tegen Russische desinformatie, of ziet u noodzaak aanvullende maatregelen te treffen? Zo ja, welke? Zo nee, waarom niet?

Vraag 3

Bent u bekend met het artikel «Tsjechisch desinformatie-netwerk met Russische inmenging werd opgericht in Nederland» van De Groene Amsterdammer van 28 maart jongstleden?2

Vraag 4

Heeft u de Tsjechische regering verzocht om de informatie over Russische financiering van Nederlandse politici met u te delen? Zo ja, bent u bereid die informatie openbaar te maken? Zo nee, gaat u dat alsnog doen?

Vraag 5

Herinnert u zich de uitspraak van de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat er geen tekenen waren van buitenlandse inmenging bij de verkiezingen? Staat u nog steeds achter deze uitspraak?

Vraag 6

Hoe verhoudt deze uitspraak zich tot de onthulling van de Tsjechische geheime dienst dat de Voice of Europe een Russische desinformatie-outlet blijkt te zijn dat fungeerde als doorgeefluik voor financiële transacties tussen het Kremlin en Nederlandse politici?

Vraag 7

Deelt u de zorgen dat Rusland via dit soort outlets het Nederlandse publieke debat verstoort en daarmee onze verkiezingen beïnvloedt?

Vraag 8

Bent u bereid om een onderzoek in te stellen of er meerdere soortgelijke outlets in Nederland en andere lidstaten van de Europese Unie bestaan?

Vraag 9

Wanneer ontvangt de Kamer van het kabinet de voortgangsbrief over de Rijksbrede strategie voor de effectieve aanpak van desinformatie?

Vraag 10

Is het kabinet naar aanleiding van de onthulling over Voice of Europe en met het oog op de aanstaande Europese verkiezingen bereid aanvullende investeringen doen in de capaciteit van de Rijksoverheid om de dreiging van desinformatie tegen te gaan?

Vraag 11

Bent u bereid om deze schriftelijke vragen te beantwoorden voorafgaand aan het plenaire debat over het bericht dat volgens de Tsjechische geheime dienst Rusland cash betaalde aan Nederlandse en Europese politici van dinsdag 2 april aanstaande?

Vraag 1

Bent u bekend met het bericht «Incassobedrijf gebruikt AI om kwetsbare schuldenaar te spotten: «Kan bizarre situaties opleveren»»?1

Ja.

Vraag 2

Zijn er bij u meer voorbeelden bekend van incassobureau’s en andere organisaties die toezien op (problematische) schulden die gebruik maken of willen maken van kunstmatige intelligentie? Om hoe veel bedrijven gaat dit?

Het kabinet acht het aannemelijk dat steeds meer incassodienstverleners gebruik zullen maken van kunstmatige intelligentie (hierna: AI) tijdens het minnelijke of buitengerechtelijke incassotraject. Bijvoorbeeld de PAIR Finance Group doet dit al.2 Het kabinet tekent hier in het algemeen bij aan dat de toepassing van AI zorgvuldig en binnen de kaders van (privacy)wetgeving moet gebeuren. Voorts blijkt uit de praktijk ook steeds meer dat de consument te woord wordt gestaan door een chatbot die de eerste vragen afvangt. Deze ontwikkeling beperkt zich dan ook niet tot incassodienstverleners.
Gebruik van chatbots en in het algemeen «het opnemen van contact» waar het buitengerechtelijke incassoactiviteiten betreft, sluiten aan bij het kwaliteitskader dat sinds 1 april 2024 geldt voor buitengerechtelijke incassodienstverlening op grond van de Wet kwaliteit incassodienstverlening (hierna ook: WKI). De kwaliteit van de incassodienstverlening staat centraal, ongeacht de techniek die daarbij wordt ingezet. Het aantal incassodienstverleners dat daadwerkelijk gebruikmaakt van AI wordt niet bijgehouden en is niet bekend.

Vraag 3

Is het u bekend welke techniek precies zal worden toegepast door Intrum voor het scannen van correspondentie van mensen met schulden? Op welke data is dit systeem getraind en wat gebeurt er met de input van mensen met schulden? Voldoet het bedrijf hiermee aan dataminimalisatie?

Uit het artikel worden de precieze methoden of werkwijzen van Intrum mij niet duidelijk. Datzelfde geldt voor het gebruik van data door Intrum en wat er gebeurt met de input van mensen met schulden. Vanuit het Ministerie van Binnenlandse Zaken & Koninkrijksrelaties (BZK) is er contact met incassobureau Intrum. Medewerkers van het Ministerie van BZK en van het Ministerie van Justitie en Veiligheid (JenV) plannen een gesprek in met incassobureau Intrum om rond het zomerreces over de breedte van dit thema te spreken met elkaar. In het contact met uw Kamer worden de relevante opbrengsten van het gesprek betrokken.
In hoeverre Intrum voldoet aan de vereisten, waaronder die met betrekking tot dataminimalisatie,3 die op grond van de Algemene Verordening Gegevensbescherming (AVG) gelden is ter beoordeling van diens Functionaris Gegevensbescherming en aan de toezichthouder, te weten de Autoriteit Persoonsgegevens (AP). Dat is mij op dit moment niet bekend.

Vraag 4

Ziet u risico’s bij het inzetten van zelflerende kunstmatige intelligentie door incassobureau’s, zoals het aanleren van discriminerende vooroordelen, gebrek aan transparante besluitvorming en inbreuk op privacy bij het scannen van mogelijk gevoelige correspondentie?

Ja, het kabinet ziet dat de inzet van AI door incassobureaus gepaard kan gaan met bepaalde risico’s. Hier wijst de organisatie Bits of Freedom in het aangehaalde bericht ook op. Gelet op voornoemde vindt het kabinet het belangrijk om erop te wijzen dat bij de toepassing van AI al de nodige waarborgen en regels gelden. De risicogebaseerde aanpak van de Europese AI-verordening, met als vuistregel hoe hoger de (potentiële) impact van een AI-systeem op de burger hoe strenger de eisen, sluit hierbij aan. Als daarnaast bij het trainen of gebruiken van algoritmes persoonsgegevens worden verwerkt, bijvoorbeeld afkomstig uit gevoelige correspondentie, dan is de AVG van toepassing. Het is aan de toezichthouder om op de naleving toe te zien en hierop te handhaven.

Vraag 5

Deelt u de mening dat organisaties in de schuldenindustrie uiterst terughoudend moeten zijn met het inzetten van kunstmatige intelligentie en algoritmes? Kunt u onderbouwen waarom?

Te allen tijde moet voorkomen worden dat mensen met schulden verder in de problemen komen door toepassing van AI. Zoals het kabinet hiervoor al aangeeft dient de professionaliteit en de kwaliteit van incassodienstverlening voorop te staan. Dit om in het verleden geconstateerde misstanden bij de inning van geldvorderingen tegen te gaan. Daarbij dienen de belangen van zowel de schuldeisers bij inning van de vordering als de bescherming van de schuldenaren tegen het ontstaan van problematische schulden in balans te zijn. De genoemde balans gaat ook op bij het doel van de inzet van AI. De verantwoordelijkheid voor het naleven van de geldende wet- en regelgeving, bijvoorbeeld op grond van de AVG en WKI, ligt bij de incassodienstverleners en andere ondernemingen die incassowerkzaamheden verrichten. In gesprekken met de branche besteedt het kabinet hier aandacht aan.

Vraag 6

Kunt u garanderen dat het gebruik van kunstmatige intelligentie voor consumenten altijd optioneel is en dat consumenten nooit onder druk gezet mogen worden om de persoonlijke correspondentie door een dergelijk systeem te laten controleren?

Nee, dat kan het kabinet niet garanderen. Dat laat onverlet dat er eisen gelden voor de wijze van benaderen van de schuldenaar op grond van de WKI.4 Ook in het geval door een incassodienstverlener AI wordt ingezet, zal deze partij zich moeten verhouden tot de WKI. Mensen met schulden mogen bijvoorbeeld niet oneigenlijk onder druk worden gezet. Daarbij geldt dat ten aanzien van persoonlijke correspondentie incassodienstverleners gehouden zijn aan de AVG die bescherming biedt bij de verwerking van (bijzondere) persoonsgegevens van alle betrokkenen. Aan de inzet van AI zullen op termijn expliciete eisen worden gesteld ten aanzien van de techniek die wordt gebruikt.

Vraag 7

Intrum geeft aan dat deze AI-toepassing «een bewezen succes is in het Verenigd Koninkrijk,» kunt u toelichten op welke manier het Verenigd Koninkrijk AI-toepassingen in de schuldenindustrie momenteel gebruikt? Welke invloed heeft dit gehad op personen met schulden, hoe is hun privacy geborgd en hoe is het toezicht daarop geregeld?

Het onderzoek naar de praktijk uit het Verenigd Koninkrijk is mij onbekend. Daarom is er contact met Intrum voor een toelichting en om hierover van gedachten te wisselen. Dat gesprek zal tussen in ieder geval medewerkers van BZK, van JenV (JenV is verantwoordelijk voor de WKI) en Intrum plaatsvinden. Zie ook mijn antwoord op vraag 3.

Vraag 8

Welke kaders gelden er momenteel voor het gebruik van kunstmatige intelligentie door incassobureau’s en schuldeisers? Zijn er bestaande kaders voor het gebruik van algoritmes, die ook van toepassing zijn op kunstmatige intelligentie?

Om te beginnen moet het gebruik van AI als daarin persoonsgegevens worden verwerkt voldoen aan de AVG, bovendien treedt vanaf de zomer de AI-verordening gefaseerd in werking. De AI-verordening bevat regels voor het gebruik van AI in de EU en regelt ook het toezicht op die regelgeving.

Vraag 9

Past de voorgestelde AI-toepassing van Intrum binnen de kabinetsvisie Generatieve AI en de Werkagenda Waardengedreven Digitaliseren? Zo ja, kunt u toelichten op welke punten deze AI-toepassing in de schuldenindustrie bijdraagt aan maatschappelijk waardevolle digitalisering? Zo niet, kunt u uiteenzetten op welke vlakken deze AI-toepassing in strijd is met het kabinetsstandpunt? Welke consequenties verbindt u daar aan?

In algemene zin kunnen AI-toepassingen die mensen helpen om hun positie te versterken – zeker mensen in meer kwetsbare posities – op bijval van het kabinet rekenen. Uiteraard dienen deze AI-toepassingen met waarborgen omkleed te worden. Dat wil zeggen dat aan bestaande wet- en regelgeving (zie ook het antwoord op vraag 8) en aan nieuwe eisen die voortvloeien uit de AI-verordening (zie het antwoord op vraag 11) moet worden voldaan, maar ook dat bredere morele overwegingen over de inzet van dergelijke toepassingen aan de orde moeten zijn.

Vraag 10

Welke instrumenten zal de Europese AI-verordening bieden om zo nodig in te grijpen of op de rem te trappen als kunstmatige intelligentie op een onwenselijke manier te werk gaat in de publieke- en private sector?

Op 21 mei jl. heeft de Telecomraad van de EU de AI-verordening aangenomen waarna de implementatie van de AI-verordening in gang wordt gezet en fasegewijs in werking zal treden. De AI-verordening stelt eisen aan de ontwikkeling van risicovolle AI-systemen, nog voordat ze op de markt worden gebracht of in gebruik worden genomen met als doel om ervoor te zorgen dat ze veilig zijn en mensenrechten respecteren. De verordening stelt een risicogebaseerde benadering voor en stelt verplichtingen aan aanbieders en gebruikers afhankelijk van het risiconiveau dat een AI-systeem met zich meebrengt. De AI-verordening zal van toepassing zijn op alle sectoren, waaronder ook de schuldenindustrie. De verordening heeft een algemeen karakter en is niet beperkt tot een specifieke branche. Alleen bij inzet voor opsporings- en veiligheidsdiensten gelden aangepaste regels.

Vraag 11

Bent u bereid om nu al te werken aan duidelijke kaders voor het gebruik van kunstmatige intelligentie, vooruitlopend op de AI-verordening, bij organisaties die verstrekkende financiële besluiten maken over mensen en gevoelige persoonsgegevens verwerken?

Verschillende bepalingen uit de AI-verordening worden na inwerkingtreding gefaseerd van kracht, te beginnen met de bepalingen over verboden praktijken na een half jaar. Het streven is dat in juni 2025 verplichtingen gaan gelden voor aanbieders van generieke AI-toepassingen (die ten grondslag liggen aan concrete AI-toepassingen). Daarbij is de verwachting ook dat dan het nationale toezicht op AI is geregeld. Weer een jaar later, in juni 2026, treden de vereisten voor hoog risico in werking. Vanwege de fasegewijze invoer neemt het kabinet daarom verschillende stappen om de implementatie van deze verordening optimaal te laten verlopen. Het kabinet is in gesprek met bedrijven en (mede)overheden om de impact van de AI-verordening in kaart te brengen. Het kabinet zal een uitvoeringswet maken en waar nodig bestaande wetgeving daarop aanpassen. Het toezicht op de AI-verordening wordt verder ingericht in samenwerking met toezichthouders.

Vraag 12

Kunt u aan de hand van de verboden categorieën, zoals beschreven in artikel 5, lid 1c, van de AI-verordening2 beoordelen of de AI-screening door een incassobureau van mensen met (mogelijk) problematische schulden gerechtvaardigd is? Kunt u afzonderlijk ingaan op hoofdartikel 5, lid 1c en sub-onderdelen i en ii?

De AI-verordening kent een aantal verboden, waaronder een verbod op social scoring waar u naar refereert met artikel 5. Dan gaat het om AI-toepassingen met de intentie om die in de handel te nemen, of om door, of namens, overheidsinstanties ingezet te worden op basis van data afgeleid uit sociaal gedrag, om mensen te classificeren en te beoordelen. Een toevoeging in lid 1c en subonderdelen i en ii, is dat de toepassingen leiden tot ongunstige of onrechtvaardige benadeling van groepen. Het kabinet geeft geen oordeel of een toepassing geoorloofd is of niet. Dat is aan de toezichthouders en in voorkomend geval uiteindelijk aan de rechter.

Vraag 13

Valt de schuldenindustrie onder het toepassingsbereik van het verbod op emotieherkenning op de werkplek en in het onderwijs, die de AI-verordening voorschrijft? Zo niet, bent u bereid om een dergelijke uitbreiding van het toepassingsbereik te onderzoeken en indien mogelijk in de nationale uitvoeringswet te verwerken?

De schuldenindustrie valt onder het toepassingsbereik van het verbod op emotieherkenning indien gebruik wordt gemaakt van AI-technieken voor social scoring en het gebruik daarvan nadelige en ongunstige gevolgen heeft voor personen zoals omschreven in artikel 5 lid 1c i en ii.

Vraag 14

Wordt er in de schuldenindustrie en soortgelijke sectoren waar veel gevoelige persoonsgegevens worden verwerkt actief meegekeken door de Autoriteit Persoonsgegevens op het gebruik van AI? Welke rol speelt de Inspectie Justitie en Veiligheid bij het toezicht op algoritme- en AI-toepassingen in de sector, nu de Wet kwaliteit incassodienstverlening per 1 april 2024 in werking treedt?

Hoewel de AI-verordening nog niet in werking is getreden is de AVG wel van toepassing en is een toezichthouder (AP) actief die op de juiste toepassing van deze wetgeving toeziet. Dit geldt ook waar het de verwerking van (bijzondere) persoonsgegevens betreft door incassodienstverleners. De AVG is bovendien van toepassing indien (bijzondere) persoonsgegevens worden verwerkt bij het gebruik van AI. De AP is coördinerend toezichthouder op algoritmes en AI die risico’s met zich meebrengen voor publieke waarden en grondrechten.6Bijna alle algoritmes verwerken persoonsgegevens en vallen daarmee onder het toezicht van de AP. Verder heeft de AP in haar «Focus AP 2020–2023» aangegeven dat «algoritmes & AI» één van haar focusgebieden is.7, 8 Het belangrijkste aandachtsgebied binnen dit focusgebied is het stelsel van toezicht op AI en algoritmes waarin persoonsgegevens worden gebruikt. De AP stelt dat het hierbij van belang is dat bedrijven en organisaties die geautomatiseerd besluiten nemen aan de eisen uit de AVG voldoen, zoals de informatieplicht, transparantie, uitlegbaarheid en menselijke tussenkomst.
Naast eisen uit de AVG gelden de regels uit de Wet kwaliteit incassodienstverlening. De WKI regelt de verplichte registratie in het Register incassodienstverlening9 door en stelt kwaliteitseisen aan buitengerechtelijke incassodienstverleners. Het toezicht en de handhaving op de naleving van de kwaliteitseisen van de WKI zijn primair belegd bij de Inspectie Justitie en Veiligheid (hierna: de Inspectie).10 De Inspectie kan via regulier toezicht langsgaan bij incassodienstverleners of informatie opvragen. De Inspectie kan geen individuele klachten van schuldenaren of schuldeisers in behandeling nemen. Op haar website kan via het «Klachtenformulier Wet kwaliteit incassodienstverleners» wel een melding worden gemaakt. De Inspectie gebruikt deze meldingen om keuzes te maken in haar toezicht en om te bepalen welke incassodienstverleners worden onderzocht.

Vraag 15

Op welke termijn verwacht u aan de Kamer wet- en regelgeving voor te leggen die kaders stelt en normen bepaalt voor de toepassingen van kunstmatige intelligentie in de publieke- en private sector?

De AI-verordening is op 21 mei jl. door de Europese Telecomraad aangenomen en treedt naar verwachting vanaf de zomer fasegewijs in werking. Zie antwoord op vraag 11 voor de inwerkingtreding van alle categorieën van AI.

Vraag 16

Kunt u deze vragen afzonderlijk beantwoorden?

Ja. Zie voorgaand.

Vraag 1

Kent u het bericht «Cyberaanval legt websites van meerdere provincies plat»?1

Ja

Vraag 2

Kunt u informatie verschaffen over wat de reden was van de onbereikbaarheid van de provinciewebsites? Betreft het bijvoorbeeld een technische storing of een cyberaanval? Zo nee, waarom niet?

Naar het zich laat aanzien zijn de betreffende provinciewebsites overbelast geraakt door zogenaamde Distributed Denial of Service (DDoS)-aanvallen. Organisaties kunnen een DDoS-aanval op een onlinedienst niet voorkomen, maar wel de effecten ervan beperken. Er zijn enkele technische maatregelen die organisaties kunnen treffen voor adequate detectie van en respons op een DDoS-aanval. Een DDoS- aanval is een poging van onbevoegden om een website onbereikbaar te maken voor gebruikers door ontzettend veel verzoeken naar deze website te versturen. Hierdoor raakt een website en het computersysteem erachter overbelast, en is het systeem onbereikbaar.
De getroffen provincies hebben de nodige maatregelen getroffen. De websites zijn op dezelfde dag weer in werking getreden.
Ik onderschrijf het belang dat de overheid open communiceert over het verloop van dergelijke incidenten om de burger het vertrouwen te geven in een goede en veilig functionerende overheid.

Vraag 3

Kunt u aangeven of de attributie aan Russische hackers die in sommige media wordt gedaan klopt? Zo ja, waarom wel? Over welke aanwijzingen beschikt u? Zo nee, waarom niet?

Een hactivistische pro-Russische groepering claimt de DDoS-aanvallen; of dit terecht is, is zeer moeilijk vast te stellen. Met name de oorlog in Oekraïne heeft gezorgd voor een opleving van dit soort hactivistische activiteiten, ook tegen Nederlandse doelen. Dit soort DDoS-aanvallen passen dan ook in het dreigingsbeeld, zoals het Cybersecuritybeeld Nederland (CSBN) 2023 laat zien.

Vraag 4

Wat zijn voor particulieren en bedrijven de gevolgen geweest van de onbereikbaarheid van de provinciewebsites?

Mij is niet bekend of de korte uitval tot schade bij burgers of bedrijven heeft geleid. Naar waarschijnlijkheid is de impact beperkt gebleven door de korte uitvalduur en/of door de scheiding tussen de dienstverlening en bedrijfsvoering van de provinciewebsites.

Vraag 5

Heeft de dienstverlening van de getroffen provincies door de onbereikbaarheid van de websites geleden? Zo ja, wat waren de gevolgen daarvan?

Hierbij verwijs ik naar de beantwoording in vraag 4.

Vraag 6

Is er een overheidsbrede richtlijn voor overheden over hoe om te gaan met de mogelijke negatieve gevolgen voor particulieren en bedrijven door de onbereikbaarheid van overheidswebsites als gevolg van een cyberaanval? Zo ja, wordt deze richtlijn door alle provincies gevolgd?

De beveiligingsrichtlijn van de overheid de Baseline Informatieveiligheid Overheid (BIO) geeft aan dat maatregelen getroffen moeten worden om DDoS-aanvallen te signaleren en hierop te reageren. Naleving over het volgen van deze richtlijn is een zelfstandige verantwoordelijkheid van provincies waarover zij verantwoording afleggen aan de provinciale staten.
Diverse organisaties zoals het Nationaal Cyber Security Centrum (NCSC), de AIVD en ook private organisaties geven technische achtergronden over hoe dit aan te pakken. Het NCSC heeft verschillende kennisproducten uitgebracht die organisaties kunnen helpen bij de mitigatie van DDoS-aanvallen.

Vraag 7

Indien deze richtlijn niet bestaat: kunt u een dergelijke richtlijn laten opstellen? Zo ja, wanneer denkt u een dergelijke richtlijn gereed te hebben? Zo nee, waarom niet?

Er bestaat een richtlijn. Hierbij verwijs ik naar de beantwoording in vraag 6.

Vraag 8

Kunt u aangeven hoe vaak overheidswebsites te maken krijgen met DDoS-aanvallen? Hoe vaak worden DDoS-aanvallen succesvol afgeslagen en hoe vaak slagen deze? Wat is de gemiddelde downtime als gevolg van DDoS-aanvallen op overheidswebsites? Zo nee, waarom niet?

Er is geen overzicht van DDoS-aanvallen binnen de overheid. Het NCSC ontvangt niet altijd meldingen over DDoS-aanvallen, daardoor beschikt het NCSC niet over een volledig beeld of statistieken. De impact van dergelijke aanvallen is vaak beperkt en symbolisch van aard. Toch kan een DDoS-aanval wel (tijdelijke) invloed hebben op de informatieverstrekking en/of dienstverlening van getroffen websites (zie hiervoor ook de beantwoording in vraag 2).

Vraag 9

Bent u bekend met de Anti-DDoS-coalitie?2

Ja.

Vraag 10

Maken de rijksoverheid en provincies gebruik van de kennis van deze coalitie om DDoS-aanvallen op hun websites af te slaan? Indien nee, welke niet en waarom niet?

Verschillende overheden nemen deel aan de coalitie, waaronder het NCSC en het Digital Trust Center (DTC). BZK en de gezamenlijke provincies hebben in het kader van de tweede Netwerk- en Informatiebeveiligingsrichtlijn (NIS2)3 het voornemen de provincies aan te sluiten op het NCSC voor de uitvoering van hun Cyber Security Incident Response Team (CSIRT) taken. Zo krijgen zij directe toegang tot actuele dreigingsinformatie vanuit het NCSC. De CSIRT-samenwerking tussen de provincies en het NCSC wordt hierdoor versterkt. Binnen het CSIRT-stelsel wordt reeds actief samengewerkt in geval van dreigingen of incidenten. Hiermee worden niet direct DDoS-aanvallen afgeslagen, maar kan wel tijdig en in samenwerking gereageerd worden op incidenten. Verder zijn de getroffen provincies inmiddels aangesloten op een zogenaamde DDoS-wasstraat. Een wasstraat vergroot de weerbaarheid tegen DDoS-aanvallen door de bundeling van capaciteit, technologie, kennis en kunde.

Vraag 11

Bent u van zins om de provincies te wijzen op het bestaan van de Anti-DDoS-coalitie om de impact van mogelijke toekomstige DDoS-aanvallen te verkleinen? Indien nee, waarom niet?

Hierbij verwijs ik naar de beantwoording in vraag 10.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Kent u het bericht «Duizenden «vergeten» gemeentelijke websites in ontluisterende staat»?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Deelt u de mening dat het zeer onwenselijk is dat van de 10.000 gemeentelijke websites slechts 28 procent aan de voor overheden verplichte beveiligingsstandaarden voldoet? Zo ja, waarom? Zo nee, waarom niet?

Ja, het is onwenselijk dat gemeentelijke websites niet voldoen aan de voor de overheden verplichte beveiligingsstandaarden. Uit de meest recente Meting Informatieveiligheidstandaarden overheid van Forum Standaardisatie blijkt echter dat 54% procent van de gemeentelijke websites voldoen aan de veiligheidsstandaarden2. Overheden hebben de verantwoordelijkheid richting de burger om online overheidsinformatie en diensten transparant, toegankelijk, betrouwbaar en veilig aan te bieden. Overheden hebben daarbij een voorbeeldfunctie als het gaat om de informatiebeveiliging. Een veilige website is daar onderdeel van.
Daarbij hoort onder meer dat overheden alle websites beveiligen volgens de wettelijke verplichte standaarden (Wdo)3, en de informatieveiligheidsstandaarden van de «pas-toe-of-leg-uit»-lijst van het Forum Standaardisatie toepassen, zoals ook is toegelicht in de beantwoording op eerdere Kamervragen.4 Overheden hebben zichzelf met het gezamenlijke beveiligingsnormenkader voor de gehele overheid, de Baseline Informatiebeveiliging Overheid (BIO), verplicht hun informatiesystemen, waaronder websites, te beveiligen. In de BIO wordt benadrukt dat de overheid de standaarden volgt die op de «pas toe of leg uit»-lijst van het Forum Standaardisatie staan.

Vraag 3

Deelt u de mening dat ook bij vergeten of niet meer gebruikte websites er wel degelijk een gevaar kan ontstaan dat in het geval die websites niet aan de verplichte veiligheidsstandaarden voldoen ze misbruikt kunnen worden om andere delen van een gemeentelijk netwerk binnen te dringen en daar schade te veroorzaken? Zo ja, waarom? Zo nee, waarom niet?

Ja, om websites veilig te houden moeten ze continu beheerd worden. Zodra websites niet meer beheerd worden ontstaat een grotere kans op misbruik van de website. Dat betekent dat een website bijvoorbeeld gebruikt kan worden door een kwaadwillende om zich voor te doen als een overheid, data te lekken of malware te verspreiden. Wat het exacte risico is bij het niet naleven van een standaard hangt af van de situatie en kan per website verschillen.

Vraag 4

Deelt u de mening dat overheden een voorbeeldfunctie hebben ook als het gaat om de beveiliging van websites en het nakomen van regels dienaangaande? Zo ja, wat gaat u doen om ervoor te zorgen dat gemeenten die voorbeeldfunctie gaan waarmaken? Zo nee, waarom niet?

Ja, overheden hebben een voorbeeldfunctie als het gaat om de beveiliging van websites en het volgen van de standaarden.
In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties meet het Forum Standaardisatie halfjaarlijks de implementatie van de standaarden. Zoals ik in mijn Kamerbrief Digitalisering december 20235 heb toegelicht, blijkt uit de meest recente meting Informatieveiligheidstandaarden overheid medio 20236 dat 54% van de gemeten gemeentelijke websites voldoet aan de afgesproken websitestandaarden voor veilig en modern webverkeer (exclusief IPv6 en RPKI). Terwijl uit de meting blijkt dat gemeenten het beter doen dan in 2022 is er nog steeds een groep achterblijvers en volgt uit de meting dat er relatief slecht zicht is op domeinnamen van decentrale overheden.
In het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) zijn afspraken gemaakt tussen het Rijk, VNG, IPO en UvW om te sturen op de voortgang en knelpunten om zo per overheidsorganisatie de adoptie te versnellen. De voortgang zal twee keer per jaar geagendeerd worden in het OBDO.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties zet zich ook in voor beter domeinportfoliobeheer. Portfoliobeheer draagt niet alleen bij aan de veiligheid van een website, maar ook bij aan het naleven van wet- en regelgeving voor digitoegankelijkheid en het voorkomen van online tracking.
In dit kader werkt het ministerie aan het Register Internetdomeinen Overheid (RIO). Vanaf eind 2023 zijn in het RIO de publieke internetdomeinen van de rijksoverheid geregistreerd. In 2024 krijgen medeoverheden de mogelijkheid hun (publieke) portfolio aan internetdomeinen op deze centrale plek vast te leggen. Het register kan gebruikt worden om te beoordelen of je te maken hebt met een overheidswebsite of niet.
Daarnaast steun ik het initiatief op basisbeveiliging.nl van de Internet Cleanup Foundation (ICF). Op deze website is met open data voor iedereen in te zien wat de stand is van de publiek meetbare digitale beveiliging van websites van overheidsorganisaties. Organisaties kunnen zich hieraan spiegelen en optrekken. ICF houdt ook regelmatig bijeenkomsten om te kijken welke websites van de overheid nog niet geïndexeerd zijn.
Om samen te werken aan een veiligere digitale samenleving vind ik het van belang dat beveiligingsonderzoekers kwetsbaarheden melden bij de desbetreffende overheidsorganisatie. Onbeheerde websites vallen daar ook onder. Onderzoekers kunnen de contactgegevens en afspraken vinden in een zogenaamde security.txt. Dit bestand moet verplicht publiek worden gepubliceerd. Daarnaast kunnen meldingen voor gemeenten ook direct gedaan worden via de Informatiebeveiligingsdienst (IBD).

Vraag 5

Deelt u de mening dat het onwenselijk is dat een van de redenen dat gemeenten laks omspringen met (de beveiliging van) vergeten of niet gebruikte websites is dat er niet gehandhaafd wordt op beveiligingseisen? Zo ja, wat gaat u doen om ervoor te zorgen dat er gehandhaafd wordt? Zo nee, waarom niet?

Het is onwenselijk dat gemeenten nog niet voldoen aan de verplichte beveiligingseisen. Zeker wanneer overheidsorganisaties niet aan de wettelijke verplichte veiligheidstandaarden voldoen. Zoals aangegeven in beantwoording van vraag 7 zijn gemeentes bezig met het implementeren van de standaarden. Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt hierop gemonitord7 door een meting van het Forum Standaardisatie. In het kader van de Wet digitale overheid (Wdo) ben ik aan het verkennen hoe het toezicht op de wettelijke verplichte standaarden steviger kan worden ingericht. Door het niet toepassen van verplichte standaarden, lopen overheidsorganisaties een beveiligingsrisico.

Vraag 6

Wat gaat de Network and Information Security Directive (NIS2) voor gemeenten betekenen als het om de beveiliging van hun websites gaat? Hoeveel gemeenten voldoen nu al aan die richtlijn? Hoe groot acht u de kans dat gemeenten eind 2024 nog niet voldoen aan de NIS2? En wat zijn de gevolgen daarvan?

In lijn met bestaande toepassing van de Baseline Informatiebeveiliging Overheid (BIO), gaat de NIS2-richtlijn uit van de verantwoordelijkheid van organisaties zelf, zoals gemeenten, om passende en evenredige maatregelen te nemen voor het beveiligen van netwerk- en informatiesystemen. Waar de BIO zelfregulering is, leidt de toekomstige Cybersecuritywet (de implementatiewet van NIS2) tot een wettelijk verplichte zorgplicht.
Overheden, waaronder gemeenten, worden met de Cybersecuritywet verplicht om significante incidenten te melden bij het CSIRT en de toezichthouder. Ook kunnen gemeenten op vrijwillige basis incidenten die niet kwalificeren als significant, bijna-incidenten en cyberdreigingen melden bij het CSIRT. Deze incidenten en dreigingen kunnen gerelateerd zijn aan websites.
Tevens verplicht de Cybersecuritywet onafhankelijk toezicht. Voor de sector overheid is stelseltoezicht op informatieveiligheid nieuw. Het gegeven dat er toezicht komt, geeft overheidsorganisaties een extra prikkel om informatieveiligheid procesmatig in te richten. De beoogde toezichthouder voor NIS2 bij de overheid is de Rijksinspectie voor Digitale Infrastructuur (RDI) en zal beschikken over handhavingsbevoegdheden.
Het is tot slot niet goed mogelijk om betekenis te geven aan de vraag in hoeverre gemeenten voldoen aan NIS2 en de kans dat gemeenten eind 20248 nog niet voldoen aan de NIS2. Gemeenten passen immers momenteel de Baseline Informatiebeveiliging Overheid (BIO) toe binnen hun organisaties. Dit doen zij op basis van risicoafweging, passend bij hun eigen specifieke situatie, en kan dus verschillen per gemeente. In deze aanpak is informatiebeveiliging geen einddoel, maar een continu proces waarin risicoanalyses worden geactualiseerd en maatregelen worden bijgesteld. Informatiebeveiliging is en blijft een cyclisch proces.

Vraag 7

Wat gaat u in overleg met gemeenten doen om ervoor te zorgen dat slecht beveiligde gemeentelijke websites die niet meer gebruikt worden uit de lucht worden genomen of beter beveiligd gaan worden? Kunt u de Kamer voor het komend zomerreces laten weten welke stappen er gezet zijn of gaan worden?

Samen met de VNG en IBD zorgen wij voor continue aandacht voor het goed beheren van websites. Zie ook de beantwoording op vraag 2 t/m 6 over de verschillende stappen die ik neem om overheidsorganisaties, waaronder ook gemeenten vallen, te ondersteunen in de toepassing van veiligheidstandaarden en het verbeteren van hun domeinportfoliobeheer.
Verder informeert de VNG-Informatiebeveiligingsdienst IBD gemeenten dagelijks over kwetsbaarheden en dreigingen en adviseert en ondersteunt op informatiebeveiligingsvraagstukken. De IBD monitort de websites en IT-infrastructuur van gemeenten en levert informatie over kwetsbaarheden direct, automatisch, door. Afhankelijk van de ernst neemt de IBD direct contact op met de gemeente. In april 2024 is de monitoringtool na een pilotfase uitgerold naar alle gemeenten.9 De gemeenten hebben zelf ook toegang tot het portaal in de tool. Deze dienstverlening van de IBD is een aanvulling op de interne logging, monitoring en detectie door gemeenten zelf. Gemeenten kunnen hierbij onder andere gebruik maken van de monitoring en response diensten uit de raamcontracten die door VNG zijn afgesloten met diverse aanbieders.10 Met de halfjaarlijkse Informatieveiligheidmeting van het Forum Standaardisatie worden de gemeenten periodiek extra geattendeerd, specifiek op websites, portalen en mailvoorzieningen.
Ik blijf uw Kamer ook informeren over deze stand van zaken. In de Verzamelbrief Waardengedreven Digitaliseren Q3 zal ik u informeren over de volgende halfjaarlijkse meting Informatieveiligheidstandaarden van het Forum Standaardisatie.

Vraag 1

Vindt u het acceptabel dat Nederland achterloopt met het implementeren van de Uitvoeringswet digitaledienstenverordening, gezien de noodzaak voor het reguleren van verslavende en polariserende online diensten?

Uiteraard is het spijtig dat het wetsvoorstel voor de Uitvoeringswet digitaledienstenverordening op 17 februari jl. nog niet tot wet verheven en in werking getreden was. Er wordt al sinds de totstandkoming van de digitaledienstenverordening (in het Engels: de Digital Services Act, hierna «DSA») aan het ontwerpwetsvoorstel voor de uitvoeringswet gewerkt. De DSA heeft een complex karakter en een breed toepassingsbereik en heeft gevolgen voor bestaande wetgeving, onder meer het Burgerlijk Wetboek, het Wetboek van Strafvordering en de Algemene wet bestuursrecht. Het zorgvuldig opstellen van het wetsvoorstel en bijbehorende memorie van toelichting in afstemming met alle betrokken partijen en het doorlopen van alle stappen van het wetgevingsproces, waaronder verplichte raadplegingen en toetsen1, hebben ervoor gezorgd dat het niet mogelijk was om de uitvoeringswetgeving binnen de termijn die de DSA voorschrijft (15 maanden) tot stand te doen komen.
In dit verband zij opgemerkt dat een uitvoeringstermijn van 15 maanden erg kort is als de uitvoering op het niveau van een formele wet dient plaats te vinden, zoals bij de DSA het geval is. Niet voor niets heeft de Nederlandse regering tijdens de onderhandelingen gepleit voor een langere uitvoeringstermijn van ten minste 18, maar liever 24 maanden. Ook in 10 andere lidstaten is tijdige uitvoering niet gelukt (zie verder antwoord op vraag 12).
Dat neemt niet weg dat we uiteraard de urgentie voelen om de bevoegde autoriteiten in Nederland aan te wijzen en van de benodigde bevoegdheden te voorzien. Om die reden heeft de Minister van Economische Zaken en Klimaat op 11 februari jl., vooruitlopend op de verdere totstandkoming en inwerkingtreding van de Uitvoeringswet digitaledienstenverordening een ministerieel aanwijzingsbesluit genomen waarin de Autoriteit Consument & Markt («ACM») voorlopig wordt aangewezen als bevoegde autoriteit en digitaledienstencoördinator.2 Dit besluit stelt de ACM in staat om een aantal handelingen ter uitvoering van de DSA alvast te verrichten. Inmiddels is het advies van de Afdeling advisering van de Raad van State van 7 februari jl. verwerkt. Het ontwerpvoorstel voor de uitvoeringswet is gereed en wordt op korte termijn voorgelegd aan de ministerraad. Naar verwachting wordt het wetsvoorstel daardoor binnenkort bij uw Kamer ingediend.
We hechten er verder aan te benadrukken dat het niet zo is dat online (tussenhandel)diensten op dit moment niet gereguleerd zijn. De DSA is sinds 17 februari jl. volledig van toepassing. Tussenhandeldiensten moeten dus aan de daarin neergelegde regels voldoen en gebruikers kunnen hun rechten onder de DSA inroepen. Bovendien moeten aangewezen «zeer grote online platforms» en «zeer grote online zoekmachines» al sinds 25 augustus 2023 volledig aan de regels uit de DSA voldoen. Laatstgenoemde diensten vallen primair onder het toezicht van de Europese Commissie, die deze taak serieus neemt en voortvarend oppakt.3

Vraag 2

Ziet u met oog op de aankomende Europese verkiezingen de noodzaak voor het snel implementeren van de Uitvoeringswet om desinformatie zo goed mogelijk te kunnen bestrijden en de toegang tot betrouwbare informatie juist te versterken?

We zien sowieso de noodzaak om zo snel mogelijk goed en volledig uitvoering te geven aan de DSA. Het streven en de verwachting is dat het voorstel voor de uitvoeringswet op korte termijn kan worden aangeboden aan uw Kamer.
Voor wat betreft de bestrijding van desinformatie in relatie tot het Europese verkiezingsproces wordt opgemerkt dat de aanpak hiervan valt onder de DSA-regels gericht op het identificeren en beperken van systeemrisico’s door zogenaamde «zeer grote online platforms» en «zeer grote online zoekmachines», waarvan er thans 22 zijn aangewezen.4 Desinformatie kan zo’n systeemrisico vormen. Deze verplichtingen gelden uitsluitend voor de aangewezen zeer grote online platforms- en zoekmachines. Op grond van artikel 56, tweede lid, van de DSA houdt de Europese Commissie exclusief toezicht op de naleving van deze regels. Dat doet zij al sinds 25 augustus 2023. De lidstaten – en dus de op nationaal niveau aangewezen/aan te wijzen bevoegde autoriteiten – hebben geen bevoegdheid tot toezicht en handhaving ten aanzien van deze verplichtingen. Dat de nationale uitvoeringswet nog niet in werking is getreden heeft daarop geen invloed.
Waar het gaat om maatregelen voor het tegengaan van desinformatie en de toegang tot betrouwbare informatie zullen bij de Europese verkiezingen dezelfde maatregelen worden genomen als bij de Tweede Kamerverkiezingen van afgelopen november. Zie hierover de brief van de Minister van BZK over de weerbaarheid van het verkiezingsproces5.

Vraag 3

Heeft u zonder deze Uitvoeringswet voldoende gereedschap om online platforms te dwingen tot actie als er willens en wetens desinformatie en nepnieuws wordt gedeeld op hun kanalen? Welke bevoegdheden vanuit de digitaledienstenverordening zouden u hierbij helpen?

Zoals toegelicht in het antwoord op vraag 2, valt de aanpak van desinformatie (zoals nepnieuws) onder het bereik van de regels gericht op het voorkomen van systeemrisico’s door zeer grote online platforms en zeer grote online zoekmachines (artikelen 34 en 35 van de DSA). De Europese Commissie is exclusief bevoegd voor het toezicht op en de handhaving van de verplichtingen die uitsluitend gelden ten aanzien van aanbieders van zeer grote online platforms en zeer grote online zoekmachines, waaronder de verplichtingen ten aanzien van systeemrisico’s.
De eerste 19 aangewezen zeer grote online platforms – zoals Facebook, Instagram, TikTok, X en YouTube – moeten sinds 25 augustus 2023 al aan de DSA voldoen. Sindsdien kan het strijd met de verordening opleveren als zij niet-optreden tegen desinformatie die een systeemrisico vormt. De Commissie kan daarop handhaven. Daar is de Nederlandse uitvoeringswet niet voor nodig.

Vraag 4

Bent u het met de indieners eens dat het een zwaktebod is dat het Nederland niet is gelukt om de digitaledienstenverordening op tijd als nationale wet in te voeren, ondanks de regelmaat waarmee het kabinet verwijst naar deze verordening als voorbeeld van effectieve en noodzakelijke regulering van online diensten?

Het is spijtig dat de uitvoeringswet op 17 februari jl. nog niet tot wet verheven en in werking getreden was en de toezichthouders nog niet bevoegd zijn om toezicht te houden en te handhaven. Zoals toegelicht in het antwoord op vraag 1, was de uitvoeringstermijn echter te kort voor een zorgvuldig wetgevingsproces.
Dat de uitvoeringswet er nog niet is, betekent overigens niet dat online tussenhandeldiensten nu niet gereguleerd zijn. Vanaf 17 februari jl. moeten online diensten die onder de DSA vallen volledig aan de verplichtingen uit de verordening voldoen. De ACM en de Autoriteit persoonsgegevens (AP) kunnen, zodra de Uitvoeringswet er is, zo nodig met terugwerkende kracht optreden tegen aanbieders van tussenhandeldiensten die in Nederland gevestigd zijn of hier hun wettelijke vertegenwoordiger hebben aangewezen.
Ook wordt er opgemerkt dat een goede uitvoering van een verordening zoals de DSA meer behelst dan enkel het tot stand brengen van de uitvoeringswet. Zo wordt er sinds de adoptie van de DSA met onder meer de ACM en AP als beoogd toezichthouders samengewerkt, bijvoorbeeld om informatie over de DSA onder de aandacht te brengen van de bedrijven die er straks aan moeten voldoen en van de gebruikers en belanghebbenden die door de DSA nieuwe rechten krijgen. De ACM is bijvoorbeeld in contact gebracht met partijen die geïnteresseerd zijn in het verwerven van de status van «trusted flagger» of «erkend onderzoeker». Verder heeft de Minister van Economische Zaken en Klimaat in 2023 reeds middelen voor beide toezichthouders beschikbaar gesteld zodat zij zich kunnen voorbereiden op het moment dat de DSA volledig van toepassing wordt en zij toezicht kunnen gaan houden. Ook voor 2024 en verder zijn er inmiddels (structurele) middelen beschikbaar gesteld aan de toezichthouders. Verder heeft de Minister van Economische Zaken en Klimaat, vooruitlopend op de uitvoeringswet, het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening genomen (zie het antwoord op vraag 1).

Vraag 5

Deelt u de mening dat het herhaaldelijk missen van deadlines voor de invoering van digitale wetgeving de rol van Nederland als koploper binnen Europa verzwakt?

Uiteraard streeft het kabinet ernaar om uitvoeringstermijnen te halen. In de praktijk blijken de termijnen die hiervoor worden gegeven in Europese regelgeving echter vaak te krap om nationaal de vereiste formele wet tot stand te brengen.
De uitvoering van wetgeving behelst, zoals in het antwoord op vraag 4 toegelicht, meer dan enkel het zorgvuldig tot stand brengen van uitvoeringswetgeving. Daar is veel op bereikt. Daarom denken we dat de beperkte vertraging die Nederland in dit geval oploopt geen substantieel negatief effect heeft op het vertrouwen in Nederland als onderdeel van de kopgroep in digitalisering.

Vraag 6

Kunt u toelichten wat de gevolgen zijn van het niet tijdig invoeren van de wet? Kunt u ook uitleggen waarom het niet is gelukt om de Uitvoeringswet vóór de formele inwerkstelling op 17 februari 2024 nationaal in te voeren?

Dat de Uitvoeringswet nog niet tot wet verheven is, betekent dat de ACM en de AP als beoogd toezichthouders op dit moment nog geen toezichtsbevoegdheden kunnen inzetten of handhavend kunnen optreden tegen overtredingen van de DSA door diensten die onder hun bevoegdheid vallen. De redenen voor het niet tijdig invoeren van de wet zijn beschreven in de antwoorden op vragen 1, 4, en 5. Zoals toegelicht bij het antwoord op vraag 9, kan de ACM op basis van het aanwijzingsbesluit bepaalde onderdelen van de verordening wel al uitvoeren.

Vraag 7

Wanneer verwacht u dat de invoeringswet wél is geïmplementeerd? Welke deadlines volgen er nog voor het invoeren van de digitaledienstenverordening en wat zijn de gevolgen als we deze missen?

Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat advies is inmiddels verwerkt en het wetsvoorstel zal na akkoord van de ministerraad bij uw Kamer worden ingediend. Naar verwachting wordt het wetsvoorstel medio/eind maart 2024 aan uw Kamer aangeboden. De uiteindelijke datum van inwerkingtreding is afhankelijk van de behandeling door uw Kamer en de Eerste Kamer.
Er volgen verder geen deadlines meer. De DSA is sinds 17 februari jl. volledig van toepassing.

Vraag 8

Bent u gezien het verstrijken van de deadline in staat om het zeer recente advies van de Raad van State (14 februari 2024) op fatsoenlijke manier te verwerken en tevens genoeg tijd aan de Kamer te laten om de wet goed te controleren en zo nodig te amenderen?1

Ja. Het advies van de Raad van State is inmiddels verwerkt en het wetsvoorstel wordt op korte termijn bij uw Kamer ingediend. Het is daarna vanzelfsprekend aan uw Kamer, in haar rol als medewetgever, om te bepalen op welke wijze zij het wetsvoorstel wenst te behandelen. In dit verband hechten we er aan om op te merken dat het wetsvoorstel zich beperkt tot datgene wat noodzakelijk is voor de uitvoering van de DSA in Nederland. Daarbij gaat het om de aanwijzing van bevoegde autoriteiten en de digitaledienstencoördinator, het stellen van regels met betrekking tot hun bevoegdheden en samenwerking en de benodigde wijzigingen van andere wetten. Het wetsvoorstel zelf bevat geen nadere regels waar aanbieders van tussenhandeldiensten zich aan moeten houden. Dat zou ook niet mogelijk zijn omdat de DSA een verordening is, die rechtstreeks werkt en voorziet in maximumharmonisatie.

Vraag 9

Welke bevoegdheid heeft de Autoriteit Consument en Markt (ACM) precies om toezicht te houden op de digitaledienstenverordening, nu hun taak niet wettelijk is vastgelegd en zij slechts «beoogd toezichthouder» is?

Bij het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening is de ACM, vooruitlopend op de verdere totstandkoming van voornoemde uitvoeringswet, aangewezen als bevoegde autoriteit en als digitaledienstencoördinator. De aanwijzing stelt de ACM in staat bepaalde onderdelen van de verordening die het karakter hebben van uitvoeringshandelingen alvast uit te voeren. Een voorbeeld is het ontvangen van contactgegevens van in Nederland gevestigde wettelijke vertegenwoordigers van buiten de Unie gevestigde aanbieders van tussenhandeldiensten (artikel 13, vierde lid, DSA). De ACM zal door de aanwijzing tevens fungeren als aanspreekpunt voor de digitaledienstencoördinatoren van andere lidstaten en de Europese Commissie in het kader van de wederzijdse bijstand (artikel 57 DSA) en in die hoedanigheid informatie kunnen uitwisselen die nodig is voor een goede uitvoering van de verordening. Daarnaast zal de ACM deel uitmaken van de digitaledienstenraad – de onafhankelijke adviesgroep van digitaledienstencoördinatoren – en kunnen deelnemen aan de besluitvorming daarin.
De ACM kan op basis van het besluit nog geen uitvoeringstaken uitvoeren die de uitoefening van openbaar gezag behelzen. Dit betekent dat de ACM nog geen toezichtsbevoegdheden kan inzetten of handhavend op kan treden. Ook is zij nog niet bevoegd om besluiten met rechtsgevolgen te nemen, zoals het certificeren van buitengerechtelijke geschilbeslechtingsorganen of het toekennen van de status van «betrouwbare flagger» of «erkende onderzoeker». Die taken kan de ACM pas uitvoeren op het moment dat de uitvoeringswet in werking is getreden.
Zoals toegelicht in het antwoord op vraag 4, beschikt de ACM wel al over financiële middelen waarmee zij al volop voorbereidingen treft om bovenstaande taken wel uit te kunnen voeren als de uitvoeringswet eenmaal tot wet verheven is. Zo heeft de ACM onder meer een meldingenloket ingericht en een leidraad opgesteld over de DSA.7
De reden dat tot dusver steeds is gesproken over «beoogd» toezichthouders, heeft te maken met het feit dat het ontwerpwetsvoorstel nog niet is aangenomen door de Tweede en Eerste Kamer. Pas als dat het geval is, is hun aanwijzing definitief.

Vraag 10

Is de ACM in staat om te handelen volgens haar conceptleidraad zonder implementatie van de Uitvoeringswet?2 Zijn de verplichtingen in deze leidraad afdwingbaar als online platforms deze niet naleven?

De verplichtingen vloeien rechtstreeks voort uit de verordening en tussenhandeldiensten moeten daar sinds 17 februari jl. volledig aan voldoen. Gebruikers kunnen de rechten die zij op grond van de DSA hebben jegens online diensten inroepen. De DSA is dus wel degelijk afdwingbaar. Zoals toegelicht in het antwoord op vraag 9, kan de ACM op dit moment echter nog niet handhavend optreden. De leidraad gaat in op de zorgvuldigheidsverplichtingen voor tussenhandeldiensten die zijn neergelegd in de DSA en hoe de ACM die interpreteert. Zij vormt een hulpbron voor tussenhandeldiensten die uitvoering moeten geven aan de verplichtingen uit de DSA.

Vraag 11

Hoe vaak heeft u contact met de ACM om vast te leggen wat precies haar bevoegdheden zijn? Is de Uitvoeringswet hiervoor noodzakelijk?

De ACM is intensief betrokken bij de totstandkoming van het ontwerpwetsvoorstel. Ook heeft zij een Uitvoerbaarheids- en handhaafbaarheidstoets verricht op het ontwerpwetsvoorstel.
De uitvoeringswet is noodzakelijk om de ACM als beoogd toezichthouder te voorzien van de bevoegdheden die zij op grond van (artikel 50 van) de DSA moet hebben.

Vraag 12

Zijn er andere landen die de wet niet tijdig hebben ingevoerd? Welke landen zijn dit?

Ja. De Europese Commissie houdt een website bij met daarop een overzicht van de aangewezen digitaledienstencoördinatoren.9 Uit dit overzicht blijkt dat België, Estland, Frankrijk, Duitsland, Griekenland, Letland, Litouwen, Malta, Polen, Slowakije, überhaupt nog geen digitaledienstencoördinator hebben aangewezen. Een aantal landen heeft, net als Nederland, (voorlopig) een digitaledienstencoördinator aangewezen, vooruitlopend op uitvoeringswetgeving die nog niet is aangenomen. Voor hoeveel landen dit geldt is niet bekend.

Vraag 13

Kunt u een overzicht geven van de wetten die betrekking hebben op digitale zaken, die momenteel niet zijn ingevoerd ondanks de verstreken deadline? Wat zijn de financiële gevolgen geweest voor het missen van de deadlines?

Verordening
Deadline1
Stand van zaken
Gevolgen2
Platform to Business Verordening (P2B) – 2019/1150/EU
Geen, verordening is sinds juli 2020 van toepassing.
Wetsvoorstel om ACM als toezichthouder aan te wijzen is in december 2022 aangeboden aan uw Kamer.3
De verordening verplicht lidstaten om te voorzien in een adequate en doeltreffende handhaving van de verordening, maar schrijft niet voor hoe dat vormgegeven moet worden. Sinds de inwerkingtreding vindt in Nederland privaatrechtelijke handhaving van de P2B door de rechter plaats. Nadien is ervoor gekozen om ook de ACM te belasten met de handhaving van de P2B-verordening. Hiertoe is een wetsvoorstel bij uw Kamer ingediend. De ACM heeft zich al voorbereid op haar toekomstige taak, onder andere door het opstellen van een leidraad waarmee zij de regels uit de verordening verder verduidelijkt. Zolang het wetsvoorstel niet is aangenomen en in werking treedt, kan de ACM niet handhavend optreden. De Europese Commissie is van oordeel dat Nederland had moeten voorzien in specifieke nationale uitvoeringsbepalingen ter handhaving van de verordening en heeft Nederland daarom in gebreke gesteld. Het wetsvoorstel neemt de bezwaren van de Commissie weg.
Data Governance Verordening (DGA) – 2022/868/EU
24 september 2023
Het voorstel uitvoeringswet DGA is in oktober 2023 aangeboden aan uw Kamer.4 De nota n.a.v. het verslag wordt op korte termijn aan uw Kamer verstuurd.
Als onderdeel van de DGA geldt een registratieverplichting voor databemiddelingsdiensten, data-altruïstische organisaties kunnen zich vrijwillig registreren. Daarnaast kunnen zij een EU-label aanvragen om het vertrouwen in hun dienst te vergroten. Zo wordt voor iedereen zichtbaar welke partijen betrouwbaar met data omgaan. Een registratie of een EU-label aanvraag is pas mogelijk vanaf het moment dat de ACM met de inwerkingtreding van de uitvoeringswet formeel wordt aangewezen als toezichthouder. Aanbieders kunnen vanaf nu wel al een pre-notificatie van registratie en EU-label indienen bij de ACM. Dit zorgt ervoor dat het registratieproces efficiënt doorlopen kan worden zodra de ACM formeel is aangewezen als toezichthouder. Ook is er nog geen bevoegd orgaan aangewezen om overheidsorganisaties bij te staan in het kader van het tweede hoofdstuk van de verordening. Daarnaast kan de ACM nog niet formeel als toezichthouder deelnemen aan het Europees Comité voor Gegevensinnovatie.
Digitale Markten Verordening (DMA) – 2022/1925/EU
Geen.
Het voorstel uitvoeringswet DMA is in januari 2024 aan uw Kamer aangeboden.5
De Commissie is als enige bevoegd tot handhaving van de DMA. Voor lidstaten is er geen verplichting om nationale toezichthouders aanvullende onderzoeksbevoegdheden te geven, maar de verordening biedt wel die mogelijkheid. In het wetsvoorstel wordt voorgesteld om de ACM deze aanvullende onderzoeksbevoegdheden te geven.
Digitale Diensten Verordening (DSA) – 2022/2065/EU
17 februari 2024
Het voorstel uitvoeringswet wordt binnen enkele weken aangeboden aan uw Kamer.
Zie het antwoord op vraag 6.
Die de verordening stelt voor de uitvoeringswetgeving.
Er zijn vooralsnog geen financiele gevolgen voorzien.
Kamerstuk 36285.
Kamerstuk 36451.
Kamerstuk 36495.

Vraag 14

Hoe gaat u ervoor zorgen dat digitale wetgeving voortaan tijdig en degelijk wordt ingevoerd, zodat de Kamer deze ook grondig kan behandelen en tijd heeft om deze nog te amenderen?

Vanzelfsprekend streeft het kabinet altijd naar tijdige implementatie of uitvoering van Europese (digitale) wetgeving. Dat lukt echter alleen met een realistische implementatie- of uitvoeringstermijn die ruimte laat voor de vereiste nationale afstemming en wetgevingsprocedures van alle lidstaten. Daar maakt het kabinet zich hard voor tijdens het Europese wetgevingsproces en dat zal zij ook in de toekomst blijven doen. Die pogingen zijn soms succesvol en soms niet.
Dat één of meerdere implementatie/uitvoeringswetten op of na de betreffende termijn bij de Kamer worden ingediend, doet overigens niet af aan de rol en bevoegdheden van de Kamer als medewetgever.

Vraag 15

Bent u het met de indieners eens dat het niet op tijd voorleggen van wetgeving de controlerende en medewetgevende taak van de Kamer verslechtert?

Het aan de Kamer voorleggen van wetsvoorstellen na het verstrijken van de uitvoerings- of implementatietermijn neemt naar de mening van het kabinet niet weg dat de Kamer haar controlerende en medewetgevende taak voldoende kan verrichten. Ten overvloede zij opgemerkt dat de Kamer ook tijdens de onderhandelingen over de DSA is geïnformeerd.

Vraag 16

Deelt u de mening dat regulering van het digitale domein noodzakelijk is en we hier in het verleden te veel steken hebben laten vallen?

Regulering van het digitale domein is inderdaad wenselijk en het kabinet heeft zich daarom ook proactief opgesteld bij de totstandkoming van diverse wetgeving in het digitale domein op Europees niveau.

Vraag 17

Kunt u deze vragen zo spoedig mogelijk en apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «Netwerk van nieuwssites verspreidt al jarenlang pro-Chinese desinformatie, ook in Nederland»?1

Ja

Vraag 2

Was u bekend met het netwerk van nieuwssites die zijn opgezet door het Chinese pr-bedrijf Haimai om desinformatie te verspreiden? Zo nee, moet de Rijksbrede strategie effectieve aanpak van desinformatie worden verbeterd zodat dit soort desinformatiecampagnes eerder aan het licht komen en effectief worden aangepakt?

Voor het verschijnen van de artikelen «Netwerk van nieuwssites verspreidt al jarenlang pro-Chinese desinformatie, ook in Nederland» en «NVJ: netwerk pro-Chinese nieuwssites leidt tot desinformatie» was ik niet bekend met dit netwerk van nieuwssites opgericht door het Chinese pr-bedrijf Haimai.
In de brief van 9 november 2023 heeft het kabinet al aangekondigd te onderzoeken of, en zo ja hoe, de Rijksbrede aanpak van desinformatie over de kernprocessen van de democratie versterkt moet worden.2 Uw Kamer wordt hier dit voorjaar over geïnformeerd in de Voortgangsbrief over deze strategie.

Vraag 3

Kunt u achterhalen hoeveel bezoekers deze nieuwssites per jaar ongeveer hebben?

Het onderzoek van Citizen Lab «PAPERWALL: Chinese Website Posing as Local News Outlets Target Global Audiences with Pro-Bejing Content»3 waarop de artikelen «Netwerk van nieuwssites verspreidt al jarenlang pro-Chinese desinformatie, ook in Nederland» en «NVJ: netwerk pro-Chinese nieuwssites leidt tot desinformatie» gebaseerd zijn, richtte zich o.a. op het bereik van deze websites.
Voor de beantwoording van deze vraag is contact gezocht met de onderzoeker van Citizen Lab. De organisatie onderzocht door middel van verschillende publieke en open source tools, waaronder hypestat.com (een web platform en browserextensie), de bezoekersaantallen van de websites binnen het netwerk. Van alle websites verscheen alleen een aantal generieke Engelstalige websites «wdpp[.]org» of «euleader[.]org», in de statistieken, met een gemiddelde van 50 bezoekers per dag. Dit hoeven geen unieke bezoekers te zijn, dit kan ook dezelfde persoon zijn die de website een aantal keer bezoekt. Dat andere websites, waaronder «nlpress.org» en «greaterdutch.com», niet in de statistieken verschijnen betekent dat hun bereik verwaarloosbaar is.

Vraag 4

Bent u in contact met de andere dertig landen waar het netwerk actief is geweest en zo ja, neemt u initiatief om gezamenlijk deze desinformatiecampagne tegen te gaan?

Het kabinet staat zowel bilateraal als in multilateraal verband in nauw contact met bevriende landen over de problematiek van buitenlandse inmenging en Foreign Information Manipulation and Interference (FIMI). Dit betreft o.a. uitwisseling van informatie in EU-verband, binnen het NAVO-bondgenootschap en via het Hybrid Centre of Excellence. Via deze weg worden FIMI-campagnes gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden.

Vraag 5

Welke poortwachters zijn er die toezicht houden op nieuw aangemaakte websites? In hoeverre is het mogelijk om in een vroeg stadium al te signaleren dat een nieuwe website onderdeel is van een buitenlandse desinformatiecampagne? Speelt het daarbij een rol of een website in het.com,.org of.nl domein wordt geregistreerd?

Op het moment dat een domeinnaam wordt geregistreerd in het domeinnaamsysteem (DNS) is nog niet bekend voor welke diensten, bijvoorbeeld email of een website, de domeinnaam gebruikt zal gaan worden. Het is dus bij de registratie van een domeinnaam niet mogelijk om het karakter van de website te duiden. Daarnaast breng het vooraf controleren van inhoud van websites de vrijheid van meningsuiting in gevaar.
Wel zijn er binnen de domeinnaamindustrie afspraken gemaakt t.a.v. het voorkomen van DNS misbruik. Hieronder valt een breed spectrum van misbruik waarbij de domeinnaam zelf onderdeel vormt van het misbruik. Bijvoorbeeld phishing m.b.v. domeinnamen die veel lijken op de naam van bestaande gerenommeerde websites (o.a. banken, webwinkels, overheid). Veel domeinnaam- registers en tussenpersonen (registrars) maken bij de aanvraag van een domeinnaam een risicoanalyse op basis van de geregistreerde domeinnaam en de gegevens van de aanvrager. Indien er twijfels zijn over de aanvraag kunnen extra verificatiestappen worden verricht om bijvoorbeeld meer te weten te komen over de identiteit van de aanvrager en diens intenties.
Deze methode wordt onder de naam RegCheck toegepast op registraties van.nl domeinnamen. De Stichting Internetdomeinregistratie Nederland (SIDN) die de registratie van.nl verzorgt, geeft op haar website aan dat vorig jaar ruim 8000 domeinnamen i.v.m. DNS-misbruik offline zijn gehaald. Dit systeem richt zich op het voorkomen van DNS misbruik. Desinformatie of meer algemeen ongewenste inhoud van websites valt niet onder de definitie van DNS-misbruik.
Van andere top-level domeinnamen zijn geen gegevens bekend. Wel zijn er recentelijk door ICANN, de internationale organisatie die deze top-level domeinnamen uitgeeft, een aantal contractuele aanpassingen gedaan wat de registers van deze domeinnamen en hun tussenpersonen verplicht meer maatregelen te nemen om DNS misbruik tegen te gaan en sneller en adequaat te reageren op meldingen over misbruik.
Het ligt niet voor de hand om beheerders van domeinnamen een verantwoordelijkheid te geven in de bestrijding van desinformatie. De enige interventie die beheerders van domeinnamen tot hun beschikking hebben is om een domein in het geheel ontoegankelijk te maken. Als een domein tevens wordt gebruikt voor de verspreiding van legale inhoud dan kan het ontoegankelijk maken een disproportionele beperking van de vrijheid van meningsuiting inhouden.

Vraag 6

Worden deze websites nader onderzocht om dergelijke nepsites voortaan sneller te detecteren?

«Nepsites» als zodanig is geen bestaand fenomeen. Het gaat hier om websites die misleidende informatie bevatten. Het vooraf controleren van de inhoud van een website brengt vrijheid van meningsuiting in gevaar.
Daarnaast is het bestempelen van desinformatie als zodanig en factchecken geen taak van overheden. Dit ligt bij factcheckers en onderzoeksjournalistiek. Want vrijheid van meningsuiting en persvrijheid blijven centraal staan. Wanneer blijkt dat de inhoud van, bijvoorbeeld een website, de nationale veiligheid, volksgezondheid, maatschappelijke en/of economische stabiliteit in gevaar brengt, kan de overheid wel optreden en desinformatie tegenspreken.

Vraag 7

Zijn de critici van de Chinese overheid die door de desinformatiecampagne worden geïmpliceerd op de hoogte gesteld dat zij genoemd worden? Worden er maatregelen genomen om hen waar nodig hulp te bieden?

Buitenlandse Zaken staat in contact met mensenrechtenverdedigers en (vertegenwoordigers van) de Chinese diaspora in Nederland. Onder andere via deze weg komen signalen binnen wanneer er sprake is van negatieve gevolgen van desinformatie, intimidatie via familie in China of bedreiging.
Personen in Nederland die te maken krijgen met strafbare feiten kunnen altijd aangifte of melding doen bij de politie.

Vraag 8

Welke mogelijkheden heeft u om zulke desinformatiecampagnes tegen te gaan? Biedt de Digital Service Act (DSA) voldoende instrumenten om dit soort desinformatiecampagnes tegen te gaan?

De Digital Services Act (DSA) is onder meer van toepassing op hostingdiensten en online platforms voor zover die diensten worden aangeboden aan afnemers in de Unie. Een hostingdienst is een dienst die op verzoek van een afnemer informatie opslaat. Een online platform is een hostingdienst die informatie op verzoek van afnemers informatie opslaat en verspreidt bij het publiek. De websites die worden beschreven in de berichtgeving van de Volkskrant lijken hier niet aan te voldoen omdat de websites werden gebruikt door de eigenaren om zelf informatie te verspreiden. Er vindt geen opslag en/of verspreiding van informatie plaats op verzoek van afnemers van de dienst. Zodoende is de DSA waarschijnlijk niet van toepassing op deze websites.
De websites maakten geen gebruik van online platforms, zoals sociale media, om hun content te verspreiden. Daarom zijn de systeemrisico-analyses die zeer grote online platforms als Facebook, Instagram en TikTok jaarlijks moeten verrichten, waarbij ze ook aandacht moeten hebben voor de verspreiding van dit soort desinformatie, in dit geval niet relevant.
In het voorjaar wordt de Kamer geïnformeerd over de voortgang van de aanpak desinformatie. Hierin worden nieuwe acties voorgesteld om de negatieve impact van desinformatie tegen te gaan.

Vraag 9

Kunt u achterhalen of deze nieuwswebsites ook tegen betaling gepromoot zijn op sociale media, en zo ja, hoe groot het bereik van deze posts is geweest en, waar relevant, in het geval van betaalde promotie en advertenties, hoeveel platforms als Facebook en X daaraan verdiend hebben?

Artikel 39 van de DSA verplicht aangewezen zeer grote online platforms, waartoe ook grote sociale media bedrijven horen, om de advertenties die op hun dienst worden getoond in een doorzoekbaar register vast te leggen. In dat register moet, naast de inhoud van de reclame, onder meer informatie worden opgenomen over de natuurlijke of rechtspersoon namens wie de reclame wordt getoond en de natuurlijke of rechtspersoon die voor de reclame heeft betaald. Ook de periode waarin de advertentie werd getoond en bepaalde demografische gegevens over het publiek moeten in het register worden opgenomen.
Vanuit de advertentiebibliotheek van X en Meta (Facebook) is geen aanwijzing gevonden dat de websites of HaiMai van sociale media gebruik hebben gemaakt om hun content te verspreiden. Dit is bevestigd door CitizenLab, dat de oorspronkelijke analyse deed en daar uitgebreid naar heeft gekeken. Daarnaast gaf de organisatie aan dat er ook geen officiële sociale media accounts zijn die kunnen worden gelinkt aan een van de websites uit het netwerk.

Vraag 10

Deelt u de mening dat de huidige gedragscode desinformatie als officiële gedragscode onder de Digital Services Act nu te weinig specifieke, vage tekst en kernprestatie-indicatoren bevat op het gebied van aanbevelingsalgoritmes? Zo ja, bent u het eens dat de gedragscode in combinatie met de DSA op het punt van desinformatie en aanbevelingssystemen in de praktijk niet te handhaven is? Zo ja, bent u van mening dat de gedragscode desinformatie op dat punt moet worden aangepast?

Op dit moment is de huidige gedragscode desinformatie nog geen officiële gedragscode onder de DSA. Daardoor zijn de onderdelen van de DSA die aansluiting bij, en naleving van, de gedragscode stimuleren nog niet van toepassing. Naar mijn weten is de Europese Commissie bezig om de omzetting naar een gedragscode onder de DSA voor te bereiden. Het is daarom te vroeg om uitspraken te doen over de effectiviteit van de gedragscode.

Vraag 11

Staat u open voor het aannemen van meer effectieve maatregelen tegen aanbevelingssystemen, bijvoorbeeld het verbieden van algoritmen gebaseerd op interactie, waarvan we weten dat ze in de praktijk desinformatie in de hand werken? En dat de verplichte niet-gepersonaliseerde aanbevelingssystemen in Artikel 29 DSA altijd de standaard zijn in plaats van gepersonaliseerde aanbevelingssystemen? Zou u hiervoor willen pleiten in de Europese Unie (EU)?

Ik ga ervan uit dat de vragenstellers doelen op artikel 38 DSA en niet artikel 29 DSA. Artikel 38 DSA bepaalt dat zeer grote online platformen ook altijd een optie voor een aanbevelingssysteem moeten aanbieden dat niet gebaseerd is op profilering.
De DSA is pas recent volledig van toepassing geworden. Het is nog te vroeg om te concluderen dat de verplichtingen die daarmee zijn geïntroduceerd onvoldoende effectief zijn. Bovendien wil ik erop wijzen dat aanbevelingsalgoritmes niet alleen risico’s kennen, maar ook nuttig kunnen zijn. Ze helpen gebruikers bijvoorbeeld om in de enorme hoeveelheid informatie op het internet de voor hen meest interessante informatie te vinden. Daarom ben ik nog niet bereid om te stellen dat de norm van artikel 38 DSA bredere toepassing moet krijgen. Hierbij speelt ook mee dat de invloed van aanbevelingsalgoritmes ook betrokken moet worden in de systeemrisicoanalyses waar grote platforms toe verplicht zijn (zie antwoord 12).
Ten slotte is het van belang op te merken dat de DSA een rechtstreeks werkende verordening is die voorziet in maximumharmonisatie.

Vraag 12

Deelt u de mening van de Nederlandse Vereniging van Journalisten (NVJ) dat er nieuwe Europese wetgeving moet komen die bij grote techbedrijven afdwingt dat dit soort desinformatie-websites geen aandacht krijgen via social media-algoritmes?2

De DSA voorziet in een verplichting voor zeer grote online platforms, waaronder een aantal grote sociale netwerken als Facebook, TikTok en Instagram, om systeemrisico’s te analyseren en beperken (artikel 34 en 25). Ook de verspreiding van sommige vormen van desinformatie kan een systeemrisico vormen. Te denken valt aan desinformatie die verkiezingen kan beïnvloeden, of negatieve effecten heeft voor de volksgezondheid of op minderjarigen. Als dergelijke risico’s bestaan dan kunnen er diverse maatregelen worden genomen, waaronder aanpassingen aan aanbevelingssystemen (artikel 35).
Identificatie en bestrijding van desinformatie is echter niet eenvoudig. Naarmate de methodes daarvoor beter worden kunnen zeer grote platformen die overwegen wanneer zij ter uitvoering van de DSA maatregelen moeten nemen ter bestrijding van systeemrisico’s. Of zeer grote online platforms met hun maatregelen voldoen aan hun verplichtingen onder artikel 35, wordt gecontroleerd en gehandhaafd door de Europese Commissie. De komende jaren moet blijken in hoeverre dit systeem voldoende is. Tot die tijd acht ik verdere wetgeving niet nodig.

Vraag 13

Deelt u de mening dat het zorgelijk is dat niet alleen Rusland3, maar ook China actief inzet op desinformatiecampagnes om de publieke opinie te beïnvloeden?

Ja. Desinformatiecampagnes zijn een onderdeel van de bredere, ambitieuzere Chinese inspanningen op het gebied van FIMI. Chinese FIMI-activiteiten richten zich op het manipuleren van het media- en informatiesysteem binnen en buiten Europa, o.a. om een positief beeld te creëren van het eigen autoritaire bestuursmodel.6

Vraag 14

Heeft u informatie dat China en Rusland hierin gezamenlijk optrekken? Zo ja, op welke manier? Op welke manier trekt u samen met de EU, Verenigde Staten (VS) en andere bondgenoten op om deze ondermijning te bestrijden?

Er zijn voorbeelden beschikbaar waarbij Chinese mediabedrijven Russische desinformatie actief verspreiden.7 Ook na de inval in Oekraïne deelden Chinese staatsmedia op grote schaal Russische narratieven en desinformatie.8 dat China in het recente verleden heeft geleerd van Russische tactieken en technieken voor de verspreiding van desinformatie.9 Zoals genoemd onder vraag 4, werkt Nederland in meerdere kaders samen met gelijkgezinde landen om ervaring en geleerde lessen te delen en onze aanpak af te stemmen. Dat is echter een zaak van lange adem en meerdere sporen, zoals in deze beantwoording geschetst.

Vraag 1

Bent u bekend met het bericht «Duizenden kinderen in Telegram-exposegroepen: «Ouders cruciaal in aanpak»»1?

Ja.

Vraag 2

Ziet u, net als de indiener, dat het probleem van exposing en doxing toeneemt in openbare en besloten groepen op Telegram?

Vanzelfsprekend ben ik, met de indiener, van mening dat exposing en doxing in Telegram-groepen een zeer kwalijk probleem is. In de eerste plaats voor de slachtoffers wiens foto’s en contactgegevens gedeeld worden. Maar ook omdat Telegram zelf dit probleem niet tegengaat, zoals andere grote platforms vaak wel doen. Ik verwijs hierbij ook naar mijn eerdere antwoorden over dit onderwerp.2
Het is moeilijk te zeggen of het probleem toeneemt; daarvoor ontbreken duidelijke gegevens. Daarnaast is het hebben van een overzicht van besloten groepen lastig omdat deze groepen per definitie niet openbaar zijn. Exposing wordt niet als zodanig door de politie geregistreerd omdat het kan gaan om verschillende strafbare feiten. Hierbij valt onder andere te denken aan misbruik van seksueel beeldmateriaal (artikel 139h Sr), kinderpornografie (artikel 240b Sr) en sinds 1 januari 2024 ook aan het gebruik van persoonsgegevens voor intimiderende doeleinden, ook wel strafbare doxing (artikel 285d Sr) genoemd. Het aantal gevallen van doxing van vóór die datum is niet vast te stellen, omdat de politie meldingen en aangiften over gedragingen die sindsdien strafbaar zijn, niet als zodanig registreerde. Er wordt inderdaad aangifte gedaan van doxing op Telegram, maar ook van doxing op verschillende andere platformen.

Vraag 3

Bent u van mening dat dit soort groepen op Telegram aangepakt moeten worden en verwijderd dienen te worden? Wat is daarin uw rol als Minister?

Ik ben van mening dat alle online inhoud die strafbaar dan wel onrechtmatig is verwijderd zou moeten worden. In eerste instantie is dat de verantwoordelijkheid van de online platformen, zoals Telegram, zelf. Als het platform weet van de aanwezigheid van groepen die actief zijn met het doel om illegale content met elkaar te delen dan moet het platform daartegen optreden.
Via de publiek-private samenwerking online content moderatie ben ik in constante dialoog met verschillende departementen, OM, politie en de verschillende soorten aanbieders in de internetsector over illegale inhoud en illegale activiteiten op het openbare internet. Ik keur het af dat partijen als X (voorheen Twitter) en Telegram besloten hebben hier niet bij aanwezig te zijn.
De afgelopen jaren heeft het kabinet de inspanningen verhoogd om deze partijen op hun verantwoordelijkheden te wijzen, deels op grond van de Verordening Terroristische Online Inhoud en de Digital Services Act3. Dit zijn twee nieuwe wetgevingsinstrumenten die de toezicht en handhaving van illegale inhoud op het internet moeten verbeteren. De Autoriteit online Terroristisch en Kinderpornografisch Materiaal houdt toezicht op de Verordening Terroristische Online Inhoud. De Europese Commissie – en in Nederland de Autoriteit Consument en Markt – houden toezicht op de Digital Services Act.
Indien geen gehoor wordt gegeven aan verzoeken tot verwijdering van online illegale content kan de officier van justitie met een machtiging van de rechter-commissaris, die enkel wordt afgegeven ingeval van verdenking van een strafbaar feit als bedoeld in artikel 67, eerste lid, Sv, een platform bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is voor de beëindiging van een strafbaar feit of ter voorkoming van nieuwe strafbare feiten (artikel 125p Sv).

Vraag 4

Zijn u andere platforms bekend waar relatief veel doxing en exposing plaatsvindt? Zo ja, welke platforms zijn dat en welke maatregelen neemt u om doxing en exposing daarop tegen te gaan?

Ik beschik niet over een dekkend overzicht van platforms waarop exposing en doxing zich relatief veel voordoen ten opzichte van andere platforms. De gedragingen doen zich voor op diverse platforms, zoals bijvoorbeeld op Telegram. Een aantal platforms voert een actief beleid tegen illegaal en ongewenst gedrag, zoals Meta, TikTok en Snapchat. Met deze partijen vindt regelmatig overleg plaats en zij werken ook goed samen met mijn ministerie, openbaar ministerie en de politie.

Vraag 5

Hoe veel gevallen van doxing zijn er sinds de strafbaarstelling daarvan op 1 januari jl. gesignaleerd en aangepakt op Telegram? Hoe veel van deze gevallen vonden plaats in exposegroepen die daar specifiek voor opgericht zijn?

In januari 2024 zijn 21 incidenten rond doxing gemeld bij de politie. In 13 gevallen is er aangifte gedaan. In drie van die gevallen is de verdachte geïdentificeerd. Het onderzoek naar deze incidenten loopt nog. Over lopende zaken kan ik verder geen uitspraken doen.
Specifiek voor Telegram zijn er bij de politie op dit moment drie registraties van doxing bekend die kunnen worden geduid als exposing – het zonder instemming verspreiden van intiem beeldmateriaal met een negatief doel, bijvoorbeeld om iemand te beledigen of af te persen. Of de gebruikte Telegramgroepen specifiek voor dergelijke exposing zijn opgericht kan ik niet vaststellen.

Vraag 6

Wat is de wettelijke definitie van «exposing»? Onder welke voorwaarden is dit strafbaar? Vallen ook niet-naakte beelden, die toch zonder toestemming zijn verzameld en / of verspreid, onder deze definitie? Zo ja, hoe wordt bepaald of materiaal geldt als exposing?

Exposing kan strafbaar zijn als sprake is van strafbare doxing (artikel 285d Sr), kinderpornografie (artikel 240b Sr) of misbruik van seksueel beeldmateriaal (artikel 139h Sr). Strafbare doxing (artikel 285 Sr) doet zich voor in de gevallen waarin persoonsgegevens van een ander worden verspreid om die ander vrees aan te jagen of ernstige overlast aan te doen. Het kan hierbij bijvoorbeeld gaan om het adres of een (naakt of niet-naakt) foto van het slachtoffer op grond waarvan de identiteit van het slachtoffer kan worden vastgesteld. In het geval dat beeldmateriaal van seksuele aard, zoals naaktfoto’s, wordt verspreid kan onderscheid worden gemaakt tussen beeldmateriaal van minderjarigen en van meerderjarigen. Beeldmateriaal van seksuele aard van minderjarigen betreft kinderpornografisch materiaal waarvan de verspreiding in alle gevallen strafbaar is (artikel 240b Sr). Is de afgebeelde persoon een volwassene, dan is de openbaarmaking van seksueel beeldmateriaal van de afgebeelde strafbaar wanneer degene die dit doet weet dat die openbaarmaking nadelig kan zijn voor de afgebeelde (artikel 139h, tweede lid, onder b, Sr). Hetzelfde geldt voor de openbaarmaking van seksueel beeldmateriaal van een ander terwijl degene die dit doet weet of redelijkerwijs moet vermoeden dat dit materiaal opzettelijk en wederrechtelijk is vervaardigd (artikel 139h, tweede lid, onder a, Sr).

Vraag 7

Bent u van mening dat de Digital Services Act (DSA) voldoende handvaten biedt om doxing- en exposegroepen aan te pakken? Zo ja, welke handvatten bent u van plan in te zetten?

Als het openbare chatgroepen betreft, biedt de Digital Services Act zeker handvatten om hiertegen op te treden. Ik wijs in dit verband met name op de verplichtingen neergelegd in artikel 16 (dat voorziet in kennisgevings-en actiemechanismen voor illegale inhoud), artikel 18 (op grond waarvan vermoedens van strafbare feiten waarbij het leven of de veiligheid van een persoon of personen worden bedreigd moeten worden gemeld bij de bevoegde instanties), artikel 22 (over meldingen ingediend door betrouwbare flaggers), artikel 23 (op grond waarvan gebruikers die frequent illegale inhoud plaatsen geschorst moeten worden) en artikel 28 (de verplichting voor online platforms om minderjarigen te beschermen).
De positie van Telegram onder de Digital Services Act is nog niet geheel duidelijk. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de Digital Services Act, terwijl besloten (groeps)gesprekken erbuiten vallen, maar de praktijk moet dit uitwijzen.4 Opgemerkt zij wel dat Telegram niet in Nederland gevestigd is en geen wettelijke vertegenwoordiger in Nederland heeft aangewezen. Dit beperkt de mogelijkheden om Telegram aan te spreken op naleving van de Digital Services Act, omdat Telegram niet onder de Nederlandse rechtsmacht valt. Het is aan de toezichthouder in de lidstaat waar Telegram besluit een wettelijk vertegenwoordiger aan te wijzen, in dit geval België, om toezicht te houden op de naleving van deze eisen. Mocht Telegram zich niet aan de eisen van de Digital Services Act houden, dan kan de ACM als Nederlandse toezichthouder gebruik maken van de mogelijkheden die de DSA biedt om de Belgische toezichthouder te verzoeken om onderzoeks- en handhavingsmaatregelen te nemen (artikel 58 DSA).

Vraag 8

Welke gevolgen heeft het voor de Autoriteit Consument & Markt (ACM) en uw ministerie dat de DSA nog niet nationaal is geïmplementeerd? Bemoeilijkt dit het nemen van maatregelen tegen platforms die niet voldoen aan de verplichtingen? Wanneer verwacht u dat de uitvoeringswet aan de Kamer wordt voorgelegd?

De Digital Services Act is een verordening en behoeft geen implementatie, maar uitvoering. Als verordening werkt de Digital Services Act rechtstreeks door in de Nederlandse rechtsorde. Sinds 17 februari 2024 geldt de Digital Services Act dan ook door de gehele Europese Unie. Tussenhandeldiensten zijn verplicht om de Digital Services Act na te leven en gebruikers kunnen zich jegens hen beroepen op de rechten die zij door de Digital Services Act krijgen. Dat de ontwerp Uitvoeringswet in Nederland nog niet tot wet is verheven betekent niet dat diensten niet aan de Digital Services Act hoeven te voldoen. Het betekent enkel dat de Autoriteit Consument & Markt (ACM) nog niet in staat is om toezicht te houden op naleving van de Digital Services Act door tussenhandeldiensten die in Nederland zijn gevestigd of een wettelijk vertegenwoordiger hebben, zoals Bol.com, Marktplaats, of Snap. Voor het toezicht op de zeer grote online platformen en zoekmachines, zoals Instagram, X, Amazon, of TikTok is de Europese Commissie de primaire toezichthouder. Dat de ACM nog niet bevoegd is om in Nederland toezicht te houden op naleving van de Digital Services Act betekent dan ook niet dat er nog geen toezicht is op deze diensten.
Voor wat betreft de verwachte planning rondom de Uitvoeringswet DSA, is de Minister van Economische Zaken bezig om het advies van de Raad van State dat op 8 februari jl. ontvangen is, te verwerken. Daarna zal het ontwerpwetsvoorstel worden voorgelegd aan de ministerraad. Na diens goedkeuring kan het wetsvoorstel aan de Tweede Kamer worden verzonden. Dit zal naar verwachting eind maart zijn.

Vraag 9

Verwacht u dat Telegram zich aan de eisen die de DSA aan het platform stelt gaat houden? Zo ja, waaruit blijkt dit? Zo nee, aan welke eisen verwacht u dat Telegram niet zal voldoen?

Zoals toegelicht is de positie van Telegram onder de Digital Services Act nog niet geheel duidelijk. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de Digital Services Act, terwijl besloten (groeps)gesprekken er buiten vallen, maar de praktijk moet dit uitwijzen. Ondertussen staat wel vast dat de Digital Services Act voor meer transparantie en dus verbetering van het gedrag door Telegram zou moeten leiden. Ik heb op dit moment geen indicaties dat Telegram niet van plan is om de Digital Services Act na te gaan leven. Telegram heeft een wettelijk vertegenwoordiger aangewezen in België; dat betekent dat de Belgische toezichthouder zal gaan handhaven op de verplichtingen uit de Digital Services Act. Dat laat onverlet dat politie en justitie actief zullen blijven om illegale inhoud van Telegram te weren.

Vraag 10

Welke escalatieladder schrijft de DSA voor indien Telegram niet meewerkt? Op welke momenten worden welke sancties opgelegd als het platform niet voldoet aan de eisen?

Het toezicht op de naleving van de Digital Services Act is aan de bevoegde onafhankelijke toezichthouders. Het is aan hen om te bepalen hoe zij de handhaving eventueel vormgeven. De Digital Services Act bevat in ieder geval voldoende instrumenten hiervoor, zoals de mogelijkheid om de stopzetting van inbreuken te bevelen, een last onder dwangsom en/of een geldboete op te leggen.

Vraag 11

Welke tekortkomingen ziet u in de DSA die het doeltreffend aanpakken van exposegroepen op Telegram nog bemoeilijken?

Ik zie niet direct tekortkomingen in de Digital Services Act. Het aanpakken van exposegroepen zou eventueel bemoeilijkt kunnen worden indien het gaat om besloten groepen, aangezien de Digital Services Act daarop (vermoedelijk) niet van toepassing is. Omwille van het beschermen van onder meer de privacy en veiligheid gelden er voor dergelijke communicatie andere regels dan de Digital Services Act. De bestrijding van exposegroepen en de verspreiding van illegale inhoud in besloten groepen botsen al snel met grondrechten en andere belangen. De Digital Services Act staat er niet aan in de weg dat iemand die weet dat hij- of zijzelf of een ander slachtoffer wordt van deze exposegroepen dit meldt bij de aanbieders, aangifte doet bij de politie of naar de civiele rechter stapt.

Vraag 12

Welke andere instrumenten en bevoegdheden heeft u, buiten de DSA om, om exposegroepen aan te pakken? Wanneer zet u deze in?

In situaties waarin gegevens niet worden verwijderd door platforms zoals Telegram kan de officier van justitie met een machtiging van de rechter-commissaris bevelen om gegevens ontoegankelijk te maken op grond van artikel 125p Sv (zie ook beantwoording van vraag 3).
Vaak worden exposes op sociale media en in appgroepen via anonieme accounts gedaan of door accounts waarbij de gebruikersnaam niet overeenkomt met de identiteitsgegevens van de accounthouder. Opsporingsonderzoeken kunnen hierdoor veel tijd in beslag nemen. Wanneer nader onderzoek plaatsvindt, zal de politie trachten te achterhalen welke gebruikersgegevens zijn opgegeven bij het aanmaken van het account (welk e-mailadres en telefoonnummer aan het account zijn gekoppeld), welk IP-adres is gebruikt bij het aanmaken van het account, welk IP-adres is gebruikt bij het plaatsen van de illegale content en welke IP-adressen het laatst door dit account zijn gebruikt. Daartoe kan de politie een vordering (al dan niet door middel van een internationaal rechtshulpverzoek) indienen bij sociale media platforms om de identiteit van de accounthouder te achterhalen (artikel 126naSv). Over het algemeen gaat de samenwerking tussen de politie en sociale mediabedrijven goed en werken ze mee aan de vorderingen tot het verstrekken van gegevens, maar dat is niet altijd het geval, bijvoorbeeld bij een partij als Telegram. Indien de identiteit van de feitelijke verzender van het bericht waarmee een strafbaar feit is gepleegd kan worden vastgesteld zal in beginsel tot vervolging worden overgegaan.
De verspreiding van beeldmateriaal van seksuele aard van minderjarigen is zoals gezegd in alle gevallen strafbaar (artikel 240b Sr). Om de handhaving op het verwijderen van beeldmateriaal van online seksueel kindermisbruik te verstevigen heb ik de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) opgericht. De wet die de bestuursrechtelijke bevoegdheid regelt die de ATKM zal verkrijgen voor handhaving op kinderpornografisch materiaal ligt momenteel voor in uw Kamer.

Vraag 13

Behoort een verbod op het aanbieden van de app Telegram in Nederland tot de mogelijkheden? Zo ja, overweegt u een dergelijk verbod? Zo nee, waarom niet?

Ik zie een verbod op de app Telegram in Nederland niet als een manier om exposegroepen aan te pakken; het is immers niet het enige platform waar dit soort activiteiten plaatsvindt. Online platforms zijn vrij om hun eigen gebruikersvoorwaarden op te stellen op basis van de vrijheid van onderneming en contractsvrijheid, mits deze niet in strijd zijn met wet- en regelgeving. Het is aan Telegram om te zorgen dat het gebruik van de app niet leidt tot illegale inhoud of illegale activiteiten.

Vraag 14

Vanuit de DSA volgt dat Telegram een Europese vertegenwoordiger moet aanwijzen. Bent u bereid zo snel mogelijk met de vertegenwoordiger in gesprek te gaan over deze problematiek en de Kamer over de uitkomsten te informeren?

Telegram heeft inderdaad een wettelijk vertegenwoordiger in de Unie aangewezen; dat is in dit geval in België. Het gaat hierbij om dezelfde vertegenwoordiger die ook aanspreekpunt is voor de Verordening Terroristische Online Inhoud. Het is nu van belang om vertrouwen te stellen in de onafhankelijk toezichthouders in België en hen niet bij voorbaat voor de voeten te lopen.

Vraag 15

Bent u bereid samen op te trekken met de verantwoordelijke Minister in België om de wettelijke vertegenwoordiging van Telegram in Brussel tot actie te dwingen?

Nee, op dit moment zie ik daar geen aanleiding toe. Het is nu aan de onafhankelijk toezichthouders om te onderzoeken of Telegram de Digital Services Act naleeft en zo nodig handhavend op te treden om Telegram tot actie te dwingen.

Vraag 16

Heeft u de bevoegdheid om contact met Telegram af te dwingen, mocht de Europese vertegenwoordiging ook onbereikbaar blijken?

Nee, deze bevoegdheid heb ik niet zolang Telegram niet in Nederland gevestigd of vertegenwoordigd is.

Vraag 17

Kunt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Kent u het rapport van de Duitse Minister van Buitenlandse Zaken over de systematische en massale Russische desinformatiecampagne via het sociale mediakanaal X waarover bericht is in Der Spiegel?1

Ja.

Vraag 2

Deelt u de mening dat dergelijke activiteiten een rechtstreekse bedreiging zijn voor de democratische rechtsstaat en daarmee voor de staatsveiligheid? Zo nee, waarom niet?

Het kabinet is van mening dat inmenging door statelijke actoren onze belangen, waaronder onze nationale veiligheidsbelangen, kunnen schaden. Zoals ook vermeld in het Dreigingsbeeld Statelijke Actoren 2 vormen de inlichtingen en beïnvloedingsactiviteiten van diverse statelijke actoren in Nederland een blijvende dreiging voor de sociale en politieke stabiliteit. Daarnaast geeft de AIVD in het jaarverslag van 2022 aan dat een optelsom van verschillende dreigingen tegen de democratische rechtsorde onze samenleving raakt. Sommige landen, zoals Rusland, buiten het wantrouwen tegen democratische instituties uit en dragen daarmee bij aan maatschappelijke onrust in het Westen.2

Vraag 3

Herinnert u zich de uitspraak van de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat er geen tekenen waren van buitenlandse inmenging bij de verkiezingen? Staat u nog steeds achter deze uitspraak? Hoe verhoudt deze uitspraak zich tot een gelijktijdige uitspraak van de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat er wel degelijk sprake is van desinformatie?2

Het kabinet herinnert zich deze uitspraak en staat hier nog steeds achter. Des- of misinformatie kan ook worden verspreid zonder dat er sprake is van buitenlandse inmenging. Zo ontving het Ministerie van BZK op 22 november via de media meldingen over berichten op X waarin kiezers die op PvdA/GroenLinks wilden stemmen, tijdens de verkiezingen twee hokjes moesten inkleuren. Dit leidt tot een ongeldige stem. Vergelijkbare oproepen heeft het Ministerie van BZK ook bij eerdere verkiezingen gezien.4

Vraag 4

Deelt u de mening dat het aannemelijk is dat ook in Nederland door Rusland of wellicht ook andere buitenlandse mogendheden via onder andere sociale media desinformatiecampagnes worden gevoerd? Zo ja, heeft u hiervoor concrete aanwijzingen? Welke zijn dat?

Ik deel deze mening. De AIVD signaleert in het jaarverslag 2022 onder meer dat er landen zijn, waaronder Rusland, die westerse democratieën onopgemerkt proberen te ondermijnen en de Nederlandse overheid heimelijk proberen te beïnvloeden. Over Rusland schrijft de AIVD dat het heimelijk zoekt naar ingangen in de Europese politiek, en bij Europese bestuurders en bij de media. Afgelopen jaar hebben statelijke actoren soms verregaande pogingen gedaan om in Westerse landen het publieke debat over de invasie in Oekraïne en het politiek-bestuurlijke bestel heimelijk te beïnvloeden.5 Dergelijke ervaringen leren ons dat we waakzaam moeten blijven. Omdat het verkiezingsproces nu en in de toekomst ongestoord moet verlopen, vrij van ongewenste beïnvloeding en inmenging, heb ik uw Kamer recentelijk een brief gezonden met een overzicht van mogelijke risico’s voor het verkiezingsproces en de maatregelen die worden genomen om ons hierop voor te bereiden.6

Vraag 5

Bent u in contact getreden met de Duitse regering om na te gaan of zij over signalen beschikt dat ook in Nederland of andere EU-lidstaten sprake is (geweest) van desinformatiecampagnes door buitenlandse mogelijkheden? Zo ja, welke informatie heeft dit opgeleverd? Zo nee, bent u bereid dat alsnog te doen?

Het kabinet staat zowel bilateraal als in multilateraal verband in nauw contact met bevriende landen waar het buitenlandse inmenging en Foreign Information Manipulation and Interference (FIMI) betreft. Dit betreft o.a. de doorlopende uitwisseling van informatie in EU-verband (o.a. via de Horizontal Working Party on Enhancing Resilience and Countering Hybrid Threats en het Rapid Alert System), binnen het NAVO-bondgenootschap en via het Hybrid Centre of Excellence. Via deze weg worden FIMI-campagnes gesignaleerd, vindt uitwisseling plaats over de verschillende verschijningsvormen van FIMI en worden best practices gedeeld over het verhogen van de weerbaarheid en responsmogelijkheden. Dit is ook bruikbaar voor het Nederlandse dreigingsbeeld. Waar nodig wordt ook gekeken naar een gezamenlijke reactie. Voorbeelden daarvan zijn de jaarlijkse FIMI-publicatie van EDEO waarin een overzicht wordt gegeven van gedetecteerde modus operandi7, en de sancties die in juli 2023 aan verschillende Russische personen en bedrijven zijn opgelegd vanwege FIMI-campagnes.8

Vraag 6

Indien er geen concrete aanwijzingen zijn, bent u dan bereid een onderzoek in te stellen, in lijn met wat er in Duitsland is gebeurd, om na te gaan welke activiteiten op dit vlak mogelijk in Nederland plaatsvinden? Zo ja, op welke wijze en op welke termijn? Zo nee, waarom niet?

Het kabinet volgt eventuele veranderingen in het dreigingslandschap nauwgezet. Het kabinet ziet de dreigingen die door andere lidstaten worden geïdentificeerd en begrijpt dat dit leidt tot zorgen. In de brief 9 november 2023 heeft het kabinet daarom al aangekondigd te onderzoeken of, en zo ja hoe, de Rijksbrede aanpak van desinformatie over de kernprocessen van de democratie versterkt moet worden. Uw Kamer wordt over de verdere invulling en de termijn waarbinnen uw Kamer de resultaten kan verwachten geïnformeerd in de Voortgangsbrief over de Rijksbrede strategie voor de effectieve aanpak van desinformatie. De ervaringen en werkwijzen van andere lidstaten zullen in ieder geval worden meegenomen in dit onderzoek.
De AIVD en MIVD kunnen sowieso onderzoek doen naar statelijke actoren en in welke mate zij een dreiging vormen voor de nationale veiligheid. In dit onderzoek kunnen de diensten stuiten op onder meer pogingen van manipulatie of het verspreiden van desinformatie. De AIVD en MIVD zullen partners voor wie dit relevant is informeren.

Vraag 7

Deelt u de zorg van de Duitse regering dat deze activiteiten een eerlijk verloop van de verkiezingscampagne voor de Europese verkiezingen negatief zouden kunnen beïnvloeden? Zo ja, welke maatregelen gaat u treffen om dit te voorkomen? Zo nee, waarom niet?

Ja. De ervaringen in landen om ons heen leren ons dat we waakzaam moeten blijven. Het verkiezingsproces moet, nu en in de toekomst, ongestoord verlopen, vrij van ongewenste beïnvloeding en inmenging. Daarom heeft de Minister van BZK op 9 november 2023 een brief aan de Kamer verzonden met een overzicht van mogelijke risico’s voor het verkiezingsproces en de maatregelen die zijn genomen om ons hierop voor te bereiden.9 De maatregelen die in deze brief worden genoemd worden herhaald in aanloop naar de EP-verkiezingen. Dit betreft onder andere het gebruik van heldere communicatie over de verkiezingen en de organisatie van webinars voor gemeenteambtenaren en verkiezingstafels voor vertegenwoordigers van de Vereniging Nederlandse Gemeenten, de Kiesraad en alle veiligheidspartners.

Vraag 8

Welke maatregelen treffen andere EU-lidstaten (in aanvulling op de Digital Services Act) om desinformatiecampagnes door buitenlandse mogelijkheden te bestrijden? Zijn er voorbeelden van instrumentarium waarover deze lidstaten beschikken waar Nederland nu niet over beschikt? Zo ja, welke?

De Europese Dienst voor Extern Optreden (EDEO) doet onderzoek naar Foreign Information Manipulation and Interference (FIMI), waarbij EDEO mandaat heeft voor Open source intelligence onderzoek (OSINT) naar actoren van derde landen en daaraan gelinkte bronnen.10 In een recent gepubliceerd rapport geeft EDEO toelichting op de gebruikte methodologie en de in 2023 gedetecteerde campagnes en trends. EDEO signaleert tevens specifieke dreigingen gericht op de integriteit van electorale processen, en doet suggesties voor preventieve en reactieve maatregelen die lidstaten kunnen nemen wanneer ze hiermee worden geconfronteerd. 11
Daarnaast hebben diverse EU lidstaten afdelingen buiten de I&V-diensten die zich (o.a.) richten op OSINT-onderzoek naar FIMI-campagnes. Voorbeelden zijn Duitsland (Referat 607, binnen het Ministerie van Buitenlandse Zaken en de recent door de Minister van Binnenlandse Zaken aangekondigde nieuwe eenheid in oprichting12), Frankrijk (VIGINUM, binnen het Secretariaat-Generaal voor Nationale Defensie en Veiligheid) en Zweden (Swedish Psychological Defense Agency, binnen het Ministerie van Defensie); die reeds meerdere FIMI-campagnes hebben blootgelegd.

Vraag 9

Bent u van mening dat de Nederlandse wet- en regelgeving op dit moment voldoende waarborgen biedt om desinformatiecampagnes door buitenlandse mogendheden te bestrijden? Op welke analyse baseert u deze conclusie? Zo nee, welke stappen gaat u zetten zodat Nederland beter in staat is desinformatiecampagnes te bestrijden?

In de brief 9 november 2023 heeft het kabinet aangekondigd te onderzoeken of, en zo ja hoe, de Rijksbrede aanpak van desinformatie over de kernprocessen van de democratie versterkt moet worden. Uw Kamer wordt over de verdere invulling en de termijn waarbinnen uw Kamer de resultaten kan verwachten geïnformeerd in de Voortgangsbrief over de Rijksbrede strategie voor de effectieve aanpak van desinformatie. De ervaringen en werkwijzen van andere lidstaten zullen in ieder geval worden meegenomen in dit onderzoek.
In algemene zin geldt dat het Nederlandse beleid tegen statelijke dreigingen is een continue afweging tussen belangen, dreigingen en weerbaarheid. Deze dreiging wordt geadresseerd met een breed palet aan maatregelen, zoals is beschreven in de Kamerbrief Aanpak statelijke dreigingen en aanbieding dreigingsbeeld statelijke actoren 2.13

Vraag 10

Welke aanvullende maatregelen kunt u nemen bij de nationale implementatie van de Digital Services Act en de Digital Markets Act om desinformatie beter te bestrijden binnen Nederland? Bent u bereid dit te doen? Zo nee, waarom niet?

Vooropgesteld dient te worden dat zowel de Digital Markets Act als de Digital Services Act verordeningen zijn. Dat betekent dat zij rechtstreeks doorwerken in de Nederlandse rechtsorde. Daardoor is van implementatie strikt genomen geen sprake. De verordeningen moeten wel worden uitgevoerd. Dat houdt onder meer in dat er toezichthouders worden aangewezen, dat de benodigde bevoegdheden voor het toezicht worden toegekend, en dat er een grondslag wordt gecreëerd voor gegevensuitwisseling met andere toezichthouders en/of overheidsorganisaties. Dit gebeurt door middel van uitvoeringswetgeving.
De Digital Markets Act (DMA) bevat regelgeving voor de allergrootste wereldwijd actieve platforms met een poortwachtersfunctie. Dit zijn platforms waar consumenten en ondernemers nauwelijks meer omheen kunnen. De verboden en verplichtingen uit de DMA moeten zorgen voor betere bescherming van consumenten en ondernemers en meer concurrentie op digitale markten. De DMA is niet van belang voor de bestrijding van desinformatie.
De Digital Services Act beoogt wel mede de verspreiding van desinformatie en andere schadelijke inhoud aan te pakken. De Digital Services Act bevat enerzijds een kader voor de aansprakelijkheid van aanbieders van tussenhandeldiensten voor door hun gebruikers verstrekte informatie en anderzijds een aantal zorgvuldigheidsverplichtingen waar deze aanbieders aan moeten voldoen bij het verlenen van hun diensten.
De Digital Services Act betreft maximumharmonisatie. Dit betekent dat er geen ruimte voor de lidstaten is om binnen het toepassingsgebied van de verordening aanvullende nationale eisen te stellen of in stand te houden.14 Op nationaal niveau kunnen dus geen aanvullende zorgvuldigheidsverplichtingen aan tussenhandeldiensten worden opgelegd. Dit doet overigens niet af aan de andersoortige beleidsmaatregelen die er op nationaal niveau worden genomen tegen desinformatie. Voor een overzicht van dat beleid verwijs ik u naar de reeds genoemde Rijksbrede strategie voor de effectieve aanpak van desinformatie.15

Vraag 11

Bent u van mening dat sociale media platforms hun verantwoordelijkheid om desinformatie tegen te gaan in voldoende mate nemen? Zo ja, waar blijkt dit uit? Zo nee, welke stappen gaat u zetten?

Op het Transparency Centre16 van de Europese praktijkcode tegen desinformatie zijn sinds 2023 rapportages te vinden van een groot aantal sociale media platforms waarin zij uiteenzetten hoe zij hun verantwoordelijkheid nemen om desinformatie tegen te gaan. Op basis van deze rapportages is een eerste onderzoeksrapport verschenen waarin structurele indicatoren worden uitgewerkt.17 Daar is te lezen dat sociale media platforms in verschillende mate en op verschillende manieren hun verantwoordelijkheid om desinformatie tegen te gaan nemen. Waar op X18, voorheen Twitter, de vindbaarheid van desinformatie, de ratio van desinformatie actoren en de relatieve interactie met desinformatie het hoogste is, volgt Facebook op de eerste twee indicatoren op een tweede plek. Bij zowel de relatieve als de absolute interactie met desinformatie volgt YouTube op een tweede plek. TikTok heeft in absolute getallen de meeste interactie met desinformatie, maar behoort, net als Instagram, tot een middenmoter wanneer het gaat om de ratio en de vindbaarheid van desinformatie, en kent de laagste relatieve interactie met desinformatie.
In hoeverre dit voldoende is, is aan de toezichthouder om te beoordelen binnen het wettelijk kader van de DSA. In het geval van zeer grote online platforms als X, Facebook en Twitter is dat primair de Europese Commissie. Op 18 december 2023 heeft de Commissie een formele procedure ingeleid om te beoordelen of X mogelijk inbreuk heeft gemaakt op de DSA19. Daarbij wordt specifiek gekeken naar «de doeltreffendheid van de maatregelen ter bestrijding van informatiemanipulatie op het platform, en de doeltreffendheid van daarmee verband houdende beleidsmaatregelen om de risico's voor het maatschappelijk debat en de verkiezingsprocessen te beperken». De inleiding van een formele procedure geeft de Commissie de bevoegdheid om verdere handhavingsmaatregelen te nemen, zoals voorlopige maatregelen en besluiten wegens niet-naleving.

Vraag 1

Bent u bekend met initiatiefvoorstel van GroenLinks-PvdA in de gemeente Utrecht over het gelijktrekken van de vermogensgrenzen voor kwijtscheldingen voor gemeentelijke belastingen met de vermogensgrenzen in de bijstand, dat op 7 december 2023 is aangenomen in de gemeenteraad?

Ja, zie ook mijn brief Vernietiging besluit gemeenteraad Utrecht aan uw Kamer van 22 december jl. (Kamerstukken II 2023/24, 24 515, nr. 736).

Vraag 2

Hoe beoordeelt u het feit dat de vermogensgrenzen op lokaal niveau tussen de 3.275 euro en 4.350 euro vallen, terwijl in de Participatiewet vermogensgrenzen gehanteerd worden tussen de 7.605 euro en 15.210 euro?

Gezien de controversieelverklaring door uw Kamer en gelet op de vele beleidsmatige effecten die samenhangen met een eventuele verhoging van de vermogensnorm voor kwijtschelding vindt het kabinet het niet opportuun hier nu inhoudelijk op te reageren.
Voorgeschiedenis:
In de motie Krol c.s. (Kamerstukken II 2019/20, 24 515, nr. 524) werd de regering verzocht de Nadere regels kwijtschelding gemeentelijke en waterschapsbelastingen zo aan te passen, dat AOW-gerechtigden die qua inkomen recht hebben op kwijtschelding van gemeentelijke belastingen, dit recht niet verspelen door het hebben van een kleine vermogensbuffer. Hierop volgend heeft de Tweede Kamer bij motie van de leden Peters (CDA) en Bruins (ChristenUnie) de regering verzocht de Nadere regels kwijtschelding gemeentelijke en waterschapsbelastingen voor 1 mei 2021 aan te passen en daarin te bepalen dat de vermogensnorm voor kwijtschelding verruimd kan worden tot maximaal de vermogensnorm in de Participatiewet (Kamerstukken II 2020/21, 24 515, nr. 590).
Het vorige toenmalige demissionaire kabinet heeft daarop aangegeven (Kamerstukken II 2020/21, 24 515, nr. 605) «dat bijstand en lokale belastingen qua aard beduidend van elkaar verschillen. Bijstand is een vangnet bedoeld om in het basale levensonderhoud te kunnen voorzien. De hier geldende vermogensnorm is ingericht vanuit de vraag vanaf welk vermogen van iemand mag worden verwacht dat hij dit te gelde maakt om in zijn levensonderhoud te voorzien. Lokale belastingen worden door eenieder betaald voor het gebruik of het profijt hebben van overheidsvoorzieningen. Bij de hier gehanteerde vermogensnorm is veeleer de vraag vanaf welk tegoed van iemand mag worden verwacht dat hij ook dit tegoed aanspreekt om deze kosten te betalen. Aan beide normen liggen met andere woorden andere vragen ten grondslag. De huidige kwijtscheldingsregels en bijbehorende vermogensnormen zijn in lijn met de regelgeving van de Rijksoverheid voor de kwijtschelding van Rijksbelastingen.
Het toenmalige demissionaire kabinet heeft daarbij aangegeven het gelet op bovenstaande punten niet opportuun te achten om over de uitvoering van de motie van de leden Peters en Bruins te besluiten en het daarom aan een nieuw kabinet te laten om te wegen hoe het hieraan uitvoering wenst te geven.
In 2022 is uitvoering gegeven aan de motie Krol c.s. Bij de uitvoering van die motie bleek dat de Nadere regels kwijtschelding gemeentelijke en waterschapsbelastingen actualisering en verduidelijking behoefden. Er is daarom gekozen de Nadere regels kwijtschelding gemeentelijke en waterschapsbelastingen in te trekken en een geheel nieuwe ministeriële regeling op te stellen: de Regeling kwijtschelding belastingen medeoverheden. Met deze regeling die op 17 september 2022 in werking is getreden (en terugwerkt tot en met 1 januari 2022), is voor medeoverheden de mogelijkheid gecreëerd om de vermogensnorm met maximaal € 2.000 te verhogen t.o.v. de vermogensnorm die geldt voor de kwijtschelding van Rijksbelastingen (Stcrt. 2022, 23803). Voor alleenstaanden bedraagt de verhoging van de vermogensnorm 75% van de verhoging die de provincie, gemeente of het waterschap voor echtgenoten hanteert. Voor alleenstaande ouders (een alleenstaande die zorg draagt voor één of meer kinderen) bedraagt de verhoging van de vermogensnorm 90% van de verhoging die de provincie, gemeente of het waterschap voor echtparen hanteert.
Vervolgens heeft mijn ambtsvoorganger in haar beantwoording op het verslag van een schriftelijk overleg inzake de reactie op de moties kwijtschelding decentrale belastingen van 3 februari 2023 (Kamerstukken II 2022/23, 24 515, nr. 676) aangegeven eerst de resultaten van de in februari 2022 gestarte Werkgroep IBO Sociale Zekerheid af te willen wachten alvorens verder inhoudelijk te willen reageren op de motie Peters/Bruins (Kamerstukken II 2020/21, 24 515, nr. 590). De Minister van SZW en de Minister voor APP hebben op 9 juni jl. de kabinetsreactie op het IBO aan de TK gestuurd (Kamerstukken II 2022/23, 29 362, nr. 328). In het IBO Sociale Zekerheid is echter niet ingegaan op de kwijtschelding bij lokale heffingen.
Na de val van het kabinet heeft de Kamer in de toenmalige samenstelling de beantwoording op het verslag van een schriftelijk overleg inzake de reactie op de moties kwijtschelding decentrale belastingen van 3 februari 2023 (Kamerstukken II 2022/23, 24 515, nr. 676) van mijn voorganger controversieel verklaard (Kamerstukken II 2022/23, 36 408, nr. 16). Ook de Kamer in huidige samenstelling heeft deze beantwoording controversieel verklaard (Kamerstukken II 2023/24, 36 408 nr. 32).

Vraag 3

Erkent u dat het verhogen van de vermogensgrenzen een groot verschil kan maken voor mensen die nu niet rondkomen?

Dat erken ik. Mijn ambtsvoorganger heeft in haar beantwoording op het verslag van een schriftelijk overleg inzake een reactie op de moties inzake kwijtschelding van decentrale belastingen van 3 februari 2023 (Kamerstukken II 2022/23, 24 515, nr. 676) aangegeven dat ze het eens is met het Nibud dat het verstandig is voor mensen om een financiële buffer te hebben om een plotselinge financiële tegenvaller te kunnen opvangen. Dit voorkomt (acute) betalingsproblemen en verlaagt het risico op armoede en schulden. Dit geldt ook voor mensen met een klein inkomen.
Om deze reden heeft het kabinet dan ook uitvoering gegeven aan de motie van het lid Krol c.s. (Kamerstukken II 2019/20, 24 515, nr. 524). Zoals bij vraag 2 vermeld, werd in deze motie de regering verzocht de Nadere regels kwijtschelding gemeentelijke en waterschapsbelastingen zo aan te passen, dat AOW-gerechtigden die qua inkomen recht hebben op kwijtschelding van gemeentelijke belastingen, dit recht niet verspelen door het hebben van een kleine vermogensbuffer. Het kabinet heeft uitvoering aan deze motie gegeven door de Regeling kwijtschelding belastingen medeoverheden die op 17 september 2022 in werking is getreden. Zoals bij vraag 2 aangegeven is met deze regeling voor medeoverheden de mogelijkheid gecreëerd om de vermogensnorm met maximaal € 2.000 te verhogen t.o.v. de vermogensnorm die geldt voor de kwijtschelding van Rijksbelastingen (Stcrt. 2022, 23803).

Vraag 4

Ziet u dat het hanteren van hogere vermogensgrenzen mensen in staat stelt een financiële buffer op te bouwen waardoor financiële problemen voorkomen kunnen worden? Hoe weegt u dit in relatie tot de rapporten van de Commissie Sociaal minimum, die het belang van een financiële buffer onderstrepen?

Bij vraag 3 heb ik reeds erkend dat het verhogen van de vermogensgrenzen een verschil kan maken en dat om die reden dit kabinet ook uitvoering heeft gegeven aan de motie Krol c.s (Kamerstukken II 2019/20, 24 515, nr. 524) door voor medeoverheden de mogelijkheid te creëren om de vermogensnorm met maximaal € 2.000 te verhogen t.o.v. de vermogensnorm die geldt voor de kwijtschelding van Rijksbelastingen (Stcrt. 2022, 23803).
Uw Kamer heeft de beantwoording op het verslag van een schriftelijk overleg inzake de reactie op de moties kwijtschelding decentrale belastingen van 3 februari 2023 (Kamerstukken II 2022/23, 24 515, nr. 676) van mijn voorganger controversieel verklaard (Kamerstukken II 2023/24, 36 408, nr. 32). Gezien de controversieelverklaring door uw Kamer ga ik nu niet inhoudelijk in op de rapporten van de Commissie Sociaal Minimum.

Vraag 5

Deelt u de visie dat lagere vermogensgrenzen bijdragen aan schuldenpreventie en er daarnaast voor kan zorgen dat mensen minder vaak een beroep hoeven te doen bij de gemeente op bijzondere bijstand?

Gezien de eerdere vragen ga ik ervan uit dat u hier «hogere» vermogensgrenzen bedoeld heeft i.p.v. «lagere».
Bij vraag 3 heb ik reeds erkend dat het voor mensen verstandig is om een financiële buffer te hebben om een plotselinge financiële tegenvaller te kunnen opvangen. Hiermee kunnen (acute) betalingsproblemen worden voorkomen en wordt het risico op armoede en schulden lager.
Om die reden heeft dit kabinet dan ook, zoals reeds aangegeven bij vraag 3, uitvoering gegeven aan de motie Krol c.s. (Kamerstukken II 2019/20, 24 515, nr. 524) door voor medeoverheden de mogelijkheid te creëren om de vermogensnorm met maximaal € 2.000 te verhogen t.o.v. de vermogensnorm die geldt voor de kwijtschelding van Rijksbelastingen (Stcrt. 2022, 23803).

Vraag 6

Ziet u dat gemeenten beperkt zijn in hun handelingsruimte om mensen die niet rondkomen te helpen op het gebied van kwijtscheldingen, omdat zij wel mogen bepalen welke lokale belastingen zij heffen, maar de hoogte van de vermogensgrenzen landelijk vastgesteld worden?

Binnen het landelijk vastgestelde kwijtscheldingsbeleid beschikken gemeenten over de nodige handelingsruimte om mensen die niet rondkomen te helpen. Zo kunnen gemeenten o.a. bepalen:
Verder kunnen gemeenten op grond van hun eigen Leidraad invordering in individuele gevallen besluiten af te zien van verdere invorderingsmaatregelen, als iemand niet in aanmerking komt voor kwijtschelding maar voortzetting van de invordering niet gewenst wordt geacht (artikel 26.6 Leidraad Invordering).
Daarnaast kunnen gemeenten nog bijzondere bijstand verlenen aan inwoners die plotseling te maken krijgen met extra en/of bijzondere kosten. De gemeente bepaalt of iemand hier recht op heeft en kijkt daarbij naar de individuele omstandigheden en de financiële situatie van iemand. Het kan bijvoorbeeld gaan om extra kosten door ziekte of beperking of kosten voor huishoudelijke apparatuur, waarvoor iemand te weinig inkomen en/of vermogen heeft om deze kosten zelf te betalen.

Vraag 7

Op welke termijn bent u voornemens om de vermogensgrenzen voor lokale belastingen op te hogen, gezien de maatschappelijke noodzaak en de wens van de Kamer hiertoe? Kunt u de motie Peters/Bruins en de motie Van Kent/Palland betrekken in uw antwoord?

Een beslissing over een eventuele aanpassing van de vermogensgrenzen voor kwijtschelding van belastingen is gezien de controversieelverklaring van dit dossier door uw Kamer aan een volgend kabinet.

Vraag 8

Gaat u het Utrechtse initiatief om de vermogensgrenzen te verhogen positief beoordelen, zodat het daadwerkelijk uitgevoerd kan worden?

De burgemeester van Utrecht heeft mij, door tussenkomst van gedeputeerde staten van Utrecht medegedeeld, dat het besluit van de gemeenteraad van Utrecht van 7 december jl. tot wijziging van de gemeentelijke verordening terzake naar haar oordeel voor vernietiging in aanmerking komt. Gedeputeerde staten van Utrecht adviseerden het besluit voor te dragen voor vernietiging wegens strijd met het recht en het algemeen belang.
Zoals ik u bij brief van 22 december jl. heb laten weten (Kamerstukken II 2023/24, 24 515, nr. 736) is mede op basis daarvan het genoemde besluit van de gemeenteraad van Utrecht, wegens strijd met het recht en het algemeen belang door de Kroon vernietigd (Stcrt. 2023, 35354). Overigens heeft de gemeenteraad van Utrecht aangekondigd in beroep te gaan tegen de vernietiging.

Vraag 1

Bent u bekend met het NOS-artikel van 5 december 2023 met de titel «Kinderdagverblijven en bso’s gebruiken vaker trucs om omzet te verhogen»?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Hoe kijkt u naar de in het artikel omschreven situatie waarbij kinderopvanglocaties administratieve trucs inzetten om hun winst te verhogen?

Ik zie graag dat de dienstverlening van kinderopvang goed aansluit bij de behoeften van ouders en aanbieders. Daarbij is het van belang dat veranderingen in de dienstverlening in goede afstemming tussen ouders, oudercommissies en kinderopvangorganisaties plaatsvinden. Een situatie waarbij openingstijden worden verruimd zonder dat daar gebruik van wordt gemaakt, is niet de bedoeling. Net als het aanpassen van pakketten waarbij ouders een buitensporige hoeveelheid uren in vakanties dienen af te nemen. Er geldt geen recht op KOT voor uren waarop de opvang gesloten is, met uitzondering van erkende feestdagen.
De signalen over deze praktijken heb ik 14 december 2023 met de kinderopvangbranche besproken. Daarbij heb ik het belang van goede afstemming met ouders alsmede de voorwaarden voor het ontvangen van KOT benadrukt. Tevens heb ik de branche gevraagd in te zetten op: 1) verbetering van transparantie: kinderopvangorganisaties zouden uurprijzen en openingstijden op de website moeten vermelden, 2) het vergroten van de bekendheid van stappen die ouders kunnen nemen bij een geschil of klacht. De brancheorganisaties delen het belang van transparantie en hebben aangegeven zich hiervoor te zullen inspannen. Ik verwacht dat deze stappen de transparantie in de sector vergroten en daarmee de positie van ouders versterken. Ik zal in gesprek blijven met de brancheorganisaties over de voortgang van deze stappen. Parallel ga ik onderzoeken of toezicht en nadere regelgeving gericht op kinderopvangorganisaties wenselijk is.

Vraag 3

Heeft u in beeld in hoeverre er nog andere dan in het artikel beschreven methoden zijn om oneigenlijk extra publiek geld via de kinderopvangtoeslag naar de kinderopvanglocaties te doen toevloeien, zonder dat de gefactureerde uren zijn geleverd?

Ouders sluiten een privaatrechtelijke overeenkomst met hun kinderopvangorganisatie. Hierin wordt het aantal contracturen vastgelegd. Indien een ouder vervolgens besluit een deel van de gefactureerde uren niet te gebruiken, is er niet per se sprake van oneigenlijk gebruik. De kinderopvangorganisatie maakt immers wel kosten gedurende de gecontracteerde uren, ook als een ouder besluit zijn kind later te brengen of eerder op te halen. Daarbij hecht ik er wel aan toe te voegen dat ik het zeer onwenselijk acht wanneer een kinderopvangorganisatie de openingstijden verruimt zonder dat daar gebruik van wordt gemaakt. Bovendien is er enkel recht op KOT voor de uren waarop de opvang daadwerkelijk beschikbaar is. Sluitingen vanwege erkende feestdagen vormen daarop een uitzondering.

Vraag 4

Heeft u zicht op de omvang van dit probleem? Bent u bereid hier onderzoek naar te doen?

Er is geen overzicht op welke schaal de praktijken die besproken worden in het artikel, worden toegepast en wat de financiële gevolgen voor ouders zijn. Dit overzicht is er niet, omdat het gaat om gemaakte afspraken in een privaatrechtelijke overeenkomst tussen kinderopvangorganisaties en ouders. De ouder en de kinderopvangorganisatie sluiten een contract over onder andere het aantal af te nemen uren en de kosten. Deze afspraken worden niet centraal vastgelegd en kunnen daarom niet worden gemonitord.
Ik zal in samenwerking met sectorpartijen een steekproef opzetten om meer zicht te krijgen op openingstijden. Deze steekproef zal aansluiten bij het bestaande uurprijsonderzoek van BOinK en Waarborgfonds Kinderopvang. Bovendien ga ik in gesprek met de Geschillencommissie Kinderopvang om meer duiding te krijgen bij de signalen over pakketaanpassingen, het uitbreiden van openingstijden en het in rekening brengen van incidentele sluitingen.

Vraag 5

Deelt u de zorg dat de ouders die extra uren in rekening gebracht krijgen en daarvoor extra kinderopvangtoeslag ontvangen te maken kunnen krijgen met terugvorderingen? Op welke manier kunnen ouders hiertegen beschermd worden?

Ouders ontvangen KOT voor het aantal uren overeengekomen in het contract met de kinderopvang. Ouders kunnen ervoor kiezen om hun kind minder uren naar de opvang te brengen dan het aantal uren overeengekomen in het contract. Dit betekent niet dat er toeslag terugbetaald moet worden. Voor het recht op KOT is het aantal uren dat in het contract is overeengekomen leidend. Daarbij is er wel de voorwaarde dat de kinderopvangorganisatie daadwerkelijk open is op de uren die in het contract zijn aangegeven, met uitzondering van erkende feestdagen. De ouder heeft namelijk recht op KOT voor betaalde uren, die zijn overeengekomen in het contract en waarbij de kinderopvang beschikbaar is. Ik zou ouders willen aanraden alleen een contract aan te gaan voor beschikbare uren voor kinderopvang.
Als ouders het oneens zijn met pakketaanpassingen, uitbreidingen van openingstijden of de uren die worden gefactureerd, dan is er de ruimte om dit te melden. In eerste instantie kan een ouder hierover in gesprek gaan binnen de organisatie zelf. Ook kan het signaal gemeld worden bij de oudercommissie van de betreffende organisatie. Oudercommissies hebben adviesrecht op de tarieven en openingstijden, maar kunnen geen rol spelen bij klachtenprocedures inzake overeenkomsten tussen een individuele ouder en de KOO. Ouders kunnen daarnaast een formele klacht indienen bij de kinderopvangorganisatie. Een klachtenregeling is voor iedere kinderopvangorganisatie verplicht. Als dit niet tot een bevredigende uitkomst leidt, is een volgend meldpunt het Klachtenloket Kinderopvang.2 Dit loket geeft advies en informatie, en kan bemiddelen tussen ouder en kinderopvangorganisatie. Mocht de klacht hierna nog niet zijn opgelost, dan kan deze worden ingediend door de ouder bij de Geschillencommissie Kinderopvang.3 Zij geeft vervolgens een bindend advies. Naast deze opties hebben ouders ook de mogelijkheid om, buiten de KOO om, een melding te doen bij de ACM Consuwijzer.4

Vraag 6

Op welke wijze bent u voornemens om bij het vaststellen van prijsregulerende, winstregulerende en/of tariefregulerende maatregelen conform de motie Kathmann c.s.2 waarborgen in te bouwen zodat misbruik door bijvoorbeeld het rekenen van extra uren niet mogelijk is?

Zoals ik heb aangegeven in de Kamerbrief6 van 15 september 2023, was een van de doelen van de herziening van het financieringsstelsel om een betaalbaardere en financieel toegankelijkere kinderopvang te creëren. Op basis van de impactanalyses zijn er zorgen over prijsstijgingen en de daarmee samenhangende verdringingsrisico’s.
Tariefregulering is één van de maatregelen die verkend wordt om dit risico te verkleinen. Indien voor tariefregulering wordt gekozen, zal de dienst kinderopvang in min of meerdere mate moeten worden afgebakend. Hierbij zullen keuzes moeten worden gemaakt over het aantal uren of dag(del)en die kinderopvangorganisaties bij ouders in rekening mogen brengen en het al dan niet mogen aanbieden van aanvullende diensten. Komende maanden wordt een aantal onderzoeken uitgezet. Hieronder valt monitoring en analyse van het aanbod van de kinderopvangmarkt en een kostprijsonderzoek. Deze onderzoeken zullen meer inzicht geven in hoeverre de huidige financieringssystematiek aansluit bij de kostenstructuren in de kinderopvang en potentiële afbakeningen van de dienst. De verwachting is dat de onderzoeken begin 2025 worden afgerond. De resultaten helpen een nieuw kabinet met de afweging of tariefregulering een wenselijke en uitvoerbare optie is en hoe daarbij recht kan worden gedaan aan de wensen van ouders omtrent urengebruik.

Vraag 7

Welke stappen kunt u op korte termijn nemen om het gebruik van administratieve trucs om op oneigenlijke wijze meer winst te behalen tegen te gaan?

Zoals in mijn antwoord op vraag 2 aangegeven, heb ik op 14 december 2023 met de brancheorganisaties de praktijken besproken die in het artikel zijn geschetst. Hierbij heb ik het belang van goede afstemming met ouders alsmede de voorwaarden voor het ontvangen van KOT benadrukt. Tevens heb ik, de branche gevraagd in te zetten op: 1) verbetering van transparantie: kinderopvangorganisaties zouden uurprijzen en openingstijden op de website moeten vermelden, 2) het vergroten van de bekendheid van stappen die ouders kunnen nemen bij een geschil of klacht (zie antwoord vraag 2). De brancheorganisaties delen het belang van transparantie en hebben aangegeven zich hiervoor te zullen inspannen. Ik verwacht dat deze stappen de transparantie in de sector vergroten en daarmee ook de positie van de ouders versterken. Ik zal in gesprek blijven met de brancheorganisaties over de voortgang van deze stappen. Parallel ga ik onderzoeken of toezicht en nadere regelgeving gericht op kinderopvangorganisaties wenselijk is.
Daarnaast zal ik om meer inzicht te krijgen op welke schaal uitbreiding van openingstijden voorkomt, in samenwerking met de branche een steekproef opzetten. Deze steekproef zal aansluiten bij het bestaande uurprijsonderzoek van BOinK en Waarborgfonds Kinderopvang. Eveneens zal ik, om meer duiding te krijgen bij de in het artikel geschetste praktijken, in gesprek gaan met de Geschillencommissie Kinderopvang.

Vraag 1

Deelt u de mening dat iedereen een leven lang kan leren en iedereen die zestien jaar wordt, daartoe een ontwikkelingsbudget dient te krijgen dat het hele leven gebruikt mag worden om een opleiding of cursus te volgen? Zo neen, waarom niet?

Ja, een leven lang leren en jezelf blijven ontwikkelen is voor iedereen belangrijk. Dit geldt des te meer in deze tijd van krapte op de arbeidsmarkt en de benodigde groene en digitale transitie.
Voor werknemers is leven lang ontwikkelen (LLO) belangrijk om weerbaar en wendbaar te blijven op de arbeidsmarkt1. Werkgevers die inzetten op LLO vergroten de kansen op innovatie en zijn daarnaast aantrekkelijk voor werknemers.2
Leren en ontwikkelen doe je je hele leven, niet alleen op school. Daarom is het belangrijk dat mensen zich liefst al zo jong mogelijk de vaardigheid van het «leren leren» eigen maken. Daarnaast weten we dat mensen die eenmaal aan het werk zijn, het meeste leren op het werk zelf. Voor het overgrote deel gaat het dan om informeel leren («learning by doing» en kennisoverdracht op de werkvloer). En leren doet weer leren. ROA becijfert dat informeel leren 91 procent uitmaakt van de totale tijd besteed aan leren. De rest van de tijd besteed aan leren (9%) heeft te maken met cursusdeelname.3
Werkgevers zijn primair verantwoordelijk voor het bieden van scholing aan hun medewerkers om de functie goed uit te kunnen oefenen en voor hun duurzame inzetbaarheid. Ook werkenden hebben hierin een eigen verantwoordelijkheid. Aanvullend heeft de overheid een faciliterende rol.
Uit cijfers blijkt dat met name praktisch opgeleide werkenden minder deelnemen aan scholing en ontwikkeling, een verschil van 9 procentpunt in 2020 met theoretisch geschoolden4. Ook flexwerkers en oudere werknemers nemen vaak minder deel aan scholing. Dat moet echt beter. Mkb bedrijven investeren minder in de ontwikkeling van hun medewerkers. Door gebrek aan tijd, geld of middelen blijft de aandacht voor de ontwikkeling van werknemers achter. Daarom investeert het Ministerie van SZW in de SLIM-subsidie, gericht op het stimuleren van werkgevers in het mkb. Bedrijven en samenwerkingsverbanden kunnen subsidie aanvragen bijvoorbeeld voor een doorlichting van het bedrijf en het opstellen van een toekomstgericht opleidingsplan, voor loopbaan- en ontwikkeladviezen van de medewerkers of om een methode zoals een leerrijke werkomgeving of een bedrijfsschool op te zetten. Intussen hebben bijna 5.000 bedrijven van deze mogelijkheid gebruik gemaakt.
Het kunnen beschikken over een eigen ontwikkelbudget kan mensen helpen zich te blijven ontwikkelen en zelf de regie in handen te nemen. Bijvoorbeeld mensen die geen werkgever hebben of die een overstap willen maken naar een andere sector. Een dergelijk publiek bekostigd individueel ontwikkelbudget is er nu niet. Wel geldt in het hbo en wo het «één-bachelor-één-master-principe»: iedereen heeft in alle fasen van leren en werken recht op deelname aan één publiek bekostigde bachelor- en één bekostigde masteropleiding. Met uitzondering van de tekortsectoren zorg en onderwijs: een tweede opleiding op hetzelfde niveau wordt ook bekostigd als de eerste opleiding niet gericht was op de sector zorg of onderwijs. In het mbo is dat recht op deelname onbeperkt, iedereen kan ongeacht leeftijd een bekostigde mbo-opleiding volgen op elk niveau. Verder kunnen studerenden tot hun 30e studiefinanciering krijgen. Daarna kunnen mensen het levenlanglerenkrediet aanvragen en inzetten voor het volgen van een publiek erkende diplomagerichte opleiding. Dit is een lening vanuit de overheid waarmee het collegegeld of lesgeld betaald kan worden5. De maatschappelijke en economische opbrengsten van deze publieke investeringen in dit onderwijs zijn hoog, het zorgt voor participatie en inzetbaarheid van individuen en draagt bij aan het voorkomen en terugdringen van arbeidsmarkttekorten.
Het afwegen van de diverse voor- en nadelen van invoering van een ontwikkelbudget en de verdere besluitvorming daarover is aan een volgend kabinet. Als hulpmiddel bij die afweging verwijzen we graag naar de Verkenning individuele leerbudgetten en leerrechten ter stimulering van Leven Lang Ontwikkelen, die op 13 november 2023 naar de Tweede Kamer is gestuurd.6

Vraag 2

Hoe beoordeelt u in dit licht dat slechts 32% van de werkende Nederlanders zich door zijn of haar werkgever gestimuleerd voelt om zich om- of bij te scholen?1 Wat kunt u zoal ondernemen om werkgevers te brengen tot een stimulerender attitude?

Dat percentage moet echt omhoog. Naast de verantwoordelijkheid van de werkende zelf om je te ontwikkelen in je werk en daarvoor eventueel scholing te volgen, hebben ook werkgevers hierin een verantwoordelijkheid. Voor werkgevers is het van groot belang dat medewerkers kunnen meegaan in de ontwikkeling die het bedrijf of de organisatie van hen vraagt, in een veranderende arbeidsmarkt en de benodigde groene en digitale transities.
Niet alle werkgevers zijn zich voldoende bewust hiervan of worden zo in beslag genomen door de dagelijkse bedrijfsvoering dat aandacht voor leren en ontwikkelen er bij in schiet. Zeker bij kleine bedrijven met maar een paar werknemers.
Om deze werkgevers te stimuleren om leren en ontwikkelen in hun bedrijf centraal te stellen, is er de SLIM-regeling (zie ook het antwoord op vraag 1).
Daarnaast is recent het programma leercultuur gestart. Dit programma richt zich op het stimuleren van leren en ontwikkelen in bedrijven, met speciale aandacht voor het mkb. Het doel is het mkb meer bewust te maken van de noodzaak en waarde van LLO voor hun organisatie en handvatten te bieden om leren en ontwikkelen in hun organisatie vanzelfsprekend te maken. Onderdeel daarvan is het mkb ondersteunen door met tools en handleidingen, kennis- en intervisiebijeenkomsten het abstracte thema leercultuur concreet te maken in hun organisatie. En ze helpen om beschikbare ondersteuning zoals de SLIM-regeling beter te vinden en gebruiken. Het programma wordt gaandeweg verder ingevuld, aansluitend op activiteiten van sectorale en regionale partijen die direct contact hebben met werkgevers en werkenden. De O&O fondsen spelen hierin een cruciale rol, vanwege hun ruime ervaring in het stimuleren van leren en ontwikkelen in bedrijven.

Vraag 3

Hoe beoordeelt u dat 31% van de werkende Nederlanders zich wel professioneel wil ontwikkelen, maar bang is niet meer te beschikken over de nodige leercapaciteiten, omdat het langer geleden is dat de laatstgenoten opleiding werd gevolgd en dat 17% vreest daarvoor niet te beschikken over de juiste digitale vaardigheden?

Het is heel verontrustend dat zoveel mensen er tegenop zien om zich te ontwikkelen en betwijfelen of ze er de capaciteiten voor hebben. Zoals in het antwoord op vraag 1 is verwoord is «leren leren» een vaardigheid die we al van jongs af aan zouden moeten ontwikkelen. Hier ligt ook een opgave voor de overheid om te laten zien dat er veel verschillende manieren zijn om te leren en jezelf te ontwikkelen. Zo kun je in plaats van scholing te doen ook informeel leren op je werkplek, bijvoorbeeld door andere taken op te pakken. En er zijn vormen van scholing die grotendeels in de praktijk plaatsvinden. De inzet van werkgevers om werkend leren te stimuleren is van groot belang. Of je kunt thuis, in de bibliotheek of online leren als dat bij je past, ook als het gaat om het aanleren van digitale vaardigheden. Om er voor te zorgen dat iedereen mee kan komen, is er onder andere het LLO collectief en het programma Tel mee met Taal, gericht op het verbeteren van de basisvaardigheden van volwassenen. De website Leeroverzicht.nl helpt daarbij een passende opleiding te vinden. Hiernaast zijn er methoden die in kaart brengen wat je al aan kennis en vaardigheden in huis hebt, zodat je heel gericht kunt bijleren wat je echt verder helpt.
Zo ontwikkelen we een gemeenschappelijke «skills-taal», waarmee we straks allerlei vaardigheden op dezelfde manier kunnen beschrijven. Dat doen we samen, in het project CompetentNL, met organisaties als UWV, SBB, TNO en het CBS.

Vraag 4

Ziet u het als een taak voor de Rijksoverheid om deze schroom weg te nemen bij werknemers? Klopt het dat ontwikkelingsbudgetten ook bijna altijd ten goede komen aan degenen die al vaak langer hebben gestudeerd en meer kansen hebben?2 Deelt u de mening dat ontwikkelingsbudgetten juist ook zouden moeten gelden voor praktisch opgeleiden en mensen die op jonge leeftijd al op de arbeidsmarkt terecht zijn gekomen, zeker ook in het kader van kansengelijkheid? Zo ja, wat gaat u doen om dit te verbeteren? Ziet u het ook als taak voor de Rijksoverheid om bij uitkeringsgerechtigden en niet-uitkeringsgerechtigden?

Er ligt primair een verantwoordelijkheid bij de werkgevers, bij sociale partners en brancheorganisaties of O&O fondsen om deze schroom of andere redenen om niet deel te nemen weg te nemen. Van een deel van de praktisch opgeleiden weten we dat ze minder deelnemen aan LLO activiteiten. De achtergronden daarvan zijn divers, bij de een is het meer aversie tegen leren door vroegere negatieve ervaringen, bij anderen is het ook praktisch van aard of hebben ze te maken met andere meer prangende vraagstukken in hun leven. Uit oogpunt van kansengelijkheid en maatschappelijk oogpunt vraagt het dus extra inspanning om deze mensen te bereiken: iedereen is nodig is om de uitdagingen van de toekomst aan te kunnen, en een veranderende arbeidsmarkt vraagt andere vaardigheden. Daarom is er een taak voor de Rijksoverheid.
Zoals aangegeven in het antwoord op vraag 1 is de Verkenning individuele leerbudgetten en leerrechten ter stimulering van Leven Lang Ontwikkelen op 13 november 2023 naar de Tweede Kamer gestuurd. Daarin is ook een variant opgenomen met leerrechten, waarbij meer publiek ontwikkelbudget terecht komt bij mensen die minder initieel onderwijs hebben genoten.
Het is aan een nieuw kabinet daarin een positie te kiezen, ook voor wat betreft de uitkeringsgerechtigden en niet-uitkeringsgerechtigden.

Vraag 5

Welke lessen trekt u in dit licht uit uw ervaringen met het STAP-budget? Trekt u uit de ervaringen met het STAP-budget ook de les dat alle opleidingen en cursussen vooraf dienen te worden getoetst op hun professionele en maatschappelijke waarde? Zo neen, waarom niet?

Het STAP-budget heeft laten zien dat er zeer veel animo is om scholing te volgen en dat de praktisch opgeleiden hier goed gebruik van hebben gemaakt, zoals te zien is in de gebruikscijfers van STAP-budget9. Met STAP werd de financiële drempel om scholing te volgen voor een groot deel weggenomen. In het tijdvak van september en november is het scholingsaanbod sterk ingeperkt tot OCW-erkend aanbod; dit vanwege de wens vooraf te toetsen op arbeidsmarktgerichtheid en kwaliteit. Een deel van de resterende middelen voor het STAP-budget is beschikbaar voor een tijdelijke voorziening voor individuele scholing. De geleerde lessen van de STAP-regeling worden bij de invulling daarvan vanzelfsprekend betrokken, net als de wens van de Kamer om het resterende budget gerichter in te zetten, maar de lessen nemen we ook ter harte in het bredere LLO beleid.