Vraag 1

Kent u het bericht «EU to set up new intelligence unit under Ursula von der Leyen»?1

Ja.

Vraag 2

Bent u betrokken bij de plannen om een nieuwe «intelligence unit» op te zetten? Zo ja, wat is uw betrokkenheid of de betrokkenheid van de Nederlandse inlichtingen- en veiligheidsdiensten? Zo nee, waarom niet?

Vraag 3

Is het plan voor de nieuwe intelligence unit gedeeld met de lidstaten van de Europese Unie? Zo ja, wat was de inhoud van de informatie over dat plan? Zo nee, waarom niet?

Vraag 4

Op welke wijze moet de nieuwe unit gegevens van de AIVD of MIVD gaan verzamelen en gebruiken?

Vraag 5

Past het gebruik van die gegevens binnen de geldende wet- en regelgeving ten aanzien van deze Nederlandse diensten, inclusief het toezicht daarop? Zo ja, welke juridische grondslag betreft dat? Zo nee, waarom niet?

Vraag 6

Gaat Nederland medewerkers van de AIVD of MIVD bij de nieuwe unit detacheren? Zo ja, hoeveel medewerkers betreft dat naar verwachting? Wat is de juridische status waaronder die medewerkers bij de unit gaan werken? Zo nee, waarom niet?

Vraag 7

Deelt u de mening dat het al dan niet beschikbaar stellen van informatie die door de nationale inlichtingen- en veiligheidsdiensten wordt vergaard aan die lidstaten zelf overgelaten moet blijven worden? Zo ja, waarom? Zo nee, waarom niet?

Vraag 8

Kunt u de Kamer tijdig op de hoogte brengen en blijven houden over de voortgang van de plannen over de nieuw op te richten intelligence unit?

Ja, indien er een voorstel van de Europese Commissie gepubliceerd wordt, zal ik uw Kamer zoals gebruikelijk hierover informeren middels een kabinetsreactie.

Vraag 1

Bent u bekend met het rapport van DNB en de AFM waarin wordt gewaarschuwd voor de afhankelijkheid van Amerikaanse techbedrijven in de financiële sector?1

Ja.

Vraag 2

Wat is uw reactie op dit rapport?

De AFM en DNB zien een sterke afhankelijkheid van niet-Europese IT-leveranciers in de financiële sector. Dit brengt risico’s met zich mee. Het is goed dat de AFM en DNB hier als toezichthouders aandacht voor hebben. De risico’s die zij noemen zijn herkenbaar. De AFM en DNB doen concrete aanbevelingen zoals de oproep tot meer strategische autonomie op Europees niveau, en geven suggesties op het gebied van toezicht en regels. Ik ga met de toezichthouders in gesprek hoe we opvolging kunnen geven aan de aanbevelingen. Tegelijkertijd is deze problematiek niet uniek voor de (Nederlandse) financiële sector, maar spelen deze afhankelijkheden ook in andere sectoren en lidstaten. Dit vraagt daarmee ook om een aanpak die breder is dan de Nederlandse financiële sector alleen.

Vraag 3

Bent u het met de indiener eens dat de onafhankelijkheid en weerbaarheid van de financiële sector van algemeen belang is, en dus ook voorwerp van zorg moet zijn voor de regering? Zo nee, waarom niet?

De onafhankelijkheid en weerbaarheid van de financiële sector is van groot belang. Door toenemende digitalisering en oplopende geopolitieke spanningen moeten we alert zijn op de weerbaarheid van instellingen. Het Ministerie van Financiën zet in op een sterkere weerbaarheid van financiële instellingen door opnieuw te bepalen welke financiële instellingen vitaal zijn voor Nederland, en door samen met de toezichthouders en financiële instellingen na te denken over verschillende dreigingsscenario’s. De Wet veiligheidstoets investeringen, fusies en overnames (vifo) biedt bescherming bij buitenlandse overnames die tot ongewenste invloed van onvriendelijke actoren in de financiële sector kunnen leiden. Daarnaast is begin dit jaar de Digital Operational Resilience Act, ook wel DORA, van kracht geworden. Hierin worden voor de financiële sector onder meer eisen gesteld ten aanzien van IT-risicomanagement, het melden van incidenten en het periodiek testen van de IT-systemen. DORA introduceert ook Europees toezicht voor de grootste kritieke derde partij IT-dienstverleners binnen de financiële sector. Dit zal onder andere helpen bij het beter in kaart brengen en mitigeren van concentratierisico’s. In dit kader is het bovendien belangrijk om het bredere belang van digitale autonomie te benadrukken. De financiële sector is sterk afhankelijk van digitale infrastructuur en technologieën, die vaak buiten Europa worden ontwikkeld of beheerd. Het versterken van digitale autonomie vergt daarom een Europese aanpak. Zie ter aanvulling hiervoor ook de beantwoording op vragen 8 en 9.

Vraag 4

Bent u bereid om DNB en AFM te steunen door in een publiek-private samenwerking bij te dragen aan een financiële sector die minder afhankelijk is van Amerikaanse techgiganten? Zo ja, welke maatregelen kunt u hiertoe nemen?

Het kabinet vindt het van belang dat de afhankelijkheid binnen de financiële sector wordt afgebouwd. Dit vraagt een brede Europese aanpak, want Nederland kan dit niet zelfstandig. Op dit moment lopen er verschillende initiatieven binnen de EU ter bevordering van digitale autonomie. Hoewel er op dit moment geen sectorspecifieke (publiek-private) initiatieven zijn voor het verminderen van cloudafhankelijkheden, draagt de bredere inzet op het verminderen van cloudafhankelijkheden bij aan het afbouwen van afhankelijkheden in de financiële sector. Deze generieke beleidsinzet wordt toegelicht in de beantwoording op vragen 8 en 9.

Vraag 5

Heeft de Rijksoverheid wat u betreft een voorbeeldfunctie in het verminderen van de afhankelijkheid van Amerikaanse techgiganten? Zo ja, kunt u onderbouwen dat zij deze waarmaakt en er feitelijk afhankelijkheden teruggedrongen zijn?

Ja. De rijksoverheid is kaderstellend, en binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt verkend hoe een soevereine overheidscloud eruit kan zien. Een voorbeeld hiervan is de casus omtrent de migratie van SSC-ICT, waar documenten en mail in de eigen datacenters zijn blijven staan.

Vraag 6

Onderschrijft u de oproep van DNB en de AFM dat er scenario’s moeten worden uitgewerkt voor het geval onze afhankelijkheid van Amerikaanse techbedrijven wordt misbruikt, bijvoorbeeld als de VS sancties oplegt of er een cyberaanval plaatsvindt?

Ja. Op dit moment is er al contact met zowel financiële instellingen als toezichthouders om mogelijke risico’s voor de financiële sector in kaart te brengen en scenario’s uit te werken. Daarbij is ook aandacht voor mogelijke afhankelijkheden van derde landen.

Vraag 7

Bent u bereid om, in samenwerking met DNB en de AFM, deze ontwrichtende scenario’s te onderzoeken om te weten welke structurele risico’s er aan de huidige afhankelijkheden kleven?

Ja, zie voorgaande antwoord.

Vraag 8

Bent u voorstander van een Europese gecoördineerde aanpak en inkoopstrategieën om digitale afhankelijkheden te verkleinen? Welke rol ziet u hierin voor Nederland?

Het kabinet onderschrijft de noodzaak om onze digitale open strategische autonomie te vergroten, en de noodzaak om risicovolle strategische afhankelijkheidsrelaties te mitigeren.2 In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon»3 van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt het van essentieel belang is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven4 heeft de Minister van Economische Zaken de Tweede Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
In het kader van inkoopstrategieën zijn in Nederland de Algemene Beveiligingseisen Rijksoverheidsopdrachten (ABRO) aangekondigd. Daar waar het de nationale veiligheid raakt biedt deze mogelijkheden om nationaliteitsvereisten te stellen aan leveranciers.
In Europa pleit het kabinet, als onderdeel van de Nederlandse inzet bij de herziening van de aanbestedingsrichtlijnen, voor een gerichte terughoudende inzet van een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren. Per sector wordt zorgvuldig afgewogen of de baten opwegen tegen de kosten, hierbij wordt ook gekeken naar de cloudsector. Het instrument moet in beginsel enkel worden ingezet om de weerbaarheid van de Unie te versterken. Een Europees voorkeursprincipe zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 9

Welke obstakels zitten verdere Europese samenwerking voor meer digitale autonomie nu in de weg? Hoe draagt Nederland bij aan het wegnemen daarvan?

Er zijn inderdaad uitdagingen bij het bewerkstelligen van Europese digitale open strategische autonomie. Andere lidstaten lopen tegen dezelfde problemen aan, die niet zelfstandig opgelost kunnen worden. In dat verband verwelkomt het kabinet de toegenomen inzet van de Europese Commissie en de samenwerking met andere lidstaten, ook omdat gezamenlijke oplossingen bijdragen aan een effectief functionerende Europese interne markt. Zo kijkt het kabinet uit naar het wetsvoorstel van de Europese Commissie voor een Cloud & AI Development Act, dat begin 2026 wordt verwacht.
Het is lastig voor Europese cloudaanbieders om het hoge tempo waarop de cloudmarkt evolueert bij te houden en effectief te concurreren met kapitaalkrachtige niet-Europese cloudaanbieders. KPMG constateert in een onderzoeksrapport dat er hoogwaardige Europese clouddiensten op de markt worden aangeboden, maar dat de aanbieders van deze diensten een minder geïntegreerd dienstenpakket aanbieden dan grote niet-Europese aanbieders.5 KPMG stelt dat Europese aanbieders als gevolg hiervan niet in dezelfde mate in staat zijn hun gebruikers te ontzorgen in vergelijking met de hyperscalers.
In dit licht zet het kabinet in op het stimuleren van innovatie om het Europese clouddienstenaanbod te verbreden en verdiepen. Dit doet het kabinet onder meer via de implementatie van de Dataverordening en met een financiële bijdrage van € 72 miljoen euro in lokale cloudpartijen via het Important Project of Common European Interest on Cloud Infrastructure and Services (IPCEI-CIS). Doel hiervan is de creatie van een federatief Europees cloud ecosysteem, waarbij diensten van verschillende aanbieders in gezamenlijkheid aan afnemers kunnen worden aangeboden om zo tot een competitief geïntegreerd Europees cloud aanbod te komen. Vanzelfsprekend is het hiervoor ook noodzakelijk dat Europese bedrijven hiervoor in toenemende mate gaan samenwerken.

Vraag 10

Welke mogelijkheden heeft u om bij inkoop- en aanbestedingsprocedures grote niet-Europese techbedrijven, die ook onderhevig zijn aan surveillancewetgeving van niet-Europese landen, uit te sluiten? Hoe geeft u hierbij uitvoering aan de motie-Six Dijkstra c.s.2, de motie-Bruyning/Thijssen3 en de motie-Van der Werf c.s.4?

In het notaoverleg inzake de initiatiefnota «Wolken aan de Horizon» is de motie Bruyning/Thijssen, met acceptatie van de indiener, geïnterpreteerd als dat opslag en verwerking van gevoelige overheidsdata alleen binnen de EER mag plaatsvinden. Deze motie heeft een directe relatie met de motie Rajkowski c.s.9 Deze motie, conform de interpretatie zoals bovenstaande, wordt meegenomen als uitgangspunt in de herziening van het rijksbreed cloudbeleid.
Het eerste verzoek in de motie van lid Van der Werf c.s. betreft aanbestedingswet- en regelgeving. Hoewel uitsluiting van niet-Europese partijen op bepaalde gronden mogelijk is, moet telkens worden beoordeeld of het verenigbaar is met de principes van gelijke behandeling en non-discriminatie. Er wordt momenteel al veel ingezet op het verlagen of uitsluiten van (nationale) veiligheidsrisico’s, onder andere bij de herziening van de aanbestedingsrichtlijnen in Europa. Bijvoorbeeld door te pleiten voor een extra uitsluitingsgrond, zodat ondernemingen uitgesloten kunnen worden indien er twijfels over de betrouwbaarheid bestaan, en middels de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO).
In de Verzamelbrief Aanbesteden10, evenals het BNC-fiche inzake het Competitiveness Compass, is aangegeven dat de voorkeur ligt bij de gerichte inzet van kwalitatieve eisen om de vraag naar producten van EU-bedrijven te bevorderen in strategische sectoren. Het kabinet is terughoudend met een Europees voorkeursprincipe voor strategische sectoren en technologieën, maar weegt per sector zorgvuldig af of de baten opwegen tegen de kosten. Het instrument moet in beginsel enkel worden ingezet om de weerbaarheid van de Unie te versterken en, wanneer minder ingrijpende maatregelen ontoereikend zijn, om strategische nieuwe markten te stimuleren.
Het tweede verzoek in de motie van lid Van der Werf c.s. betreft de samenwerking met de markt. Onderdeel van de Nederlandse Digitaliseringsstrategie is het strategische doel een verkenning van het realiseren van een overheidsbrede soevereine clouddienst uit te voeren in samenwerking met bestaande overheidsdienstverleners en de markt.
Conform de motie Six Dijkstra moet de Nederlandse digitale overheid niet rechtstreeks afhankelijk zijn van één of enkele marktpartijen. Doelstelling in de Nederlandse Digitaliseringsstrategie is het zorgen voor een overheidsbrede samenwerking waarmee mogelijkheden ontstaan om (soevereine) overheids-ICT diensten overheidsbreed te kunnen gebruiken en elkaar te helpen bij de implementatie hiervan. Hiervoor is een visie in ontwikkeling.
Daarnaast worden in de herziening van het rijksbreed cloudbeleid nadere eisen gesteld aan het gebruik van public clouddiensten, zoals in meerdere moties is verzocht. Over een integrale aanpak van de diverse moties rondom cloud wordt u separaat geïnformeerd conform het verzoek van het lid Six Dijkstra (NSC) in het wetgevingsoverleg van de Vaste commissie voor Digitale Zaken dd. 30 juni 2025. De herziening van het rijksbreed cloudbeleid is vertraagd omdat de afstemming meer tijd nodig heeft. Daarnaast moet ermee rekening gehouden worden dat het afbouwen van de huidige ongewenste afhankelijkheden een traject is dat de nodige tijd in beslag zal nemen.

Vraag 11

Kunt u deze vragen zo spoedig mogelijk en afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u ervan op de hoogte dat de Europese Commissie in het komende jaar een nieuw besluit zal nemen over de voorwaarden waaronder de 2GHz-radiofrequentie, ook wel bekend als het S-band spectrum, gebruikt mag worden?

Ja. Het gaat hier specifiek om de banddelen 1.980–2.010 MHz en 2.170–2.200 MHz, die bij besluit van 14 februari 2007 op Europees niveau zijn geharmoniseerd voor de implementatie van systemen voor mobiele satellietdiensten.1 Beschikking 626/2008/EG2 van het Europees Parlement en de Raad van 30 juni 2008 bepaalt dat de rechten voor 18 jaar worden verleend, gerekend vanaf het moment van het selectiebesluit. Het selectiebesluit is genomen op 13 mei 2009 en de Commissie werkt op dit moment aan de vervolgstappen.3

Vraag 2

Bent u ervan op de hoogte dat de twee bedrijven1 die in 2007 voor 20 jaar de licenties van het spectrum in handen kregen inmiddels zijn overgekocht door Amerikaanse partijen?2 Wat vindt u ervan dat deze licenties voor satellietcommunicatie niet meer in Europese handen zijn?

Ja, ik ben op de hoogte van de genoemde overnames. Ik vind het van belang dat het spectrum voor mobiele satellietdiensten na 2027 toegankelijk zal zijn voor partijen die interesse hebben in het aanbieden van diensten in deze band onder de door de Commissie gestelde voorwaarden. Ik zal richting de Europese Commissie bepleiten om zogenoemde «wholesale-verplichtingen» op te nemen in een eventuele nieuwe beschikking, dat wil zeggen dat andere partijen gebruik kunnen maken van het netwerk om diensten aan te bieden. Het opnemen van een dergelijke verplichting voorkomt het ontstaan van een risicovolle strategische afhankelijkheid van één of twee partijen.

Vraag 3

Hoe reageert u op het gegeven dat het Amerikaanse SpaceX voor 17 miljard dollar aan communicatiefrequentie koopt bij EchoStar Corporation om particulier te gebruiken in het netwerk van Starlink?3 Is dit in lijn met uw visie op de vraag hoe de 2GHz-frequentie gebruikt zou moeten worden?

Het is nog onbekend of de Europese frequentierechten van EchoStar ten aanzien van de banddelen 1.980–2.010 MHz en 2.170–2.200 MHz onderdeel uitmaken van de deal die EchoStar heeft gesloten met SpaceX. In algemene zin ben ik geen voorstander van het ontstaan van afhankelijkheid van één of twee individuele partijen. Zie hiertoe ook het antwoord onder 2.

Vraag 4

Kunt u het vervolgproces toelichten over de vraag hoe de voorwaarden worden opgesteld waaronder de 2GHz-frequentie in de toekomst gebruikt mag worden? Op welke momenten vindt hierover besluitvorming plaats en wanneer worden er onomkeerbare besluiten genomen?

De Europese Commissie beschikt over de bevoegdheid om een voorstel te doen over voorwaarden van gebruik van de 2 GHz-banddelen die Europees geharmoniseerd zijn. De Europese Commissie wordt hierin bijgestaan door het Comité voor Communicatie («CoCom»), zoals vastgelegd in artikel 118 van de Telecomcode.7 Indien de commissie een voorstel doet voor aanpassing van de geldende besluiten is de gewone wetgevingsprocedure van toepassing.8 Dit betekent dat een nieuw voorstel wordt voorgelegd aan het Europees Parlement en de Europese Raad. De instemming van beide gremia is vereist voor de inwerkingtreding van een eventueel nieuw voorstel dat de huidige EU-besluiten met betrekking tot de 2 GHz-banddelen zou vervangen. De Europese Commissie heeft momenteel nog geen aankondiging gedaan ten aanzien van een nieuw voorstel.

Vraag 5

Heeft de 2GHz-frequentie een strategisch belang, bijvoorbeeld voor defensieve of civiele doeleinden? Kunt u schetsen op welke manieren de frequentie in de komende 18 jaar gebruikt kan worden?

In februari 2024 heeft de Radio Spectrum Policy Group (hierna: «RSPG») de Europese Commissie geadviseerd over de toekomst van de 2 GHz-banddelen.9 De RSPG bestaat uit vertegenwoordigers uit alle lidstaten die de Europese Commissie adviseren over Europees spectrumbeleid. In dit advies zijn verschillende scenario’s gepresenteerd over op welke manier deze banddelen gebruikt zouden kunnen worden. De scenario’s zijn gebaseerd op input van Europese stakeholders, die tijdens de totstandkoming van het advies in de periode van 9 november 2023 tot 21 december 2023 zijn geconsulteerd.10 De gepresenteerde scenario’s zijn: 1. Geen nieuwe bandindeling, huidige situatie met twee vergunninghouders voortzetten; 2. Verschillende nieuwe bandindelingen voor meerdere satellietoperators of voor innovatieve toepassingen die minder bandbreedte dan satellietoperators nodig hebben. Per scenario is eveneens gekeken naar de mogelijke voordelen voor de Europese Unie. Met inachtneming van de bestemming zijn er verschillende toepassingen denkbaar zowel ten aanzien van commercieel- als overheidsgebruik van de frequentieruimte.

Vraag 6

Is bij u bekend of door het directoraat-generaal Defensie en Ruimte (DEFIS) een behoefte is geformuleerd om de 2GHz-frequentie voor het IRIS2-netwerk te gebruiken? Zo ja, kunt u toelichten wat deze behoefte is?

Nee, er is geen formeel verzoek bij mij bekend.

Vraag 7

Wat is uw visie op de ontwikkeling van een «direct-to-device» functie, waarmee communicatie tussen satellieten en doorsnee smartphones mogelijk wordt? Verwacht u dat dit een veelgebruikte toepassing gaat zijn voor consumenten of dat dit strategische toepassing voor defensie zal ondersteunen? Voor welk van deze doeleinden zal de 2GHz-frequentie in de toekomst worden ingezet?

Direct-to-device communicatie, ook wel D2D genoemd, kan in verschillende frequentiebanden verzorgd worden en niet alleen in de onderhavige specifieke banddelen van de 2 GHz (1.980–2.010 MHz en 2.170–2.200 MHz). In juni 2025 heeft de RSPG de Europese Commissie geadviseerd over direct-to-device connectiviteit en de mogelijke varianten daarvan.11 Hierin is onder andere onderscheid gemaakt in direct-to-device in IMT banden (banden bestemd voor mobiele communicatie) en in MSS banden (banden bestemd voor satellietdiensten). Het kabinet onderschrijft de analyse in het RSPG advies. De verwachting is dat er binnen Nederland weinig vraag zal zijn naar D2D-diensten met betrekking tot IMT. Gelet op de uitstekende dekking die de mobiele operators bieden zijn er nagenoeg geen gebieden waar er geen goede mobiele netwerkdekking aanwezig is.

Vraag 8

Deelt u de zorgen dat Deutsche Telekom, een (toekomstig) afnemer van de «direct-to-device» diensten van Starlink,4 belang heeft bij het verlenen van de 2GHz-frequentie aan een bedrijf dat zaken doet met SpaceX en tegelijkertijd betrokken is bij de besluitvorming van de Europese Commissie?

Het besluitvormingsproces ligt bij de Europese Commissie. Indien de commissie een nieuw voorstel doet is de gewone wetgevingsprocedure hierbij van toepassing, zoals aangegeven in het antwoord op vraag 4. Het besluitvormingsproces ligt niet bij private partijen. Deutsche Telekom is als zodanig niet betrokken bij de besluitvorming van de Europese Commissie.

Vraag 9

Heeft u kennisgenomen van het adviesrapport van Detecon, een consultancybedrijf dat onder Deutsche Telekom valt, waarin de Europese Commissie wordt geadviseerd over de voorwaarden waaronder de 2GHz-frequentie in de toekomst verleend moet worden?5 Wat is uw reactie op dat rapport?

Ja. Het rapport maakt onderdeel uit van het besluitvormingsproces en dient als advies aan de Europese Commissie.

Vraag 10

Hoe borgen de Europese Commissie en lidstaten de onafhankelijkheid van de adviezen die worden betrokken bij de besluitvorming over het (mogelijke) toekomstige gebruik van de licenties voor de 2GHz-frequentie?

Het gaat hierbij om een advies aan de Europese Commissie met betrekking tot het (Europese) regelgevende kader ten aanzien van het geharmoniseerde deel van de 2 GHz-frequentieband. Het rapport is onder verantwoordelijkheid van de Europese Commissie tot stand gekomen. In algemene zin wijst de Europese Commissie onafhankelijke experts aan voor de beoordeling van inschrijvingen indien er sprake is van een aanbestedingsprocedure.14 In dit specifieke geval heeft de Commissie een tender met voorwaarden uitgeschreven.15

Vraag 11

Welke kaders gelden er voor de wijze waarop de Europese Commissie de licenties voor dit spectrum vaststelt? Aan welke voorwaarden moeten de licentiehouders (gaan) voldoen? Hoe wordt gewaarborgd dat deze licenties ten goede komen aan de Europese economie en autonomie?

De kaders voor het gebruik van dit spectrum zijn vastgelegd in beschikking 626/2008/EG, waarin ook is vastgelegd aan welke voorwaarden partijen moeten voldoen.16 Er is vooralsnog geen nieuw kader opgesteld door de Europese Commissie.
Het huidige kader omvat een vergelijkende selectieprocedure, waarbij aanvragers onder andere moeten aantonen dat hun mobiele satellietsysteem het vereiste technische en commerciële ontwikkelingsniveau heeft bereikt.
In de beschikking waarin is bepaald dat de 2 GHz-banddelen Europees geharmoniseerd worden voor de implementatie van systemen voor mobiele satellietdiensten, is aangegeven welke doelen deze harmonisatie dient. Zo is hier onder andere in vermeld dat pan-Europese telecommunicatie een verbetering kan betekenen van de dienstverlening in plattelandsgebieden in de Europese Unie en zo de digitale kloof op geografisch niveau kunnen verkleinen. Ook is aangegeven dat de invoering van nieuwe MSS-systemen tevens een bijdrage zou kunnen leveren aan de ontwikkeling van de interne markt en de mededinging kunnen verbeteren door het aanbod en de beschikbaarheid van pan-Europese diensten en eind-tot-eindverbindingen uit te breiden en doelmatige investeringen aan te moedigen. Bij de weging in de vergelijkende selectieprocedure zijn de voordelen voor de consument en algemene belangen als veiligheid meegenomen.

Vraag 12

Wat zijn de uitkomsten van de consultatieronde van de Commissie bij de belanghebbenden rond deze spectrumbanden?6 Welke belanghebbenden zijn er? Zijn er Nederlandse belanghebbenden en hoe worden hun belangen meegewogen in de besluitvorming?

Een samenvatting van de uitkomsten van de consultatieronde zijn op 10 november jl. gepubliceerd door de Europese Commissie: Summary report of the Targeted Consultation on Mobile Satellite Services | Shaping Europe’s digital future. Hierbij zijn ook de niet vertrouwelijke reacties op de consultatie gepubliceerd. Hier zit geen reactie van een Nederlandse belanghebbende bij. In aanvulling hierop is door mij aan de bekende Nederlandse belanghebbenden een uitvraag gedaan naar de behoefte om deze specifieke banddelen in gebruik te nemen. De uitkomsten van deze uitvraag zullen gebruikt worden ter bepaling van het Nederlandse standpunt richting de Europese Commissie.

Vraag 13

Heeft Nederland een zienswijze over de voorwaarden waaronder de Europese Commissie voor de komende achttien jaar het gebruik van het 2GHz-frequentie moet aanbieden? Zo ja, kunt u die toelichten?

Het kabinet onderschrijft de adviezen over mogelijke scenario’s voor de 2 GHz-banddelen zoals deze zijn opgesteld door de RSPG. Zie hiervoor het antwoord op vraag 5.

Vraag 14

Bent u het ermee eens dat toegang tot de 2GHz-frequentie niet aan de hoogste bieder moet worden verkocht, maar aan partijen die het maatschappelijk en strategische belang van de Europese Unie dienen?

De selectiecriteria in het huidige kader voor toegang tot de 2 GHz-banddelen zijn opgenomen in beschikking 626/2008/EG18, en betreffen een vergelijkende toets. Onderdelen van de weging zijn onder andere voordelen voor de consument en mededinging (met als subcriteria het aantal eindgebruikers en datum waarop de ononderbroken levering van commerciële diensten begint), spectrumefficiëntie (met als subcriteria de totale hoeveelheid van het vereiste spectrum en de geaggregeerde datastroomcapaciteit), pan-EU geografische dekking en de mate waarin overheidsbeleidsdoelstellingen worden bereikt (waaronder levering van diensten van algemeen belang die bijdragen tot de bescherming van de volksgezondheid, veiligheid of zekerheid van de burgers, integriteit en veiligheid van diensten). Een financieel bod is geen onderdeel van de vergelijkende selectieprocedure zoals in de beschikking is vastgelegd.

Vraag 15

Bent u het ermee eens dat, gezien vanuit het perspectief van strategische autonomie en gezien de gespannen geopolitieke situatie, het van het grootste belang is dat de marktpartijen die toegang krijgen tot de 2GHz-frequentie volledig Europees zijn?

Ik ben het er mee eens dat Europese partijen toegang moeten krijgen tot dit spectrum. Het opleggen van een wholesale-verplichting zou dit kunnen bewerkstelligen. Zie hiertoe meer uitgebreid de antwoorden op vraag 2 en 3.

Vraag 16

Bent u het ermee eens dat het niet wenselijk is dat slechts één of enkele zeer grote telecomaanbieder(s) uit de grootste Europese landen toegang hebben tot dit spectrum ten koste van aanbieders uit kleinere landen?

Ja, daar ben ik het mee eens. Zie ook mijn overweging over het invoeren van een wholesaleverplichting, zoals uiteengezet onder vraag 2. Ten algemene is in de kabinetsappreciatie op het witboek digitale infrastructuur van de Europese Commissie aangegeven dat het kabinet zich altijd hard heeft gemaakt voor aanmoedigen en behouden van voldoende concurrentie op de Europese telecommarkten.19 Het kabinet beschouwt de bestaande verplichtingen voor dominante aanbieders om concurrenten toe te laten op hun netwerken als een belangrijk onderdeel van het telecomkader, mits hiermee de nationale veiligheid niet in het geding komt. Dit speelt een belangrijke rol om betaalbare en hoogwaardige dienstverlening te waarborgen voor Europese consumenten, bedrijven en publieke instellingen.

Vraag 17

Bent u het ermee eens dat het wenselijk is dat er rond de 2GHz-frequentie een volwaardige wholesalemarkt (groothandelsmarkt) ontstaat, waar ook telecomaanbieders uit kleinere Europese landen toegang tot hebben en hierop innovatieve diensten kunnen ontwikkelen?

Ja, zie hiertoe het antwoord op vraag 2.

Vraag 18

Bent u bereid om aan te geven bij de Europese Commissie dat Nederland als voorwaarde stelt dat de 2GHz-frequentie alleen voor Europese partijen beschikbaar komt, en dat hierbij uitgesloten wordt dat bedrijven achteraf door niet-Europese partijen worden overgekocht?

Zoals vermeld in de antwoorden op vragen 2 en 3 ben ik in algemene zin geen voorstander van het ontstaan van afhankelijkheid van één of twee individuele partijen, en is mijn standpunt dat het van belang is dat het spectrum voor mobiele satellietdiensten na 2027 toegankelijk zal zijn voor partijen die interesse hebben in het aanbieden van diensten in deze band onder de door de Commissie gestelde voorwaarden.
Ik zal vanuit het perspectief van het voorkomen van afhankelijkheden richting de Europese Commissie bepleiten om zogenoemde «wholesale-verplichtingen» op te nemen, dat wil zeggen dat andere partijen gebruik kunnen maken van het netwerk om diensten aan te bieden, indien aanpassing van de onderliggende besluiten aan de orde is gericht op het aanwijzen van nieuwe partijen na 2027. Het opnemen van een dergelijke verplichting voorkomt het ontstaan van een risicovolle strategische afhankelijkheid van één of twee partijen.

Vraag 19

Is het mogelijk om in de voorwaarden die de Europese Commissie stelt op te nemen dat de partijen die de 2GHz-frequentie mogen gebruiken, worden verplicht om andere betrouwbare partijen wholesale toegang tot de frequentie te verlenen, zodat zij hier ook gebruik van kunnen maken?

Vooralsnog geldt het huidige kader, zoals omschreven in het antwoord op vraag 11. Afhankelijk van de voorstellen van de Europese Commissie, die op dit moment nog niet bekend zijn, zullen er mogelijkheden zijn om de voorwaarden aan te passen. In dat geval zal ik richting de Europese Commissie pleiten voor het opnemen van «wholesale-verplichtingen». Zie hiertoe ook mijn antwoord op vraag 2.

Vraag 20

Bent u eveneens bereid om ervoor te pleiten dat de gegunde partijen op nationaal en internationaal niveau toegang moeten verlenen tot de 2GHz-frequentie aan andere betrouwbare partijen, zodat er geen risico ontstaat op een mono- of duopolie in heel Europa?

Zie hiervoor het antwoord op vraag 2.

Vraag 21

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, nog vóórdat er onomkeerbare stappen worden gezet door de Europese Commissie?

Ja.

Vraag 1

Wat zijn de meest recente ontwikkelingen rondom het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?

In de Kamerbrief van 1 september 20251 kondigde ik aan dat Bevolkingsonderzoek Nederland (BVO NL) een brief zou sturen naar alle betrokkenen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker en van wie de gegevens naar het laboratorium Clinical Diagnostics zijn gestuurd. De brieven zijn halverwege september verstuurd. Het klantcontactcentrum van BVO NL was opgeschaald en uitgebreid met een speciale informatielijn met specialisten op het gebied van crisistelefonie. Dit zodat alle vragen die naar aanleiding van de brieven zijn gesteld snel beantwoord konden worden. Er is op dit moment met de reguliere bezetting voldoende capaciteit om de vragen aan te kunnen en op tijd te beantwoorden.
De toezegging om uw Kamer blijvend op de hoogte te houden van de laatste ontwikkelingen staat nog steeds.

Vraag 2

Wat is de stand van zaken omtrent de maatregelen die u aankondigde in uw brief van 1 september 2025?1 Kunt u dit per maatregel toelichten?

Hieronder geef ik per maatregel uit de brief van 1 september 2025 een toelichting op de stand van zaken.
Z-CERT heeft op verzoek van de Minister van VWS alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Het doel is om die ook toe te voegen aan de scanningsdienst van Z-CERT. Hierover is uw Kamer geïnformeerd op 30 september 2025.3 Inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan de scanningsdienst. Met deze dienst van Z-CERT wordt continu gemonitord op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.
BVO NL heeft zelf ook een quickscan uit laten voeren naar acute risico’s bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Hieruit kwam naar voren dat deze laboratoria voldoende veilig zijn.
De oorzaak van de hack vormt onderwerp van nader onderzoek. Op dit moment is nog niet concreet te duiden wanneer de uitkomsten daarvan bekend zullen worden.
Afronding van dit onderzoek wordt eind dit jaar verwacht.
De AP en de IGJ voeren hun toezichthoudende taak onafhankelijk uit. Zij bepalen daarbij hun eigen werkwijze en planning voor de onderzoeken. Op dit moment beschik ik niet over nadere informatie over deze onderzoeken.
Het is niet aan mij hier nader op in te gaan, hiervoor verwijs ik naar het Openbaar Ministerie.
Zoals gezegd, monitort Z-CERT momenteel de twee laboratoria die werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Z-CERT heeft op verzoek van de Minister van VWS daarnaast alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Dit met als doel om die ook toe te voegen aan de scanningsdienst van Z-CERT. Inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan de scanningsdienst. De resultaten worden aan de laboratoria teruggekoppeld.
Dit betreft doorlopende inzet. De Minister van VWS geeft hier bijvoorbeeld invulling aan door zorgbestuurders per brief op te roepen om prioriteit te geven aan het nemen van de nodige maatregelen, te beginnen met het voldoen aan de norm, de NEN 7510.

Vraag 3

Zijn inmiddels alle gedupeerden op de hoogte dat zij getroffen zijn door het datalek en is voor hen duidelijk welke data van hen is buitgemaakt?

In september zijn alle betrokkenen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker en van wie gegevens met het laboratorium zijn gedeeld, geïnformeerd. In de brieven heeft BVO NL ook aangegeven welke persoonsgegevens BVO NL met het laboratorium heeft gedeeld. Er is op dit moment niet te zeggen welke gegevens bij de hack zijn bemachtigd.

Vraag 4

Heeft u gemerkt dat het datalek heeft geleid tot een lagere bereidheid om mee te doen aan volgende bevolkingsonderzoeken? Wat doet u om de deelname op peil te houden?

De deelname aan het bevolkingsonderzoek baarmoederhalskanker wordt nauwlettend in de gaten gehouden. Normaal gesproken is er een dip in de deelname in de zomervakantie en gaat de deelname daarna weer omhoog. In de eerste weken na de zomer bleef de instroom van ingestuurde testen bij de labs achter, maar dit lijkt de afgelopen periode weer wat bijgetrokken. Om te kunnen constateren of dit ook daadwerkelijk de deelname heeft beïnvloed, moet over een langere periode gekeken worden. Ter illustratie: het is bijvoorbeeld mogelijk dat vrouwen de zelfafnameset iets langer laten liggen vanwege de datahack, maar op een later moment toch nog deelnemen. Zodra we hier meer over kunnen zeggen en als sprake is van een significante verandering in de deelname, zal ik uw Kamer daarover informeren.

Vraag 5

Is gebleken dat gedupeerden van het datalek vaker het doelwit zijn van phishing, fraude en andere online criminaliteit? Heeft u cijfers of analyses waaruit dit blijkt?

Dat kan ik niet aangeven, omdat in geval van phishing, fraude of andere online criminaliteit het de vraag is of daarbij gebruik is gemaakt van persoonsgegevens die betrokken zijn geweest bij de datahack, of dat de gebruikte persoonsgegevens op andere wijze in handen zijn gekomen van criminelen.

Vraag 6

Hoe lang blijft het klantcontactcentrum van Bevolkingsonderzoek Nederland bereikbaar voor gedupeerden? Zorgt u ervoor dat gedupeerden altijd ergens terecht kunnen met zorgen en vragen?

Het klantcontactcentrum van BVO NL is tijdens kantooruren altijd bereikbaar. Hier kunnen mensen terecht voor vragen in relatie tot de bevolkingsonderzoeken, waaronder uiteraard ook met vragen over de datahack. Het klantcontactcentrum van BVO NL was opgeschaald, zodat de grote hoeveelheid vragen die kwam naar aanleiding van de datahack snel beantwoord werd. Die opschaling is inmiddels weer afgebouwd, maar het klantcontactcentrum blijft beschikbaar voor alle vragen en is op dit moment in staat om alle vragen op tijd te beantwoorden.

Vraag 7

Heeft u op basis van uw contact met gedupeerden, of op basis van hun klachten en signalen, aanvullende acties ondernomen om tegemoet te komen aan hun behoeften?

Naar aanleiding van de eerste brieven die BVO NL had verzonden in de week van 18 augustus, zijn veel reacties gekomen. Er was kritiek op de inhoud van de brief en BVO NL kreeg vele suggesties ter verbetering, onder andere van de Nationale ombudsman. Deze suggesties zijn door BVO NL meegenomen bij het opstellen van de tweede ronde brieven die naar ruim 941.000 mensen zijn verzonden. Ik heb destijds de brief van de Ombudsman direct doorgestuurd naar BVO NL met het verzoek deze mee te nemen in de formulering van die tweede ronde brieven. Ook andere signalen en suggesties zijn meegenomen bij het opstellen van de tweede ronde brieven.

Vraag 8

Bent u bekend met maatschappelijke initiatieven, zoals de Digitale Dolle Mina’s, die gedupeerden samenbrengen en informatie verschaffen?2 Hoe trekt u samen met deze initiatieven op om gedupeerden te bereiken?

Ik ben bekend met deze initiatieven. De primaire informatievoorziening verloopt via BVO NL. Deelnemers van het bevolkingsonderzoek baarmoederhalskanker die zijn getroffen door de datahack, zijn hierover geïnformeerd door BVO NL. Naast de persoonlijke brieven, zijn er de breed gedeelde nieuwsberichten geweest op onder andere 11 augustus en 29 augustus jl. om mensen te informeren over de datahack.

Vraag 9

Is inmiddels duidelijk geworden hoe de hack en het datalek plaats hebben kunnen vinden? Zo ja, welke oorzaak lag daaraan ten grondslag en hoe gaat dit in de toekomst worden voorkomen? Zo nee, wanneer kan de Kamer de uitkomst van dat onderzoek verwachten?

De oorzaak van de hack vormt onderwerp van nader onderzoek. Op dit moment is nog niet concreet te duiden wanneer de uitkomsten daarvan bekend zullen worden. Uiteraard zal op basis van de uitkomsten worden bezien welke lessen daaruit kunnen worden getrokken.

Vraag 10

Voert de Inspectie Gezondheidszorg en Jeugd (IGJ) vooraf checks uit naar de informatieveiligheid van partnerorganisaties bij nieuwe samenwerkingen, zoals laboratoria? Zo ja, wat zijn de aandachtspunten van de IGJ bij die checks? Zo nee, waarom wordt dat niet gedaan?

Nee, de IGJ voert hier niet vooraf checks op uit. Er is geen verplichting om samenwerkingen zoals hier omschreven (vooraf) bij de IGJ te melden.
De norm voor informatiebeveiliging (NEN 7510) stelt dat organisaties zelf de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig moeten monitoren, beoordelen en evalueren. De IGJ houdt achteraf toezicht op het voldoen aan de eisen voor informatiebeveiliging.

Vraag 11

Zijn er aanvullende beveiligingsmaatregelen die dit kabinet gaat invoeren om de tijd totdat de behandeling van de Cyberbeveiligingswet is afgerond te overbruggen? Zo ja, welke maatregelen zijn dat? Zo nee, hoe gaat u ervoor zorgen dat het risico op datalekken zoals deze zo klein mogelijk wordt?

Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatiebeveiliging. Zij bepalen welke maatregelen genomen moeten worden om de risico’s op het gebied van informatiebeveiliging te beheersen. Als stelselverantwoordelijke neemt de Minister van VWS de regie om het zorgveld hierbij te ondersteunen. Dit doet hij door zich in het huidige beleid te richten op het stimuleren van bewustwording, passende hulp te bieden, toezicht te versterken en te ondersteunen bij incidenten.

Vraag 12

Hebben de politie en het Openbaar Ministerie vooruitgang kunnen boeken in het vinden van de datasets op het dark web en ook in het vinden van de daders? Heeft Z-CERT bij het monitoren van de data al gezien dat het op het dark web is verschenen?

Het Openbaar Ministerie heeft bekend gemaakt strafrechtelijk onderzoek te doen naar het datalek. Het is niet aan mij om hier nader op in te gaan, hiervoor verwijs ik naar het Openbaar Ministerie.
Wat betreft Z-CERT, ben ik hier in de beantwoording van de Kamervragen van het lid Kathmann van 9 september 2025 op ingegaan.5 In het algemeen kan ik over de monitoring van Z-CERT alleen aangeven dat de resultaten van de monitoring aan de laboratoria worden teruggekoppeld zodat zij waar nodig maatregelen kunnen treffen.

Vraag 13

Heeft u collega-bewindspersonen op de hoogte gesteld van deze casus en van het belang van gegevensbeveiliging om dergelijke incidenten buiten de zorg ook te voorkomen? Zo nee, waarom niet? Zo ja, heeft het kabinet een plan gemaakt om bij alle departementen en hun ketenpartners het risico op datalekken te verminderen?

Mijn collega-bewindspersonen zijn op de hoogte gesteld van en bijgepraat over de datahack, onder andere op vrijdag 8 augustus, vrijdag 15 augustus en vrijdag 29 augustus 2025. Cybersecurity en digitale weerbaarheid zijn permanent onderwerp van aandacht binnen de hele overheid.

Vraag 14

Kunt u aangeven wanneer verdere informatie en uitkomsten van lopende onderzoeken naar de Kamer worden gestuurd en met betrokkenen worden gedeeld?

Zoals in de beantwoording hiervoor is aangegeven, verwacht ik van sommige onderzoeken de uitkomsten in het najaar. Van andere onderzoeken kan ik op dit moment nog niet concreet duiden wanneer de uitkomsten daarvan bekend worden. Uiteraard zal ik uw Kamer nader informeren zodra dat mogelijk is.

Vraag 15

Kunt u deze vragen afzonderlijk beantwoorden en, indien van toepassing, betrekken bij de eerstvolgende periodieke update aan de Kamer over het datalek?

Dat zal ik doen.

Vraag 1

Bent u bekend met het bericht «Belastingdienst verplaatst mail naar Microsoft, ondanks zorgen over meekijken VS»?1

Ja.

Vraag 2

Maakt de overstap van de Belastingdienst naar Microsoft 365 onze overheid meer of minder afhankelijk van de Verenigde Staten?

De overstap naar M365 betekent inderdaad een vergroting van de afhankelijkheid van de Verenigde Staten. De Belastingdienst heeft de overgang naar de cloud afgewogen conform het cloudbeleid van de overheid. In de huidige situatie en in andere afgewogen scenario’s, zoals de keuze voor een on-premises oplossing, is ook sprake van (grote) afhankelijkheid van de Verenigde Staten.
Om de risico’s zoveel mogelijk te reduceren heeft de Belastingdienst een exitstrategie uitgewerkt voor het geval er (plotseling) een vertrek uit de cloudomgeving moet plaatsvinden. Door het inrichten van een lokale back-up functionaliteit zorgt de Belastingdienst ervoor dat documenten altijd beschikbaar blijven. De exitstrategie wordt vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 3

Is er, conform de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315), een onafhankelijke onderbouwing opgesteld voor de noodzaak van de overstap naar Microsoft? Zo ja, kunt u deze delen?

De motie-Kathmann2 is in maart 2025 aangenomen. De Belastingdienst is reeds in 2021 begonnen met het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. Het traject is daarmee ingezet voordat deze motie, waarin wordt verzocht om een onafhankelijke onderbouwing, is aangenomen.
Bij de aanvang van het traject is uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365. De uitrol van de nieuwe werkplekken is inmiddels afgerond. De huidige situatie is dat er vanaf de nieuwe 40.000 werkplekken wordt doorgewerkt in de verouderde en inefficiënte werkomgeving omdat M365 nog niet is geïmplementeerd. Dit terwijl er bij de inrichting van de nieuwe werkplekken rekening is gehouden met de implementatie van M365. Doordat M365 nog niet is geïmplementeerd bestaan er nu inefficiënte manieren om vanaf de nieuwe werkplekken met de beperkingen van de oude werkomgevingen om te gaan. Deze workarounds resulteren in een productiviteitsverlies.
Gezien de recente (geo)politieke en maatschappelijke ontwikkelingen heeft de Belastingdienst de overstap naar M365 op de nieuwe werkomgeving getemporiseerd en eerst een aantal alternatieve scenario’s zorgvuldig uitgewerkt en afgewogen. Daarbij heeft de Belastingdienst onderzocht of het mogelijk was om af te wijken van het voorgenomen scenario de overstap naar M365 te maken. Dit blijkt niet realistisch, omdat de nieuwe werkplekken inmiddels al breed zijn uitgerold
In het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt wordt bevonden voor de Belastingdienst, dan kost het nog twee tot drie jaar om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van een productiviteitsverlies.
In bijlage 1 vindt u een nota van 27 juni jl. gericht aan de Bestuursraad van het Ministerie van Financiën. Daarin wordt uitgebreid ingegaan op de uitgewerkte en afgewogen scenario’s.

Vraag 4

Waarom houdt u het mailverkeer niet in eigen beheer, zoals verzocht in de motie-Kathmann/Six Dijkstra (Kamerstuk 36 740, nr. 20)? Hoe bent u van plan om deze motie alsnog uit te voeren?

De Belastingdienst heeft de optie om het mailverkeer in eigen beheer te houden verkend. Zowel het continueren van de huidige werkomgeving, als het implementeren van een hybride on-premises oplossing zoals SSC-ICT reeds heeft gedaan. Zoals u heeft kunnen lezen in de Kamerbrief van 2 oktober jl. heeft de Belastingdienst ook een verkenning gedaan naar de mogelijkheid om de functionaliteiten voor onder andere de mail onder te brengen bij SSC-ICT. Deze opties zijn niet realiseerbaar op de korte of middellange termijn.
Om uitvoering te geven aan deze motie volgt de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven.

Vraag 5

Acht u de keuze voor de Belastingdienst om de eigen ICT te verhuizen naar Microsoft in het belang van de strategische autonomie, waarover de demissionaire premier op 30 september 2025 nog uitsprak dat bestuurders dit prioriteit moeten geven?2

Ik onderschrijf de uitspraak van de Minister-President om prioriteit te geven aan strategische autonomie. Daarom wil ik graag nogmaals benadrukken dat de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst. De overstap heeft betrekking op de kantoorautomatisering. Daarvoor verwijs ik naar de reeds gegeven antwoorden en de brief die u op 2 oktober jl. heeft ontvangen.

Vraag 6

Acht u het onafhankelijk en onomstotelijk bewezen dat er geen Europese oplossing voor de Belastingdienst beschikbaar is? Uit welke onafhankelijke onderbouwing blijkt dit?

Zoals ik in het antwoord op vraag 3 heb aangegeven, heeft de Belastingdienst een aantal alternatieve scenario’s uitgewerkt en zorgvuldig afgewogen, maar er is op dit moment en binnen afzienbare termijn geen geschikt alternatief beschikbaar voor de huidige situatie waarin de Belastingdienst zich bevindt. Bij de inrichting van de nieuwe werkplekken is rekening gehouden met de implementatie van M365. Door dat de werkplekken inmiddels zijn uitgerold, maar M365 nog niet is geïmplementeerd, wordt er doorgewerkt in de oude omgeving. De nieuwe werkplekken zijn daarvoor niet ingericht. Het doorwerken in de verouderde en inefficiënte werkomgeving via de nieuwe werkplekken resulteert in workarounds. Daardoor is er nu sprake van productiviteitsverlies.
In het geval dat er in de toekomst wel een oplossing beschikbaar komt dat geschikt is voor de situatie waarin de Belastingdienst zich bevindt, dan kost het nog twee tot drie jaar om dit te implementeren. Gedurende deze tijd wordt er dan doorgewerkt vanaf de nieuwe werkplekken in de verouderde werkomgeving en blijft er sprake van een productiviteitsverlies.

Vraag 7

Hoeveel en welke Europese alternatieven heeft u precies onderzocht en waarom waren deze ontoereikend? Kunt u de documentatie delen waaruit blijkt dat deze alternatieven niet voldoen aan de gestelde eisen?

Zoals u heeft kunnen lezen in de Kamerbrief van 2 oktober jl. en het antwoord op vraag 3 is de Belastingdienst reeds in 2021 begonnen met het vervangen van de werkplekken. De (geo)-politieke situatie was destijds anders, waardoor het versterken van de autonomie in de afwegingen een beperktere rol speelde. Daarom heeft destijds geen uitgebreide verkenning naar Europese alternatieven plaatsgevonden en is er uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365 en heeft de Belastingdienst deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement voor de Rijksoverheid (SLM Rijk). Het SLM Rijk helpt onderdelen van de Rijksoverheid om zich beter te positioneren tegenover leveranciers door middel van het bundelen van de onderhandelings- en inkoopkracht. Namens het rijk heeft SLM Rijk via deze weg gunstige (contract)voorwaarden bedongen bij Microsoft.
De overstap naar M365 is getemporiseerd naar aanleiding van recente (geo)politieke en maatschappelijke ontwikkelingen zodat onderzocht kon worden of er afgeweken kon worden van dit scenario. Daaruit blijkt, dat zelfs als er een geschikt Europees alternatief bestaat voor de Belastingdienst, de implementatie daarvan nog steeds twee tot drie jaar in beslag neemt. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving vanaf de nieuwe werkplekken die daarvoor niet zijn ingericht. Daarmee blijft er dus sprake van een significant productiviteitsverlies.
De Belastingdienst volgt de bewegingen en ontwikkelingen in de buitenwereld nauwlettend en kijkt actief naar de mogelijkheden van soevereine en of Europese cloudoplossingen. In dit kader volgt de Belastingdienst onder andere de ontwikkelingen bij BZK rondom «Mijn Bureau». Mijn Bureau is een open source samenwerkingsplatform voor de overheid, publieke sector en bedrijven dat wordt ontwikkeld onder regie van het Rijksbrede programma Beter Samen Werken (OpenBSW). De Belastingdienst neemt actief deel aan de ontwikkelingen rond dit platform. Momenteel bevindt dit platform zich echter nog in een vroege testfase. Zie voor de stand van ontwikkelingen in Europa ook de Kamerbrieven van de Minister van Economische Zaken van 17 januari 20254 en 23 mei 2025.5

Vraag 8

Welke eisen voor functionaliteit, veiligheid en continuïteit hanteert de Belastingdienst? Zijn deze zodanig geformuleerd dat ze niet voorsorteren op een overstap naar Microsoft 365?

De eisen voor functionaliteit, veiligheid en continuïteit volgen uit de vereisten van alle rijksbrede relevante wetgeving. Voorbeelden hiervan zijn o.a. ISO-standaarden, DUTO, BIO, NIS 2 en Archiefwet. De Belastingdienst maakt gebruik van het framework contract van de overheid (SLM Rijk) met Microsoft waarin waarborgen zijn opgenomen om te voldoen aan alle geldende wet- en regelgeving.

Vraag 9

Kunt u alle documentatie over de risico-afweging die is gemaakt om de keuze voor Microsoft 365 te onderbouwen met de Kamer delen, waaronder de aanvullende afspraken die zijn gemaakt met de leverancier?

De risico-analyse wordt vertrouwelijk ter inzage aan uw Kamer aangeboden.

Vraag 10

Kunt u de gekozen exitstrategie met de Kamer delen? Is negen maanden om over te stappen van de Microsoft 365-omgeving snel genoeg in het geval van een acute stopzetting van de dienstverlening door de leverancier?

De exitstrategie wordt vertrouwelijk ter inzage aan uw Kamer worden aangeboden.
De exitstrategie kent twee scenario’s: een scenario voor gepland vertrek als gevolg van contractbeëindiging door de Belastingdienst in het geval er een overstap wordt gemaakt naar een andere aanbieder en een scenario waarin er een acuut vertrek moet plaatsvinden als gevolg van geopolitieke ontwikkelingen. De door u genoemde negen maanden horen bij het scenario voor een gepland vertrek, bijvoorbeeld in het geval dat er een migratie plaatsvindt naar een andere aanbieder. De Belastingdienst heeft conform het contract met Microsoft negen maanden de tijd om de data uit de M365-omgeving over te zetten naar de gewenste omgeving.
Voor de situatie waarin er acuut een vertrek uit de cloudomgeving moet plaatsvinden zijn diverse maatregelen getroffen om dat mogelijk te maken en de gevolgen voor de dienstverlening zoveel mogelijk te beperken.

Vraag 11

Bent u zich ervan bewust dat Amerikaanse bedrijven die gegevens op Europees grondgebied stallen, alsnog moeten voldoen aan surveillanceverplichtingen die volgen vanuit nationale wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act?

Ja. De CLOUD-act maakt het mogelijk dat de Amerikaanse overheid, waaronder opsporingsdiensten, toegang krijgen tot (persoons-)gegevens van Nederlandse burgers. Gelet op de extraterritoriale werking van de CLOUD-act is toegang ook mogelijk als de data buiten de Verenigde Staten staat. Er zijn ook andere landen met dergelijke wetten en bijbehorende verplichtingen. Om eventuele risico’s hieromtrent tegen te gaan, bevat het Rijksbreed cloudbeleid 2022 en het bijbehorende implementatiekader «risicoafweging cloudgebruik» onder meer de plicht om een risicoafweging te maken. Ook bevat het specifieke eisen voor omgang met persoonsgegevens en is het niet toegestaan staatsgeheim gerubriceerde gegevens in de cloud te plaatsen. Een risicoafweging kan als uitkomst hebben dat dit risico acceptabel is.
Ten aanzien van de CLOUD-act geldt dat uit onderzoek van Greenberg Traurig blijkt dat: «[...]het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is».
Een adequate risicoafweging, waaronder het doen van een gedegen Data Protection Impact Assessment (DPIA) en een Data Transfer Impact Assessment (DTIA), blijft echter nodig om het risico in een concreet geval te beoordelen.

Vraag 12

Is, met inachtneming van vraag 9, het stallen van gegevens op Microsoft-datacentra binnen de Europese Economische Ruimte een legitiem middel om risico’s voor de autonomie en nationale veiligheid weg te nemen?

Het stallen van gegevens in datacenters binnen de Europese Economische ruimte is, zoals aangegeven in de Kamerbrief van 2 oktober jl., een voorbeeld van een genomen maatregel om risico’s voor de autonomie en nationale veiligheid te beperken. In diezelfde brief is aangegeven dat risico’s nooit volledig kunnen worden weggenomen. Dat geldt overigens voor elk scenario dat door de Belastingdienst is overwogen, waaronder ook het on-premises scenario. Elk scenario brengt eigen risico’s met zich mee op diverse vlakken. Daarom is het te alle tijden een belangenafweging welk scenario het meest geschikt is.
Graag wijs ik u erop dat de risico’s ten aanzien van de toegang tot gegevens van de overheid beperkt zijn. Dit blijkt uit de in het antwoord op vraag 9 genoemde risico-analyse, de DPIA’s op M3656, de contracten die SLM Rijk met Microsoft heeft uitonderhandeld en een analyse van de CLOUD-act die door het Ministerie van Justitie en Veiligheid is gepubliceerd.7 Zoals in het antwoord op vraag 11 is aangegeven wordt het risico dat de Amerikaanse overheid op basis van de CLOUD-act toegang verkrijgt tot Europese (persoons-)gegevens in de praktijk op (heel) klein geschat.
Tot slot wil ik nog opmerken dat de Belastingdienst met M365 een hoger volwassenheidsniveau op het gebied van informatiebeveiliging kan implementeren. Daarmee wordt de kans op ongeoorloofde toegang van kwaadwillenden tot de gegevens van de Belastingdienst zoveel mogelijk beperkt.

Vraag 13

Kunt u alle documentatie over de afweging die is gemaakt voor de andere drie scenario’s in volledigheid met de Kamer delen?3

De nota voor de Bestuursraad Financiën vindt u in bijlage 1. De exitstrategie en risico-analyse worden vertrouwelijk aan uw Kamer aangeboden.

Vraag 14

Op basis van het onderzoek dat is verricht naar Europese alternatieven, op welke termijn wordt een migratie naar Europese alternatieven mogelijk? Zet u zich actief in om dit te bewerkstelligen?

Ik kan uw Kamer geen termijn geven waarop een migratie naar een Europees alternatief mogelijk is. Wel kan ik u toezeggen, zoals ik ook reeds in het antwoord op vraag 7 heb gedaan, dat de Belastingdienst de ontwikkelingen en bewegingen in de buitenwereld nauwlettend volgt. De Belastingdienst kijkt actief naar de mogelijkheden van soevereine en of Europese oplossingen voor cloud en andere software. De Belastingdienst vervult een cruciale rol in de maatschappij en kan daarom als organisatie niet lichtvaardig omgaan met keuzes die de continuïteit van de systemen en processen kunnen raken.
De Belastingdienst wil in deze context niet vooruit lopen op technologische ontwikkelingen en baseert zijn keuzes op zorgvuldige afwegingen en de kaders en richtlijnen die door BZK worden gesteld. Nieuwe technologieën en software worden door de Belastingdienst pas toegepast na een zorgvuldige afweging en zodra er voldoende zekerheid is dat deze oplossingen veilig en uitvoerbaar zijn. In dat kader, zoals aangegeven in het antwoord op vraag 7, kijkt de Belastingdienst onder andere naar de ontwikkelingen rondom «Mijn Bureau» van BZK.
Eén van de strategische doelen uit de Nederlandse Digitaliseringsstrategie (NDS) is om gezamenlijk te werken aan een verkenning om een overheidsbrede soevereine clouddienst in samenwerking met bestaande overheidsdienstverleners te realiseren. De Belastingdienst kijkt uit naar de resultaten van deze verkenning. Daarmee ontstaat handelingsperspectief en meer duidelijkheid over de termijn waarop een dergelijke migratie realiseerbaar is.
De Belastingdienst levert, als eigenaar van een Overheidsdatacenter, in het kader van betere rijksbrede samenwerking graag een belangrijke en noodzakelijke bijdrage aan een meer autonome oplossing voor de langere termijn.

Vraag 15

Waarom bent u slechts voornemens om te migreren naar Europese alternatieven als zij op een vergelijkbaar niveau zitten als Microsoft, als u het belang van digitale autonomie en nationale veiligheid onderschrijft?

De overstap naar M365 is het resultaat van een complexe en veelzijdige belangenafweging. Zoals u heeft kunnen lezen in het antwoord op vraag 12 zijn autonomie en nationale veiligheid twee aspecten, welke beiden zijn meegewogen door de Belastingdienst. Naast het versterken van de digitale autonomie en nationale veiligheid maakten aspecten zoals de beschikbaarheid, niveau van functionaliteit, geldende wet- en regelgeving, schaalbaarheid, en kosten ook onderdeel uit van de belangenafweging.
Zoals u heeft kunnen lezen in mijn antwoord op vraag 3 en in de brief die u op 2 oktober jl. heeft ontvangen heeft de Belastingdienst gezien de (geo)politieke en maatschappelijke ontwikkelingen de overstap naar M365 getemporiseerd. Eerst heeft de Belastingdienst zorgvuldig een aantal alternatieve scenario’s afgewogen. Daarbij is het belang van het versterken van de digitale autonomie en de nationale veiligheid opnieuw nadrukkelijk meegenomen.

Vraag 16

In hoeverre bent u bereid om digitale autonomie, kennisbehoud en data- en nationale veiligheid in te leveren ten behoeve van functionaliteit en productiviteit?

Zie antwoord vraag 15.

Vraag 17

Welke delen van het werkproces komen in de Amerikaanse cloud te staan? Komen ook «rulings» van de Belastingdienst, die gevoelige informatie over belastingheffing bevatten, en bedrijfsgevoelige informatie in de Microsoft-omgeving te staan?

Zoals u heeft kunnen lezen in het antwoord op vraag 5 betreft de overstap de kantoorautomatisering. Met kantoorautomatisering doel ik op applicaties (zoals Teams, OneDrive, en Outlook) die medewerkers ondersteunen in hun dagelijkse werkzaamheden, (interne) communicatie en samenwerking. Applicaties voor beheer en security vallen hier ook onder.
De applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst. Voor de archivering van rulings heeft de Belastingdienst een apart systeem. Daarnaast blijven er voor de medewerkers opties om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Communicatie over casuïstiek tussen de Belastingdienst en ondernemingen en/of hun gemachtigden en tussen medewerkers onderling met betrekking tot ruling verzoeken vindt via diverse wijzen plaats waaronder e-mail. Dit is ook het geval bij rulings.

Vraag 18

Is het migreren van maildiensten naar Microsoft een reden om bepaalde informatie niet binnen de werkomgeving van de Belastingdienst te bespreken, communiceren, of op te slaan?4

Nee, er zijn ook alternatieve opslaglocaties voor het bewaren van informatie en met hulp van de zogenaamde datalek-preventie-oplossing in de M365-suite, wordt voorkomen dat gevoelige informatie als bijlage bij een e-mail meegestuurd kan worden. Voor het verzenden van gevoelige informatie zijn er alternatieven beschikbaar in het dienstenaanbod. Zo is er de beschikking over de Belastingdienst-file-transfer, waarmee een veilige verzending en ontvangst van informatie tussen Belastingdienst/Toeslagen/Douane en een derde mogelijk is via het openbare internet.
Zoals u heeft kunnen lezen in het antwoord op vraag 5 en 17 blijven de applicaties voor de primaire processen in de on-premises omgeving draaien. Met de overstap naar M365 krijgt de Belastingdienst meer mogelijkheden om data te beheersen die buiten de applicaties voor de primaire processen wordt verwerkt.

Vraag 19

Is het risico op weglekken van data naar derden onderzocht? Kan u bewijzen dat er géén risico’s zijn dat gevoelige informatie onbeveiligd wordt uitgewisseld in de nieuwe situatie?

De ervaring leert dat op het vlak van informatiebeveiliging het weglekken van data nooit volledig kan worden voorkomen. De overstap naar M365 maakt het mogelijk om aanvullende en beterebeheersmaatregelen te implementeren.
Naast de al eerder met uw Kamer gedeelde maatregel van het afsluiten van de USB-poorten biedt de nieuwe M365 omgeving meer mogelijkheden om het delen van informatie te beperken. Voor het uitwisselen van informatie met derden op grond van een wettelijke basis heeft de Belastingdienst speciale voorzieningen die voldoen aan de wettelijke vereisten, zoals Belastingdienst-file-transfer. Zie ook antwoord op uw vraag 18.

Vraag 20

Kunt u toelichten welke primaire processen nog wel in het Nederlandse datacentrum blijven draaien en welke afweging daarbij is gemaakt? Welke beheer- en beveiligingsapplicaties worden verplaatst naar de publieke cloud en waarom vallen deze niet onder primaire processen?

Zoals is aangegeven in eerdere antwoorden blijven de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing draaien in hun huidige omgeving in de datacenters van de Belastingdienst. De wijzigingen zien toe op de kantoorautomatisering. Met de overgang naar M365 worden de documenten die worden verwerkt in de kantoorautomatisering opgeslagen op een server van Microsoft. De genoemde beheer- en beveiligingsapplicaties betreffen de applicaties die horen bij de kantoorautomatisering en het beheren van de cloudomgeving. Voorbeelden hiervan zijn de virusscanner en een beheerprogramma om regels in te stellen voor het bepalen wat er met informatie mag gebeuren (zogenaamde «data leakage prevention regels»). Ik wil met nadruk aangeven dat beveiligings- en beheerprogrammatuur voor de systemen die in het eigen datacentrum staan, niet vervangen worden door cloud-varianten van die apparatuur.

Vraag 21

Kunt u deze vragen afzonderlijk beantwoorden en toezeggen dat de Belastingdienst geen onomkeerbare stappen zet totdat deze vragen zijn beantwoord?

De vragen zijn zoveel mogelijk afzonderlijk beantwoord. De Belastingdienst is nog niet gestart met de daadwerkelijke uitrol van M365. Het stoppen en/of vertragen van dit traject is echter niet zonder consequenties. Er is, zoals u heeft kunnen lezen in de brief van 2 oktober jl., jarenlang geïnvesteerd in en rekening gehouden met de overstap naar M365. In de situatie dat de Belastingdienst een overstap zou maken naar een alternatief, dan zou dit gepaard gaan met aanzienlijke kosten en een doorlooptijd van twee tot drie jaar.
De Belastingdienst heeft namelijk de nieuwe werkplekken al uitgerold binnen de Belastingdienst, Douane en Toeslagen. Zolang de Belastingdienst, Douane en Toeslagen blijven doorwerken in de verouderde en inefficiënte werkomgeving vanaf deze nieuwe werkplekken die zijn ingericht op het gebruik van M365 zal er sprake blijven van workarounds en daarmee productiviteitsverlies.

Vraag 1

Bent u bekend met het bericht «Nederlandse organisatie wint zaak: tijdlijn Facebook en Instagram moet anders»?1

Ja.

Vraag 2

Kunt u toezeggen dat, als het vonnis van de rechter standhoudt, u zal pleiten om de strengere nationale norm voor meer keuzevrijheid in de algoritmes op sociale media als Europese standaard te hanteren?

De Nederlandse rechter interpreteert in deze uitspraak bestaande normen uit de digitaledienstenverordening (DSA). Er is hier geen sprake van een strengere nationale norm en het is daarom niet nodig om op Europees niveau te pleiten voor een strengere norm. De uitspraak is uitvoerbaar bij voorraad verklaard, wat in dit geval betekent dat Meta een dwangsom moet betalen aan Bits of Freedom als zij de uitspraak niet voor 31 december 2025 naleeft. Meta heeft tegen de uitspraak hoger beroep ingesteld. Dat beroep dient op 26 januari 2026.
Uiteindelijk is de interpretatie van de DSA in laatste instantie aan het Hof van Justitie van de Europese Unie. De Digitale dienstenraad, die bestaat uit de nationale toezichthoudende autoriteiten, signaleert opkomende kwesties met betrekking tot de DSA en draagt samen met de Europese Commissie bij aan een consistente toepassing van de DSA in de EU, onder meer door de mogelijkheid tot het opstellen van richtsnoeren. Daarbij kunnen dit soort uitspraken van nationale rechters uiteraard een belangrijke rol spelen. Gelet hierop zien wij op dit moment geen reden om op Europees niveau te pleiten voor een Europese standaard op dit gebied.

Vraag 3

Deelt u de mening dat niet de rechter, maar de toezichthouder moet afdwingen dat bedrijven als Meta de Europese wet- en regelgeving naleven?

Wij delen die mening niet. De DSA voorziet in een systeem van publiekrechtelijk toezicht, maar laat de mogelijkheid van een gang naar de civiele rechter onverlet. Dit blijkt ook expliciet uit de artikelen 21 en 90, eerste lid, van de DSA. Het laatste artikel opent de deur voor collectieve acties. Publiekrechtelijke en civielrechtelijke handhaving zijn beide van belang voor de effectieve werking van het systeem van de DSA en sluiten elkaar dus niet uit.

Vraag 4

Wat gaat u doen om toezichthouders als de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens in staat te stellen om proactief toe te zien op de naleving van Europese wet- en regelgeving?

In de Uitvoeringswet digitaledienstenverordening zijn de Autoriteit Consument & Markt (ACM) en de Autoriteit persoonsgegevens (AP) aangewezen als toezichthouders. Deze wet geeft de toezichthouders de bevoegdheden die nodig zijn om toezicht te houden op de DSA. Het Ministerie van Economische Zaken stelt structurele financiering beschikbaar voor beide toezichthouders. Het ministerie staat regelmatig in contact met zowel de ACM als de AP. Er zijn vanuit de toezichthouders geen signalen ontvangen dat zij niet in staat zouden zijn om doeltreffend toe te zien op de DSA, waardoor op dit moment geen verdere actie is vereist. Het is hierbij van belang op te merken dat Facebook en Instagram onder toezicht staan van de Europese Commissie en de Ierse toezichthouder. Eventuele handhavingsmaatregelen worden door deze autoriteiten genomen.

Vraag 5

Waarom maakt de Rijksoverheid nog steeds gebruik van online platforms die de Europese wet- en regelgeving niet naleven? Hoe treedt u normerend op tegen de desbetreffende techbedrijven?

Vrijwel de hele samenleving maakt gebruik van online platforms: ruim 14 miljoen Nederlanders zijn hier daar dagelijks op actief. Nederlanders hebben een groot belang bij goede informatievoorziening door de overheid. Als overheid willen we communiceren met middelen waarmee Nederlanders goed kunnen worden bereikt. De Rijksoverheid ziet zich daarom geconfronteerd met een situatie dat er gebruik moet worden gemaakt van online platforms voor contact met de samenleving omdat er voor dit gebruik op dit moment geen geschikte alternatieven beschikbaar zijn. Daarbij speelt mee dat er specifieke groepen zijn in de samenleving die weinig gebruik maken van traditionele media en/of andere informatiekanalen. Gebleken is dat deze groepen wel goed bereikbaar zijn via online platforms.
Online platforms dienen zich te houden aan Europese wet- en regelgeving. Het is allereerst aan de toezichthouders om ervoor te zorgen dat die normen publiekrechtelijk worden gehandhaafd. In aanvulling daarop werken we aan verschillende instrumenten om naleving van Europese wet- en regelgeving te bevorderen. Zo zijn er in opdracht van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering onder meer Kinderrechten Impact Assessments uitgevoerd en maken we met onderzoek naar contentmoderatie op zeer grote online platforms, waaronder sociale media, zichtbaar hoe platforms omgaan met illegale en schadelijke content.2

Vraag 6

Wat doet u om maatschappelijke organisaties, zoals Bits of Freedom, te ondersteunen in hun acties om grote techbedrijven ter verantwoording te roepen?

Maatschappelijke organisaties spelen een belangrijke rol in de effectieve toepassing van de DSA, onder meer als trusted flaggers en via civielrechtelijke handhaving van de DSA. Het onafhankelijk functioneren van deze organisaties is hierbij van groot belang. Het is een taak van de overheid om ruimte te creëren voor maatschappelijke organisaties om hun rol uit te oefenen.
De overheid onderhoudt contacten met verschillende maatschappelijke organisaties om kennis en signalen te delen, zo ook met Bits of Freedom.

Vraag 7

Bent u bereid om, in zoverre mogelijk, bijstand te verlenen aan maatschappelijke organisaties die juridisch de strijd aan gaan met grote techbedrijven die willens en wetens de wet niet naleven?

Wij zien het als taak voor de overheid om ruimte te creëren voor maatschappelijke organisaties om hun doelen na te streven, en om te zorgen dat in Nederland toezicht kan worden gehouden op de toepasselijke wet- en regelgeving. Het is echter geen taak voor de overheid om enige, maar in het bijzonder financiële, bijstand te verlenen in civielrechtelijke rechtszaken.

Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «TikTok bezorgt extreemrechtse livestreamers extra publiek om winst te vergroten»?1

Ja.

Vraag 2

Wat is uw reactie op het artikel?

Het artikel schetst een zorgwekkende situatie. In de antwoorden op vraag 3 en 4 ga ik hier verder op in.

Vraag 3

Vindt u het acceptabel dat TikTok, volgens berichtgeving in de NRC, met haar aanbevelingsalgoritmes rechts-extremistische content bevoordeelt?

Extremistische en haatdragende content hoort niet thuis op online platforms zoals TikTok en druist in tegen de gebruikersvoorwaarden die TikTok zelf hanteert. Platforms hebben een verantwoordelijkheid voor de content die zij hosten en helpen verspreiden. Zo verplicht artikel 34 van de digitale dienstenverordening (hierna ook: «DSA») zeer grote online platforms (Very large online platforms, hierna: «VLOPs») zoals TikTok tot het identificeren, analyseren en beoordelen van systemische risico's die voortvloeien uit het ontwerp, de werking en het gebruik van hun diensten. Extremistische en haatdragende content kan leiden tot zulke risico’s, bijvoorbeeld wanneer het negatieve gevolgen heeft voor verkiezingsprocessen of de openbare veiligheid. Als er zulke risico’s bestaan, dan moeten zeer grote online platforms daar adequate maatregelen tegen nemen, zoals bijvoorbeeld de aanpassing van aanbevelingsalgoritmes (artikel 35, eerste lid DSA). De Europese Commissie is de aangewezen toezichthouder hiervoor. Daarnaast wordt de eigen verantwoordelijkheid van online platforms tijdens de nationale dialoog met de internetsector ook benadrukt.

Vraag 4

Vindt u dat elk groot online platform, waaronder TikTok, moet beschikken over een stevig nationaal moderatieteam die vanuit de eigen context content kan beoordelen? Is dit nu op orde?

Onderzoek bevestigt het bestaan van «moderatieongelijkheid».2 Dit houdt in dat het beleid van een platform verschillend wordt toegepast per taal. Platforms gaan hierbij voornamelijk uit van het Engels, waarbij de ongelijkheid in de toepassing van dit beleid het grootst is bij talen uit het globale zuiden.
Het is essentieel dat grote online platforms, waaronder TikTok, beschikken over een stevige en goed toegeruste nationale contentmoderatie die in staat is om content te beoordelen binnen de eigen nationale context, taal en culturele gevoeligheden. Effectieve moderatie draagt bij aan het voorkomen van schadelijke of illegale inhoud en aan de bescherming van gebruikers. Voor effectieve moderatie zijn echter meer middelen nodig dan voor de huidige mogelijkheid van menselijke moderatie door platforms. AI en «community notes» kunnen daar een nuttige bijdrage aan leveren. Beide kunnen ook in meer of mindere mate beschikken over kennis over taal, cultuur en maatschappelijke context. Effectieve moderatie vraagt voor zover nu bekend om een combinatie van menselijke (nationale) moderatie, community notes, en/of geautomatiseerde middelen. TikTok doet dat en maakt gebruik van een combinatie van automatische moderatiesystemen en menselijke moderatoren. In het recente DSA-transparantierapport van TikTok geven zij aan 100 Nederlandse personen in dienst te hebben die zich wijden aan contentmoderatie.
De DSA verplicht platforms om transparantie te bieden over de moderatie die zij verrichten, en de wijze waarop. Zo moeten zij onder meer rapporteren over de moderatie die zij hebben verricht, de geautomatiseerde middelen die daarbij eventueel zijn toegepast, en over de maatregelen die zijn genomen om opleiding en bijstand te verstrekken aan personen die de moderatie verrichten. VLOPs en zeer grote online zoekmachines (Very large online search engines, hierna: «VLOSEs») moeten daarnaast rapporteren over de personele middelen die worden ingezet voor inhoudsmoderatie, uitgesplitst per officiële taal van de EU-lidstaten, en over de kwalificaties en taaldeskundigheid van deze moderatoren. Hiermee wordt transparant of, en zo ja welke, platforms menselijke contentmoderatie verminderen en welke middelen zij inzetten om te modereren. Op dit moment maakt niet elke VLOP gebruik van menselijke moderatie. Het kabinet zal zich ervoor blijven inzetten dat platforms hun verplichtingen nakomen, onder meer door samenwerking met Europese partners te intensiveren en door in de nationale dialoog met de internetsector hiervoor aandacht te vragen.

Vraag 5

Welke risico’s ziet u voor de Tweede Kamerverkiezingen van 29 oktober 2025 op het gebied van politieke beïnvloeding via ongereguleerde donaties aan online contentmakers?

Het kabinet zet breed in om politieke beïnvloeding te voorkomen. Maatregelen betreffen onder andere het organiseren van verkiezingstafels met relevante (veiligheids)partners, het organiseren van een online veiligheidsbriefing voor gemeenteambtenaren, het bevorderen van het (online) publieke debat en het versterken van de weerbaarheid van politieke partijen. Ook gaat het kabinet desinformatie rond het verkiezingsproces tegen met de Rijksbrede strategie voor de effectieve aanpak van desinformatie. We zijn ons bewust van het risico dat buitenlandse actoren geld en tijd investeren om onze democratische processen te beïnvloeden, bijvoorbeeld aan de hand van heimelijke desinformatiecampagnes.
Ondanks richtlijnen rondom de transparantie van politieke advertenties kan helaas niet worden uitgesloten dat deze beïnvloedingscampagnes plaatsvinden. Het is daarom van groot belang dat deze worden blootgelegd. De veiligheidsdiensten doen vanuit hun wettelijke taak onderzoek naar heimelijke inmenging door buitenlandse actoren. Indien inmenging wordt geconstateerd, kunnen zij dit melden aan relevante partners, via de geëigende kanalen, zodat deze op basis van de melding hiernaar kunnen handelen.
Anderzijds is het van belang dat kiezers zelf weerbaar zijn zodat zij zich niet door een enkele influencer laten beïnvloeden. Een goed geïnformeerde burger is niet alleen veerkrachtiger, maar ook beter in staat om kritisch en verantwoord te handelen. Daarom zet het kabinet via de Rijksbrede strategie voor de effectieve aanpak van desinformatie ook in op de versterking van mediawijsheid en de weerbaarheid van burgers.3

Vraag 6

Vindt u dat donaties aan online contentmakers, die een politieke boodschap uitdragen, beter gereguleerd moeten worden? Ziet u mogelijkheden om dit in de Wet op de politieke partijen (Wpp) op te nemen?

Er zijn verschillende wetten en regels die zich richten op de monetisatie van online content. Denk hierbij aan de Mediawet en reclameregels. Ook hebben platforms vaak in hun eigen beleid restricties voor de monetisatie4 van content opgenomen.5 Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Ministerie van Economische Zaken achten het daarom wenselijk om voor nu terughoudend te zijn met het nemen van additionele maatregelen en vooral te bezien wat er mogelijk is binnen de huidige wet- en regelgeving. De Wet op de politieke partijen is in ieder geval niet de juiste plek om nadere regels te stellen. Deze wet omvat als normadressant enkel politieke partijen, niet online contentmakers die een politieke boodschap uitdragen.

Vraag 7

Heeft u geanalyseerd welke risico’s er bestaan op online politieke beïnvloeding voor de aanstaande Kamerverkiezingen? Zo ja, kunt u toelichten welke risico’s er zijn geconstateerd en welke maatregelen u neemt om deze te mitigeren?

Het fundamentele karakter van verkiezingen zorgt ervoor dat verkiezingen doelwit kunnen zijn van (statelijke) actoren die democratische processen in Europa en Nederland willen beïnvloeden of verstoren. Hier zijn meerdere voorbeelden van, zoals de inmengingspogingen in Roemenië, Moldavië, Polen en Duitsland. Daarom neemt het kabinet maatregelen om deze risico’s tegen te gaan.
Er worden verschillende maatregelen getroffen om heimelijke beïnvloeding van verkiezingen tegen te gaan. Hierover is uw Kamer op 4 juli jl. per brief geïnformeerd.6 De getroffen maatregelen zijn besproken met relevante partners, waaronder de inlichtingen- en veiligheidsdiensten, op de verkiezingstafel. Deze tafel komt periodiek bijeen en incidenteel in geval van concrete dreigingen. Ook heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties een webinar georganiseerd voor gemeenteambtenaren om hen voor te bereiden op veiligheidsrisico’s rondom de verkiezing. De Autoriteit Consument en Markt (ACM) heeft een rondetafelgesprek georganiseerd over de verantwoordelijkheden van online platforms onder de DSA tijdens verkiezingen. Daarnaast hebben het Ministerie van Defensie en de Nationale Politie een hackathon georganiseerd waarbij op basis van open source intelligence signalen van dreigingen voor de weerbaarheid van de aankomende verkiezingsperiode worden onderzocht. Verder wordt actief samengewerkt in EU-verband. Bijvoorbeeld via het European Cooperation Network on Elections and the Rapid Alert System (RAS) waar inzichten met betrekking tot desinformatie en weerbare verkiezingen worden gedeeld tussen lidstaten. Tot slot werken we aan een offensieve aanpak tegen desinformatie en de verkenning naar de mogelijkheden voor desinformatie detectie. In recente jaarverslagen waarschuwt de AIVD voor heimelijke desinformatiecampagnes die het publieke debat in Europese landen beïnvloeden.7 Het ontbreekt momenteel aan integraal zicht op de verspreiding van desinformatie- en beïnvloedingscampagnes door statelijke actoren in het Nederlandse informatiedomein. Om onze informatiepositie te verstevigen onderzoeken we de mogelijkheid om buitenlandse beïnvloedingscampagnes, gericht op onze democratische rechtsstaat, te detecteren. Daarvoor kijken we naar buitenlandse voorbeelden zoals Zweden en Frankrijk.
Overigens zijn ons kiesstelsel en verkiezingsproces robuust. Door ons pluralistische stelsel van evenredige vertegenwoordiging zijn we minder kwetsbaar dan landen met een meerderheidsstelsel zoals het «winner takes all»-stelsel waarbij slechts één partij of kandidaat het voor het zeggen krijgt. Ook is het verkiezingsproces minder kwetsbaar voor digitale dreigingen doordat de kiezer met een papieren stembiljet stemt, dat handmatig wordt geteld.

Vraag 8

Hoe beoordeelt u de radicaliserende werking van online aanbevelingsalgoritmes gebaseerd op online tracking en interactie? Ziet u een verband tussen de werking van deze algoritmes en de toenemende groei van online extremisme die zowel de AIVD2 als NCTV3 constateren?

Radicalisering is een complex proces waarbij verschillende factoren een rol spelen. Aanbevelingsalgoritmes hebben hierin een indirecte, maar wel een versterkende rol. Het onderzoek in het genoemde artikel toont aan dat algoritmes content met veel aandacht vaker aanbevelen. Ook blijkt emotionele en polariserende content aandacht te genereren.10 Hierdoor wordt een verband gesuggereerd tussen aanbevelingsalgoritmes en de verspreiding van extreme content. Het WODC-onderzoek naar rechts-extremisme op sociale media bevestigt dat aanbevelingsalgoritmes radicalisering kunnen versterken wanneer gebruikers zelf al actief zoeken naar extremistische of polariserende content.11 Deze algoritmes zorgen voor steeds extremere aanbevelingen op basis van het eerdere gedrag van de gebruiker. Tegelijkertijd zijn ook de persoonlijke keuzes van gebruikers en offline factoren minstens zo belangrijk in het radicaliseringsproces. Denk hierbij aan het delen van links naar extremistische content binnen de eigen sociale omgeving, het abonneren op of volgen van bepaalde kanalen met extreme content op sociale mediaplatforms, en het ontmoeten van gelijkgestemden binnen echokamers. Algoritmes zijn dus geen directe oorzaak van radicalisering, maar kunnen wel bijdragen aan een versnelde toegang tot extremistische content. Dit kan het proces van radicalisering versnellen of versterken, vooral bij kwetsbare gebruikers. Daarnaast houdt een onderdeel van het verdienmodel van online platforms, waaronder de reclamesystemen en aanbevelingssystemen die door aanbieders van VLOPs worden gebruikt, de verspreiding van schadelijke en extremistische content in stand.
De NCTV en AIVD besteden in de opeenvolgende Dreigingsbeelden Terrorisme Nederland (DTN) en in het jaarverslag van de AIVD van 2024 aandacht aan de snelle online radicalisering en mogelijke geweldsdreiging van met name jongeren in onder andere rechts-terroristische online netwerken. De Minister van Justitie en Veiligheid vraagt daarom in de dialoog met de internetsector expliciet aandacht voor de rol van aanbevelingsalgoritmes bij de verspreiding van extreme online content.

Vraag 9

Ziet u een verband tussen de rellen in Den Haag van 20 september 2025, waar rechts-extremistisch geweld is gepleegd, en de radicaliserende gevolgen van aanbevelingsalgoritmen op sociale media?

De NCTV en AIVD waarschuwen al langere tijd voor de dreiging van rechts-extremisme (en rechts-terrorisme) en dat normalisering van rechts-extremistisch gedachtengoed kan leiden tot rechts-extremistisch gemotiveerd geweld. Zo werd in opeenvolgende Dreigingsbeelden Terrorisme Nederland (DTN) en ook in het jaarverslag van de AIVD van 2024 aandacht besteed aan de normalisering van rechts-extremistisch gedachtegoed en de verspreiding hiervan online. De snelle online radicalisering en mogelijke geweldsdreiging van met name jongeren in onder andere rechts-terroristische online netwerken is hier onderdeel van. Normalisering van het rechts-extremistisch gedachtegoed kan leiden tot een toenemende intolerantie jegens instituten en andere groepen in de samenleving, waardoor geweld tegen deze groepen sneller wordt geaccepteerd. Om het gedachtegoed te normaliseren spelen rechts-extremisten in op bestaande maatschappelijke onvrede. De gebeurtenissen en zichtbare uitingen van zaterdag 20 september jl. zijn mogelijk een teken van normalisering van rechts-extremistisch gedachtegoed in de samenleving. Daarbij is het een zorgelijke ontwikkeling dat (al dan niet extremistische) groepen met verschillende achtergronden zich vanuit een gedeelde onvrede kunnen verenigen en elkaar kunnen versterken in hun (extremistische) denkbeelden en in het uiterste geval geweldsbereidheid tonen. Voor de duiding van de NCTV van de gebeurtenissen van 20 september jl. verwijzen we naar de recent verzonden Kamerbrief.12

Vraag 10

Deelt u de mening van de indieners dat online algoritmes die polarisatie, ophef, en haat aanwakkeren, van sociale media een broedplaats maken voor rechts-extremistisch gedachtegoed en daardoor kunnen leiden tot geweld?

Zoals aangegeven in het antwoord op vraag 8 en 9, is de rol van aanbevelingsalgoritmes en sociale mediafuiken bij rechts-extremistische radicalisering binnen de online context indirect, maar relevant. De NCTV en AIVD waarschuwen al langere tijd voor de dreiging van rechts-extremisme (en rechts-terrorisme) en dat normalisering van rechts-extremistisch gedachtegoed en de verspreiding hiervan online kan leiden tot rechts-extremistisch gemotiveerd geweld. Daarom zal de aandacht voor de rol van deze algoritmes in het bestrijden van extremisme onverminderd doorgezet worden.

Vraag 11

Acht u het met de indieners noodzakelijk om de radicaliserende werking van aanbevelingsalgoritmes op sociale media scherper te reguleren?

Nee, het kabinet acht het op dit moment niet noodzakelijk om aanvullende regels te stellen bovenop bestaande wetgeving, zoals de DSA. Zo verplicht de DSA online platforms om transparant te zijn over de werking van hun aanbevelingsalgoritmes. VLOPs, waaronder ook sociale mediaplatforms, moeten gebruikers daarnaast de optie bieden om aanbevelingsalgoritmes, die gepersonaliseerde aanbevelingen doen, uit te schakelen. Zoals uitgelegd onder vraag 3, verplicht de DSA daarnaast tot het identificeren, analyseren en beoordelen van systemische risico's en zo nodig het maken van aanpassingen aan aanbevelingsalgoritmes. Het kabinet is daarom van mening dat de prioriteit moet liggen bij de effectieve en uniforme toepassing en handhaving van de DSA. In 2027 vindt de evaluatie van het effect en doeltreffendheid van de DSA plaats. De regels omtrent aanbevelingssystemen kunnen dan ook worden geëvalueerd en een verdere aanscherping kan worden overwogen. In dit kader volgen wij met interesse recente relevante juridische ontwikkelingen, zoals de uitspraak van de rechtbank Amsterdam over aanbevelingsalgoritmes van grote sociale-mediaplatforms.13
Binnen de kaders van bestaande wetgeving, zoals de DSA, zet Nederland zich in voor een versterking van het beleid ten aanzien van online radicalisering, gewelddadig extremisme en terrorisme. Nederland neemt daarbij een actieve rol binnen de Europese Unie en roept, samen met Duitsland en Frankrijk, de Europese Commissie op om onder meer gezamenlijk een vrijwillige gedragscode voor online platforms op te stellen met betrekking tot deze problematiek. Deze gedragscode kan tevens maatregelen omvatten met betrekking tot aanbevelingsalgoritmes.

Vraag 12

Bent u van mening dat bedrijven als X, Meta en TikTok genoeg doen om radicalisering en extremisme op hun sociale media platforms aan te pakken?

Extremistische en terroristische groeperingen misbruiken online platformen, waaronder sociale media platformen, om propaganda te verspreiden en in stand te houden, nieuwe leden te rekruteren en zelfs aanslagen voor te bereiden. Het is daarom essentieel om passende maatregelen te nemen om het online domein veiliger te maken, met inachtneming van de waarden van een democratische rechtstaat. Hier zet het kabinet zich dan ook voor in. Zo stelt huidige wettelijke instrumentarium, zoals de DSA en de Terroristische Online Inhoud (TOI-)verordening, duidelijke grenzen aan de aanwezigheid van terroristische en illegale content op onlineplatforms. Dit is een belangrijke stap in de goede richting om platforms meer verantwoordelijkheid te laten nemen en zo bij te dragen aan een veiligere online omgeving. Wij blijven daarom in dialoog met de internetsector. Hierbij wordt steeds de eigen verantwoordelijkheid van online platforms benadrukt.
Vanuit het Ministerie van Justitie en Veiligheid is belangrijk onderdeel van de dialoog het gezamenlijk verkennen van mogelijkheden om concrete instrumenten tegen online radicalisering te ontwikkelen. Zo start in december 2025 de pilot met de ReDirect-methode, in samenwerking met Meta, waarbij gebruikers die online zoeken naar terroristische of extremistische content worden geconfronteerd met een informatieveld om hen door te geleiden naar online hulp.
De Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) detecteert en beoordeelt online terroristisch materiaal volgens de TOI-verordening. Hostingaanbieders moeten dit materiaal binnen een uur na een verwijderingsbevel van de ATKM verwijderen of ontoegankelijk maken. Daarnaast moeten online platforms transparantieverslagen publiceren over het aantal ontvangen verwijderbevelen en de opvolging daarvan. Bij herhaalde overtredingen kan de toezichthouder een «blootstellingsbesluit» opleggen, waarmee het platform verplicht wordt proactieve maatregelen te nemen om herhaling te voorkomen.
Voor VLOPS, waaronder Meta en TikTok, is de Europese Commissie de aangewezen toezichthouder. Sinds de inwerkingtreding van de DSA heeft de Commissie diverse formele onderzoeken geopend naar de naleving door de zeer grote online platforms van de verplichtingen onder de DSA. Deze onderzoeken zien, onder andere, op het ontwerp en werking van aanbevelingsalgoritmes, de systeemrisico's en mitigerende maatregelen en transparantieverplichtingen rondom content moderatie. Vooralsnog heeft de Commissie deze onderzoeken nog niet afgerond of sancties opgelegd aan de platforms. In afwachting van deze uitspraken kunnen we geen conclusies trekken over de eventuele schendingen van de verplichtingen onder de DSA van specifieke platforms.

Vraag 13

Welke concrete maatregelen bepleit u in de aankomende Digital Fairness Act (DFA) van de Europese Commissie die de risico’s op radicalisering via aanbevelingsalgoritmes kan mitigeren?

Met de Digital Fairness Act (DFA) zal het Europese consumentenrecht worden aangepast. Het consumentenrecht beschermt belangen van consumenten bij het aangaan van economische transacties met handelaren. Het tegengaan van radicalisering is geen doel van het consumentenrecht. Nederland zet zich in voor aanvullende maatregelen voor het tegengaan van verslavend ontwerp, waaronder algoritmes, via de DFA. Tegelijkertijd moet onnodige regeldruk voor ondernemers voorkomen worden. Dergelijke maatregelen zijn niet specifiek gericht op het tegengaan van radicalisering, maar zouden indirect een effect kunnen hebben. Zoals aangegeven in de beantwoording van vraag 3, worden aanbevelingsalgoritmes op dit moment onder andere gereguleerd via de DSA en de TOI-verordening. Het kabinet is daarom van mening dat de prioriteit moet liggen bij de effectieve en uniforme toepassing en handhaving van deze wet- en regelgeving.

Vraag 14

Welke nationale maatregelen kunt u nemen om Nederlandse gebruikers van sociale media te beschermen tegen de radicaliserende werking van online algoritmes?

Het tegengaan van online radicalisering is een gezamenlijke verantwoordelijkheid. Online platforms hebben hierin een bijzondere rol, omdat zij als aanbieders en beheerders van de digitale infrastructuur direct kunnen ingrijpen in de online dynamiek. Zij zijn in eerste instantie aan zet om te zorgen dat hun gebruikers online veilig zijn. De DSA legt zorgvuldigheidsverplichtingen op aan online platforms om bij te dragen aan het creëren van een veilige online omgeving. We richten ons daarom op het effectief implementeren van Europese regelgeving, zoals de DSA. Voor VLOPs, waaronder sociale media, is de Europese Commissie de aangewezen toezichthouder. In Nederland is de ACM bevoegd om toezicht te houden op naleving van de DSA door hier gevestigde tussenhandeldiensten, zoals online platforms. Daarnaast zullen we ons in 2026 met nieuwe initiatieven inzetten voor kennis en kunde van burgers in de online publieke ruimte. Bijvoorbeeld door het vergroten van het bewustzijn bij burgers van hun rechten en handelingsopties onder de DSA. Ook onderzoeken we de inzet van AI en nieuwe technologie om de negatieve effecten tegen te gaan die algoritmes kunnen hebben op de zichtbaarheid en toegankelijkheid van onafhankelijke en betrouwbare informatie op sociale media. En we zetten in op ontwikkeling, gebruik en schaalvergroting van niet-winstgedreven alternatieven.

Vraag 15

Bent u bereid de mogelijkheden te onderzoeken of via het consumentenrecht een nationaal verbod op radicaliserende aanbevelingsalgoritmes van grote online platforms gerealiseerd kan worden?

Zoals aangegeven in het antwoord op vraag 13, is het consumentenrecht geen geschikte plek om radicaliserende aanbevelingsalgoritmes direct te reguleren. Zoals aangegeven in de beantwoording van vraag 11, worden aanbevelingsalgoritmes op dit moment onder andere gereguleerd via de DSA en de TOI-verordening. Het kabinet is daarom van mening dat de prioriteit moet liggen bij de effectieve en uniforme toepassing en handhaving van deze wet- en regelgeving.

Vraag 16

Kunt u deze vragen afzonderlijk en minstens één week voor de Tweede Kamerverkiezingen van 29 oktober 2025 beantwoorden?

Ja, deze vragen zijn afzonderlijke beantwoord. Het is helaas niet gelukt deze beantwoording een week voor de Tweede Kamerverkiezing toe te sturen.

Vraag 1

Bent u bekend met het bericht ««Strategische blunder»: vertrouwelijke data van Nederlanders in handen van Amerikanen»?1

Ja.2

Vraag 2

Wat is uw reactie op dit bericht?

Ik heb kennisgenomen van het bericht. In de beantwoording van de hiernavolgende vragen, ga ik nader in op de inhoud.

Vraag 3

Bent u van mening dat vertrouwelijke data van Nederlanders bij voorkeur in Nederlandse handen moet zijn, dan wel Europese? Zo ja, waarom? Zo nee, waarom niet?

Het antwoord op de vraag of vertrouwelijke data van Nederlanders bij voorkeur Nederlandse handen moet zijn, is afhankelijk van de aard van de gegevens die worden verwerkt, en is daarom niet in algemene zin te beantwoorden.
Overheidsorganisaties zijn bij het aangaan van overeenkomsten met leveranciers gebonden aan juridische en beleidsmatige kaders die de bescherming van vertrouwelijke data waarborgen.3 De Algemene Verordening Gegevensbescherming (AVG) beschermt de rechten en vrijheden van personen bij de verwerking van hun persoonsgegevens, onder meer door te eisen dat organisaties passende beveiligingsmaatregelen nemen om die gegevens te beschermen.4
De doorgifte van persoonsgegevens naar een derde land is toegestaan als de Europese Commissie (EC) heeft vastgesteld dat dit land een passend beschermingsniveau biedt, of als de doorgifte is voorzien van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Als geen adequaatheidsbesluit of passende waarborgen beschikbaar zijn, mogen persoonsgegevens alleen worden doorgegeven wanneer één van de in de in artikel 49 AVG genoemde uitzonderingen van toepassing is (zoals expliciete toestemming, contractuele noodzaak, vitaal belang of openbaar belang). Anders is doorgifte enkel toegestaan indien de doorgifte niet repetitief, een beperkt aantal betrokkenen betreft, en noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene. Dan dient de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte te hebben beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens te hebben geboden. Ook moet de doorgifte worden gemeld aan de toezichthouder. Binnen deze kaders zijn verwerkingsverantwoordelijke departementen of overheidsorganisaties zelf verantwoordelijk voor de naleving.5
De gegevensbeschermingseffectenbeoordeling (DPIA) speelt daarbij een belangrijke rol. De DPIA brengt de gegevensbeschermingsrisico’s van een voorgenomen (grensoverschrijdende) verwerking in kaart, en laat zien welke maatregelen nodig zijn om deze risico’s te beperken. Overheidsorganisaties zijn verplicht een DPIA uit te voeren bij (grensoverschrijdende) verwerkingen met waarschijnlijk een hoog risico voor rechten en vrijheden van burgers. De Functionaris Gegevensbescherming (FG) van de verwerkingsverantwoordelijke toetst de DPIA in zijn onafhankelijke rol, en adviseert. Bij het wijzigen van de met de verwerking gepaarde risico’s dient opnieuw te worden beoordeeld of de verwerking overeenkomstig de DPIA wordt uitgevoerd.6

Vraag 4

Erkent u dat de overname van Zivver door het Amerikaanse bedrijf Kiteworks risico’s meedraagt voor de veiligheid en vertrouwelijkheid van de data die wordt uitgewisseld via deze dienst?

Ja, het feit dat Zivver nu onder Amerikaans eigenaarschap valt, betekent dat ook Amerikaanse wetgeving, zoals de Cloud Act, van toepassing kan zijn op de dienstverlening. Verwerkingsverantwoordelijke departementen moeten dit gewijzigde stelsel betrekken in hun risicoafweging bij het gebruik van Zivver.

Vraag 5

Kunt u uitsluiten dat gegevens die uitgewisseld worden via deze dienst in de Verenigde Staten of Israël terechtkomen? Zo ja, hoe kunt u dat aantonen?

Het kabinet heeft op dit moment geen aanwijzingen dat gegevens in strijd met het gegevensbeschermingsrecht in handen van de overheid in de VS of Israël terechtkomen, maar kan het ook niet met volledige zekerheid uitsluiten.

Vraag 6

Op welke manier maken overheidsorganisaties en departementen gebruik van Zivver? In hoeverre is de continuïteit van de overheidsdienstverlening afhankelijk van dit bedrijf?

Verschillende overheidsorganisaties maken gebruik van Zivver voor het delen van informatie. Ofwel voor het delen van documenten, ofwel voor beveiligd mailen. Datzelfde geldt voor ketenpartners waarmee door overheidsorganisaties in de uitvoering wordt samengewerkt. De continuïteit van de dienstverlening is niet afhankelijk van Zivver.

Vraag 7

Heeft de Amerikaanse overname van Zivver gevolgen voor het gebruik van deze dienst door Nederlandse overheden? Vindt u het verantwoord om de huidige inzet van Zivver ongewijzigd te laten?

Overheidsorganisaties geven binnen hun eigen verantwoordelijkheid invulling aan het gebruik van clouddiensten en de daarbij behorende afwegingen.7 Deze dienen te berusten op een gedegen risicoanalyse, waaronder in voorkomende gevallen een DPIA en passende mitigerende maatregelen waar nodig. Departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. Als onderdeel van het cloudbeleid dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daartoe aanleiding is.8

Vraag 8

Draagt het blijven gebruiken van Zivver, ook nu het is overgenomen door een Amerikaans bedrijf, bij aan de cyberveiligheid en autonomie van Nederland? Zo ja, kunt u onderbouwen waarom dit geen risico vormt? Zo nee, waarom gebruikt u deze dienst dan alsnog?

Een dergelijke verandering maakt het wenselijk om risico’s opnieuw te beoordelen in de context van het concrete gebruik, de aard van gegevens die worden uitgewisseld, de getroffen beveiligingsmaatregelen, en de specifieke geldende contractuele (juridische) en technische waarborgen.

Vraag 9

Kunt u onafhankelijk aantonen dat Zivver na de overname van een Amerikaans bedrijf een gelijke mate van rechtsbescherming en vertrouwelijkheid waarborgt als voorheen? Zo nee, bent u bereid dit alsnog te onderzoeken en op basis van de uitkomsten het gebruik van deze dienst (her)evalueren?

Zoals uiteengezet in het antwoord op vraag 3 en 4 dienen verwerkingsverantwoordelijke overheidsorganisaties bij (mogelijke) verandering van de risico’s, zoals in casu de overname van Zivver, te beoordelen of de verwerking nog steeds overeenkomstig de DPIA wordt uitgevoerd. Indien nodig dienen aanvullende maatregelen te worden genomen om de vereiste mate van rechtsbescherming en vertrouwelijkheid te waarborgen.

Vraag 10

Vindt u het wenselijk dat een dienst die wordt gebruikt om vertrouwelijke informatie over burgers uit te wisselen valt onder de Amerikaanse CLOUD Act en de Foreign Intelligence Surveillance Act (FISA), die de regering-Trump toegang geeft tot deze data?

Het kabinet vindt het, in dergelijke gevallen, niet wenselijk dat vertrouwelijke informatie bij statelijke actoren terecht komt. Het Nationaal Cyber Security Centrum (NCSC) heeft in augustus 2022 een juridische analyse laten uitvoeren door het advocatenkantoor Greenberg Traurig naar de mogelijke impact van de Amerikaanse CLOUD Act. In dit onderzoek kwam destijds naar voren dat het risico op openbaarmaking van Europese (persoons)gegevens onder de Cloud Act klein lijkt.9
Tegelijkertijd, en zoals uiteengezet in het antwoord op vraag 3 en 4, dienen verwerkingsverantwoordelijke overheidsorganisaties bij (mogelijke) veranderingen risico’s in kaart te brengen door het uitvoeren van een DPIA. Ook de mogelijke implicaties van bijvoorbeeld delen van de Cloud Act voor grondrechten dienen in deze risicoafweging te worden betrokken.

Vraag 11

Welke maatregelen gaat u op korte termijn nemen om de veiligheid en vertrouwelijkheid van burgerdata beter te waarborgen? Zijn er (Europese) alternatieven voorhanden die u kunt gebruiken in plaats van Zivver?

Vanuit het Ministerie van BZK zijn, in samenwerking met andere onderdelen van de Rijksoverheid, al verschillende initiatieven gestart. Vanaf 1 januari 2026 gelden er nieuwe beveiligingseisen voor bedrijven die voor de overheid een opdracht uitvoeren met risico’s voor de nationale veiligheid. Dat zijn de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Door de ABRO gelden binnen de hele Rijksoverheid dezelfde eisen. De ABRO verkleint de risico’s voor de nationale veiligheid, zoals cyberaanvallen en spionage. Daarnaast is er recent een handreiking opgesteld voor het risicomanagement binnen departement overstijgende ketens.10 De BIO2 biedt een uniforme aanpak en een gemeenschappelijk normenkader voor informatiebeveiliging binnen de overheid, waarbij risicomanagement centraal staat.
Met het oog op het selecteren van alternatieven moeten de risico’s worden beoordeeld en de noodzakelijke maatregelen voor informatiebeveiliging worden vastgelegd. De in verband met informatiebeveiliging en gegevensbescherming noodzakelijke maatregelen zullen daarbij moeten worden vastgelegd en meegenomen in de aanbesteding en eventuele overeenkomst.

Vraag 12

Beschikt de Rijksoverheid over een eigen infrastructuur om vertrouwelijk te communiceren? Is het mogelijk om op korte termijn de diensten van Zivver in te wisselen voor een eigen alternatief?

Binnen de Rijksoverheid maken verschillende departementen reeds gebruik van andere oplossingen voor het veilig uitwisselen van bestanden en berichten. Een voorbeeld hiervan is Securetransfer, dat SSC-ICT aanbiedt vanuit het rijksdatacentrum ODC-Noord.11
Er loopt momenteel vanuit de Nederlandse Digitaliseringsstrategie wel een verkenning naar het opzetten van een overheidsbrede soevereine cloud, waarin het voorstelbaar is dat er vertrouwelijke gegevensuitwisseling plaats kan gaan vinden. Het realiseren van een soevereine overheidscloud vraagt wel om de nodige investeringen.

Vraag 13

Bent u van mening dat overnames van bedrijven als Zivver voortaan getoetst moeten worden op gevolgen voor de (cyber)veiligheid? Bieden de Telecommunicatiewet en de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) hier al de mogelijkheid voor?

De Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) en de Telecommunicatiewet bevatten ieder een toetsingskader om risico’s voor de nationale veiligheid bij verwervingsactiviteiten te kunnen adresseren. De Wet Vifo is gericht op verwervingsactiviteiten die betrekking hebben op vitale aanbieders, ondernemingen die actief zijn op het gebied van bepaalde sensitieve technologie, en beheerders van een bedrijfscampus. De Telecommunicatiewet kent eveneens een specifiek toetsingsregime voor zeggenschapswijzigingen bij aanbieders van telecompartijen, waaronder aanbieders van gekwalificeerde vertrouwensdiensten. Als een onderneming niet valt onder het specifiek omschreven wettelijk toepassingsbereik (en dus bijvoorbeeld geen specifieke sensitieve technologie heeft, geen betrekking heeft op een vitaal proces, of de criteria uit de Telecommunicatiewet niet haalt), dan is een verwervingsactiviteit ten aanzien van die onderneming niet meldingplichtig en kan de Minister van Economische Zaken niet ingrijpen. Voor dit uitgangspunt is onder andere gekozen met het oog op de proportionaliteit: de ex ante meldingplicht en de toetsingsbevoegdheid van de Minister moet niet verder gaan dan strikt nodig is. Ook komt het vooraf vastleggen wanneer een transactie meldingsplichtig is de rechtszekerheid ten goede (door het voorkomen van willekeurig of politiek-gedreven ingrijpen in de markt). Ook heeft het kabinet beoogd alleen de meest risicovolle categorieën ondernemingen af te dekken. Met de bestaande wetgeving bestaat dus de mogelijkheid om overnames die de nationale veiligheid kunnen raken te toetsen, indien deze vallen binnen het toepassingsbereik van die wetten. Indien blijkt dat aanvullende sectoren of technologieën een zodanig veiligheidsbelang vertegenwoordigen dat zij onder de Wet Vifo of de Telecommunicatiewet zouden moeten vallen, kan het toepassingsbereik van de wet worden uitgebreid. Het kabinet volgt relevante ontwikkelingen op dit gebied op de voet. Zo werkt het kabinet momenteel aan een uitbreiding van het toepassingsbereik van de Wet Vifo voor enkele aanvullende sensitieve technologieën.

Vraag 14

Kunt u verklaren waarom bedrijven die de vertrouwelijke communicatie voor overheden verzorgen niet zijn aangemerkt als vitale infrastructuur, ook als de organisaties die ze gebruiken wel aangemerkt zijn als belangrijk/vitaal/essentieel?

Zivver is niet als digitale essentiële dienst aangemerkt. De Wet weerbaarheid kritieke entiteiten (Wwke) schrijft ministeries voor om periodiek vitaal beoordelingen uit te voeren, zo ook voor de digitale infrastructuur.

Vraag 15

Biedt de Cyberbeveiligingswet of de Wet weerbaarheid kritieke entiteiten mogelijkheden om niet-Europese overnames van bedrijven als Zivver te voorkomen? Zo nee, vindt u dit wel wenselijk?

De NIS2-richtlijn heeft tot doel om de cyberbeveiliging in de EU verder te versterken en de CER-richtlijn tot doel om de weerbaarheid van essentiële diensten binnen de EU te vergroten. Daartoe bevatten de richtlijnen onder meer verplichtingen voor hieronder vallende entiteiten om passende en evenredige technische, operationele en organisatorische (beveiligings)maatregelen te nemen en om significante incidenten te melden. De NIS2-richtlijn en de CER-richtlijn bevatten geen regels die zien op overnames van bedrijven door niet-Europese partijen. In Nederland wordt de NIS2-richtlijn geïmplementeerd met de Cyberbeveiligingswet en wordt de CER-richtlijn geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Aangezien de NIS2-richtlijn en CER-richtlijn geen regels bevatten over overnames van bedrijven door niet-Europese bedrijven, wordt dit evenmin geregeld in de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
In Nederland worden bepaalde verwervingsactiviteiten getoetst door het kabinet krachtens investeringstoetsingswetgeving zoals de Wet Vifo en de Wet ongewenste zeggenschap telecommunicatie. Deze investeringstoetsen zijn landenneutraal. De toetsende autoriteit (het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken) neemt de identiteit van de verwerver mee in de toetsing.

Vraag 16

Hoe beoordeelt u de betrokkenheid van Israëlische oud-spionnen aan de top van het bedrijf Kiteworks? Is dit voor u een reden om het gebruik van Zivver wel of niet te heroverwegen?

Er is geen aanleiding om op dit moment aan te nemen dat de betrokkenheid van voormalige Israëlische inlichtingenfunctionarissen bij Kiteworks risico’s oplevert voor het gebruik van Zivver binnen de Rijksoverheid. In het rijksbrede cloudbeleid is opgenomen dat indien er een risico afkomstig van statelijke actoren is, de gebruiker van de clouddienst beveiligingsadvies in dient te winnen de AIVD en/of MIVD.12 Indien gebruikers van de clouddienst een verhoogd risico signaleren in verband met statelijke actoren, is dit de aangewezen route om te komen tot een onderbouwd oordeel over eventuele heroverweging van het gebruik van Zivver als digitale dienst.

Vraag 17

Hoe reageert u op de bevindingen van Follow The Money waaruit blijkt dat informatie verstuurd via Zivver wordt teruggekoppeld naar de servers van het bedrijf? Welke gevolgen heeft dit voor de veiligheid en vertrouwelijkheid van deze informatie?

Informatiestromen, zoals de informatiestroom die is beschreven in het artikel op Follow the Money, dienen volgens het rijksbrede cloudbeleid te worden betrokken bij de risicoafweging die verplicht is voorafgaand aan het gebruik van clouddiensten. Zoals ook in het artikel wordt beschreven, kunnen aanvullende lokale veiligheidsinstellingen aangebracht worden, bijvoorbeeld in Outlook of Gmail, om te voorkomen dat gevoelige informatie naar externe servers wordt verzonden. Zivver geeft aan dat vrijwel alle overheidsklanten, zorginstellingen en andere kritieke organisaties de Outlook-integratie om die reden gebruiken.13
Het instellen van dergelijke beveiligingsmaatregelen is daarmee een logische uitkomst van de verplichte risicoafwegingen.

Vraag 18

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?

Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?

Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?

De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?

Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?

Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?

BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

De vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht: «Fraude met visa explodeert, Nederlandse vakantiegangers al voor tienduizenden euro’s opgelicht: hier moet je op letten»? (De Telegraaf, 23 juli)

Ja.

Vraag 2

Hoeveel meldingen van fraude bij visumaanvragen zijn er tot nu toe gedaan? In hoeveel gevallen ging dit om phishing?

Uit navraag bij de Fraudehelpdesk blijkt dat er in het jaar 2024 12 meldingen over fraude met visumaanvragen zijn geregistreerd. Deze meldingen hadden betrekking op valse websites waarop zogenaamd een visum aangeschaft kon worden. In de eerste helft van 2025 kreeg de Fraudehelpdesk 189 meldingen, waarvan 154 melders aangaven financieel te zijn gedupeerd. Ook het Centraal Meldpunt Identiteitsfraude (CMI) heeft meldingen met betrekking tot fraude met visumaanvragen ontvangen. In 2024 ging het om 89 meldingen en in 2025 tot en met juli om 353 meldingen. Zowel de Fraudehelpdesk als het CMI schrijven de toename van het aantal meldingen toe aan de invoering (sinds 2 april 2025) van de verplichte ETA voor het Verenigd Koninkrijk, hoewel er ook andere typen visa tussen de meldingen zitten.
Er is op dit moment geen duidelijk verband te leggen tussen het aantal meldingen en in hoeveel gevallen hier sprake is van phishing. Phishing is een werkwijze die wordt ingezet door criminelen om bijvoorbeeld oplichting en fraude te plegen. Daarnaast wordt in het geval van een melding niet altijd aangegeven of het om phishing gaat. Er zijn meldingen over (valse) websites waarbij tussenpartijen te veel geld vragen voor het verzorgen van (kostenloze) visumaanvragen, maar vervolgens wel daadwerkelijk een geldig visum toesturen. Daarnaast zijn er meldingen waarbij melders denken dat zij een visumaanvraag doen en gegevens opgeven waarna er (soms meerdere keren) geld van hun creditcard wordt afgeschreven, maar er geen visum(aanvraag) wordt ontvangen.

Vraag 3

Hoe verhoudt het aantal gemelde gevallen via de Fraudehelpdesk zich tot officiële aangiften bij politie en meldingen bij visumverlenende instanties?

Er zijn op dit moment geen betrouwbare cijfers beschikbaar over het aantal aangiften over visumverstrekking bij de politie, noch over de verhouding van het aantal meldingen bij andere instanties dan de politie. Fraude met visa wordt net als phishing niet als aparte categorie geregistreerd en is daarmee niet eenvoudig uit het politiesysteem te halen. In de Veiligheidsagenda 2023–2026 zijn streefnormen voor de politie afgesproken omdat de groei van gedigitaliseerde criminaliteit moet worden geremd.1 Hier valt ook de bestrijding van online fraude onder. Er is geen centrale registratie van meldingen van visumverlenende instanties (zoals ambassades). Als mensen met deze vorm van fraude geconfronteerd worden, roep ik hen op aangifte te doen bij de politie.

Vraag 4

Wat is de rol van reizigers-adviesportals en luchtvaartmaatschappijen in het informeren over officiële visumkanalen? Wordt er samengewerkt om nepwebsites actief te signaleren?

Op de website www.nederlandwereldwijd.nl kan men het reisadvies van het land van bestemming lezen ter voorbereiding op de reis. Op de landenpagina staat een kopje met «Hoe bereid ik mijn reis voor?». Onder dit kopje staat onder andere uitgelegd of een visum nodig is en waar deze aangevraagd kan worden (met een link naar een officiële website). Op www.nederlandwereldwijd.nl wordt op alle Schengenvisum aanvraagpagina’s en inreisvisum aanvraagpagina’s het volgende geadviseerd: «Voorkom onnodige kosten en maak zelf uw afspraak. Maak geen afspraak bij een tussenpersoon.»
Desgevraagd geeft het Ministerie van Buitenlandse Zaken aan dat op de aanvraagpagina’s van sommige landen nog een extra waarschuwing staat. Als een ambassade bijvoorbeeld signaleert dat er veel fraude plaatsvindt in een bepaald land, dan wordt de informatie aangevuld. Zo is er onlangs door de ambassade in Turkije verzocht om toe te voegen dat de klant geen tolk via een tussenpersoon moet regelen.
Zo nu en dan plaatsen ook Nederlandse ambassades in diverse landen op eigen initiatief voorlichting of waarschuwingen op hun social mediakanalen. Zo heeft de Nederlandse ambassade in India onlangs op haar Instagram en Facebook account een waarschuwing geplaatst voor fraude met visa, alsook een verwijzing naar de officiële website.

Vraag 5

Wat doet u om online fraude via phishing te voorkomen en te bestrijden, onder andere bij visumaanvragen? Zijn deze maatregelen effectief gebleken?

In oktober 2024 zijn de Ministeries van Justitie en Veiligheid en van Binnenlandse zaken en Koninkrijksrelaties gestart met de meerjarige publiekscampagne «Laat je niet interneppen», om Nederlanders te wapenen tegen verschillende vormen van online oplichting, waaronder phishing. In de campagne komen de diverse signalen en overtuigingstechnieken aan bod, die online criminelen gebruiken en krijgen mensen handelingsperspectief mee om online oplichting te kunnen herkennen. Uit het meest recente campagne-effectonderzoek blijkt onder meer dat mensen zich meer waakzaam voelen als gevolg van de campagne en dat Nederlanders het belangrijk vinden dat de Rijksoverheid op dit onderwerp campagne voert, maar dat (nog) niet meer mensen zich beter in staat voelen de signalen en overtuigingstechnieken te herkennen.2 De aanbevelingen uit het campagne-effectonderzoek zullen worden meegenomen bij de volgende flight van de campagne in september 2025.
Naast bewustwordingscampagnes werkt de Nederlandse overheid aan de doorontwikkeling van het Register Internetdomeinen overheid zodat burgers in dat register bij twijfel een snelle check kunnen doen of websites van de Nederlandse overheid zijn of niet. Het Register is te raadplegen via https://organisaties.overheid.nl/domeinen. Bij twijfel over de echtheid van websites kan bovendien contact worden opgenomen met de gratis Digihulplijn (Bereikbaar via telefoon en chat op 0800 - 1508). Ook loopt een impactonderzoek naar de haalbaarheid van invoering van een uniforme domeinnaamextensie voor websites van de overheid, te beginnen bij de Rijksoverheid. Een uniforme domeinnaamextensie zoals .gov.nl of .overheid.nl maakt in één keer duidelijk dat de overheid afzender is van een website en is, mits consequent toegepast, makkelijk te communiceren richting het publiek.
Daarnaast voert mijn ministerie de regie op de integrale aanpak van online fraude.3 De integrale aanpak online fraude heeft als doel om meerjarig gezamenlijk de krachten te bundelen, de onderlinge informatiepositie te verstevigen, het kennisniveau te verhogen, te weten en te doen wat werkt om sneller, flexibeler en effectiever op te kunnen treden tegen online fraude teneinde het aantal slachtoffers te verminderen. Partners in deze publiek-private samenwerking zijn onder andere de politie, het Openbaar Ministerie, VNO-NCW/MKB Nederland, de Consumentenbond, de Nederlandse Vereniging van Banken (NVB), COIN, Thuiswinkel.org, de Vereniging Nederlandse Gemeenten (VNG), het Ministerie van Economische Zaken enhet Ministerie van Financiën. Het jaarbericht en het actieplan voor 2025 zijn in juni jl. door mijn ambtsvoorganger aan uw Kamer toegezonden.4

Vraag 6

Hoeveel gevallen van phishing zijn er jaarlijks in Nederland? Welk aandeel van de gevallen van online oplichting betreft phishing?

Bij de politie wordt phishing niet als een apart delict geregistreerd en daarom zijn hier geen precieze cijfers over te delen. Dit komt omdat phishing vaak een middel is om verschillende soorten criminaliteit te kunnen plegen.
Wel blijkt uit de Veiligheidsmonitor 2024 van het Centraal Bureau voor de Statistiek dat krap 1 procent van de mensen in 2024 zich slachtoffer noemt van phishing. Bij 17 procent van de slachtoffers ging het om wangirifraude: de dader probeert het slachtoffer te laten terugbellen naar (dure) betaalnummers. Verder kreeg 12 procent te maken met beleggingsfraude en eenzelfde deel werd slachtoffer van bankspoofing, waarbij de oplichter zich voordoet als een bankmedewerker. Nepboetes of nepfacturen werden door 11 procent van de slachtoffers genoemd. Vriend-in-nood-fraude, waarbij iemand geld betaalde aan een zogenaamde bekende (via een nepbericht of voice cloning), en nepacties troffen respectievelijk 9 en 6 procent van de slachtoffers. De andere vormen van phishing werden door 4 procent of minder genoemd.5

Vraag 7

Bent u bekend met Belgische phishing-schild, het BAPS-Systeem, waarmee in 2024 zo’n 1,6 miljoen verdachte links zijn gedetecteerd en omzeild op basis van meldingen van burgers?1

Ja.

Vraag 8

Kunt u nader toelichten wat het doel en de reikwijdte is van de pilot met een Anti-Phishing Shield (APS) die u heeft aangekondigd in deze zomer?2 Welke partijen zijn hier bij betrokken?

Het doel van de pilot is de effectiviteit van het Anti-Phishing Shield (APS) in kaart brengen. Op basis van de resultaten van de pilot wordt beoordeeld of een structureel APS in Nederland wenselijk is.
De pilot wordt uitgevoerd door het Nationaal Cyber Security Center in samenwerking met KPN en is gericht op een beperkte klantengroep van KPN. Deze groep heeft zich op vrijwillige basis via opt-in aangemeld voor de dienst Veilig browsen van KPN. Dit is een malwarefilter dat ervoor zorgt dat apparaten veilig online gaan. De denial list (een lijst van bronnen die als onveilig of verdacht zijn aangemerkt) uit deze APS-pilot wordt hierin verwerkt. Hiermee sluit de pilot aan bij de maatregelen die KPN al neemt binnen de bestaande, versterkte beveiliging voor KPN-klanten. De pilot wordt op een later moment mogelijk uitgebreid met meerdere partijen uit de telecomsector.

Vraag 9

Wanneer verwacht u de uitkomsten van deze pilot? Koppelt u deze terug aan de Kamer met een voorstel voor vervolgstappen?

De pilot is eind juli 2025 gestart en duurt zes maanden. De pilot wordt tussentijds en na afloop geëvalueerd. Op basis hiervan wordt een advies voor een eventuele landelijke uitrol uitgebracht. U wordt in de volgende Kamerbrief over de integrale aanpak van cybercrime geïnformeerd over het vervolg van het APS.

Vraag 10

Op welke manier is de Autoriteit Consument & Markt als toezichthouder betrokken bij de pilot? Hoe gaat u tegemoetkomen aan zorgen over netneutraliteit?

De Autoriteit Consument & Markt (ACM) is als onafhankelijke toezichthouder niet actief betrokken bij de pilot. In een eerder stadium is het APS met de ACM besproken. De pilot vindt plaats binnen de geldende wettelijke kaders. Uitgangspunt bij netneutraliteit is dat de internetaanbieder de toegang tot het internet niet mag beperken, vanwege het recht op open toegang tot het internet. Hierbij gelden in het kader van de Europese netneutraliteitsverordening enkele uitzonderingsmogelijkheden. Zo mag een internet serviceprovider wél beperkingen opleggen indien – en slechts zolang – dit nodig is om de integriteit en de veiligheid van het netwerk van de eindgebruikers te beschermen. Er dient daarbij een afweging gemaakt te worden over wanneer en onder welke omstandigheden dergelijke beperkingen noodzakelijk zijn. Binnen de pilot is het aan de deelnemende partijen om na te gaan of hun werkwijze in lijn is met de regels inzake netneutraliteit. Zie ook het antwoord op vraag 8.

Vraag 11

Wat doet u nog meer om slachtoffers van phishing te voorkomen? Hoe stimuleert u commerciële oplossingen om verdachte websites te blokkeren, met respect voor netneutraliteit?

Binnen de integrale aanpak cybercrime bestaan er meerdere initiatieven en worden in samenwerking met de Ministeries van Binnenlandse Zaken en Koninkrijkrelaties, en Economische Zaken voorlichtingscampagnes gehouden om ervoor te zorgen dat mensen zich kunnen beschermen tegen phishing. Enkele voorbeelden hiervan zijn de campagnes «Laat je niet interneppen» over online oplichting, «Dubbel beveiligd is dubbel zo veilig» over tweefactorauthenticatie, en «Doe je updates» over het uitvoeren van updates op slimme apparaten. Hierover bent u in de afgelopen Kamerbrief integrale aanpak cybercrime geïnformeerd.
Ik sta in beginsel positief tegenover commerciële oplossingen die mensen tegen online criminaliteit beschermen. Ook dergelijke oplossingen dienen te worden uitgevoerd binnen de geldende wet- en regelgeving.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht: «Digitale werkomgeving OM inderdaad gehackt, onderzoek moet uitwijzen welke informatie is gestolen»?1

Ja.

Vraag 2

Wat werd aangetroffen in de eerste scans van het Nationaal Cyber Security Centrum (NCSC) waaruit bleek dat onbevoegden de systemen van het Openbaar Ministerie (OM) zijn binnengedrongen?

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen had losgekoppeld van het internet. Het NCSC heeft met gerichte scans gezocht naar kwetsbare of mogelijk gecompromitteerde systemen. Een analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er gebruik is gemaakt van deze mogelijke kwetsbaarheid. Het NCSC heeft daarop het OM geïnformeerd en geadviseerd om nader onderzoek te verrichten. Inmiddels is een eerste technisch en forensisch onderzoek uitgevoerd.2 Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 3

Bent u op de hoogte van het soort gegevens dat mogelijk is ingezien of buitgemaakt door onbevoegden? Heeft u gericht maatregelen genomen op basis van deze informatie?

Zoals aangegeven in de beantwoording van vraag 2 is zijn er tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader onderzoek gedaan. Over het lopende strafrechtelijk onderzoek kan ik u gedurende dat onderzoek geen mededelingen doen.

Vraag 4

Zijn er aanwijzingen dat persoonsgegevens van medewerkers, zoals e-mailadressen, inloggegevens, telefoonnummers of privéadressen, zijn buitgemaakt of ingezien door onbevoegden?

Zie antwoord vraag 3.

Vraag 5

Wordt er onderzocht welke gevolgen deze hackaanval kunnen hebben voor de digitale en fysieke veiligheid van OM-medewerkers, met name zij die betrokken zijn bij zware strafzaken ten aanzien van ondermijnende criminaliteit? Zo nee, bent u bereid dit wel te doen?

Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 6

Zijn er aanwijzingen dat persoonsgegevens van getuigen of slachtoffers zijn buitgemaakt of ingezien door onbevoegden? Wat doet u om hun veiligheid te waarborgen?

Zie antwoord vraag 5.

Vraag 7

Is er een (voorlopige) risicoanalyse gemaakt en worden er op basis daarvan al maatregelen genomen om kwetsbaarheden af te dekken, naast het offline halen van het OM?

Er zijn maatregelen genomen om kwetsbaarheden af te dekken. Inmiddels gaat het OM stapsgewijs weer online. Dit proces moet zorgvuldig worden ingericht, met versterkte monitoring en detectie, omdat misbruik nooit helemaal kan worden uitgesloten.3

Vraag 8

Welke overheidsorganisaties maken nog meer gebruik van Citrix-software die dezelfde kwetsbaarheid bevat? Welke maatregelen nemen zij om mogelijke hackaanvallen te onderzoeken en zo nodig hun systemen veilig te stellen, gezien u in de brief van 23 juli j.l. schrijft dat het NCSC heeft geadviseerd dat alle organisaties die deze software gebruiken mogelijk misbruik moeten onderzoeken (Kamerstuk 26 643, nr. 1377)?

Het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk gebruik en misbruik van de kwetsbaarheden, ook als de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek en het handelingsperspectief van het NCSC bij alle departementen middels meerdere CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.
Het NCSC vervult een coördinerende rol in de informatie-uitwisseling door continu informatie samen te brengen en te delen, zodat organisaties zelf in staat zijn aanvullend onderzoek te verrichten. Binnen de juridische kaders verstrekt het NCSC informatie als duiding, handelingsperspectieven en beveiligingsadviezen via verschillende netwerken en (openbare) kanalen aan zowel publieke als private organisaties.
Ik kan alleen ingaan op de organisaties die onder mijn departement vallen en verwijs daarvoor onder meer naar de Kamerbrieven van 17 juli jl.4 en van 12 augustus jl.5

Vraag 9

Hoe wordt actuele en relevante informatie uit het onderzoek van het OM gedeeld met andere organisaties die mogelijk ook zijn getroffen door een hackaanval? Bent u bereid deze informatie ook proactief met commerciële partijen te delen?

Zie antwoord vraag 8.

Vraag 10

Hoe worden ketenpartners waar de systemen van het OM mee zijn geïntegreerd betrokken bij deze operatie? Ontvangen zij ook steun voor het onderzoeken van eigen systemen of om belemmeringen in hun werk te voorkomen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en alle samenwerkingspartners. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen heb ik u op 12 augustus jl. geïnformeerd.6

Vraag 11

Is het mogelijk om het herstel van de OM-systemen sneller te laten verlopen dan de verwachte wekenlange operatie? Zo ja, bent u bereid capaciteit vrij te maken om dit te versnellen?

Op basis van de onderzoeksresultaten van het technisch en forensisch onderzoek – en het naarmate het offline zijn van het OM langer duurt, steeds zwaarwegender belang van het goed functioneren van de strafrechtketen en de impact daarvan op de maatschappij – heeft het College van procureurs-generaal het besluit genomen dat het verantwoord en wenselijk is om het OM weer in fasen online te laten gaan. Over deze stapsgewijze livegang van het OM heb ik uw Kamer op 4 augustus geïnformeerd.7

Vraag 12

Wat zijn de praktische gevolgen van het offline halen van de systemen voor OM-medewerkers en lopende strafzaken? Is de organisatie voldoende uitgerust om taken analoog of met back-up systemen volwaardig op te pakken?

Medewerkers van het OM konden alleen inloggen op kantoorlocaties, waren niet per mail bereikbaar en er was sprake van een beperkte functionaliteit van de systemen.8 In de periode dat het OM geheel offline was kon er geen enkele digitale informatie van en naar het OM worden gestuurd. Dit raakten alle ketenpartners in en rondom de strafrechtketen. Het OM en ketenpartners stelden werkprocessen vast om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren. Daarnaast had het OM speciale aandacht voor het informeren van slachtoffers en hun gemachtigden. Dit toont de inventiviteit, enorme inzet en bereidheid om samen te werken in de strafrechtketen. Over de verdere impact op de organisaties in en rondom de strafrechtketen heb ik u op X augustus geïnformeerd.9

Vraag 13

Worden verdachten, advocaten, rechters en andere betrokkenen in de keten actief geïnformeerd over de gevolgen die zij mogelijk ondervinden?

Het OM heeft Q&A’s geplaatst op de eigen website met daarin de veelgestelde vragen op een rij voor de advocatuur, inclusief een apart overzicht voor slachtofferadvocatuur en daarnaast voor slachtoffers. Ook is informatie over de telefonische bereikbaarheid van het OM opgenomen.10 Deze overzichten worden steeds bijgewerkt. Ook op de website van de Rechtspraak is een overzicht met veelgestelde vragen te vinden over de invloed die de IT-problemen bij het OM kunnen hebben op lopende strafzaken.11 Het CJIB en Slachtofferhulp Nederland (SHN) geven op hun websites aan dat de situatie bij het OM gevolgen heeft voor de eigen werkzaamheden en dat – ook met de gegeven alternatieve oplossingen – als gevolg daarvan slachtoffers in bepaalde gevallen mogelijk minder goed geïnformeerd en/of proactief ondersteund kunnen worden.12

Vraag 14

Wanneer is er sprake van genoeg zekerheid om (delen van) het interne systeem weer online te brengen? Hoe voorkomt u dat er uit haast onvoldoende voorzorg wordt genomen, zolang niet precies bekend is wat de ernst van de hack is?

Zoals reeds aan uw Kamer gemeld, zijn er tot op heden er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Op 4 augustus jl. heb ik u geïnformeerd over het stapsgewijs weer online gaan van de systemen van het OM.13 Dit proces wordt zorgvuldig ingericht met versterkte monitoring en detectie. Ik heb het OM verzocht om bij deze gefaseerde livegang in afstemming met de keten te bezien welke essentiële processen met prioriteit weer gedigitaliseerd doorgang moeten vinden.

Vraag 15

Hoe draagt u bij aan het zo snel mogelijk inzicht krijgen van de gevolgen en het veilig online brengen van de het interne OM-netwerk? Stelt u hiervoor extra capaciteit beschikbaar?

Zie antwoord vraag 14.

Vraag 16

Is de Autoriteit Persoonsgegevens betrokken bij deze operatie? Kunt u hen nauw betrekken zodat er snel gehandeld kan worden als blijkt dat persoonsgegevens ingezien of buitgemaakt zijn?

De Autoriteit Persoonsgegevens is reeds door het OM en JIO ingelicht over de situatie. Waar nodig wordt vanzelfsprekend nauw contact onderhouden met de Autoriteit Persoonsgegevens.

Vraag 17

Heeft u contact gehad met Citrix over de kwetsbaarheid in hun software? Kan de leverancier bijdragen aan een oplossing voor het OM?

Ja, met Citrix is regelmatig contact over de kwetsbaarheden en oplossingen hiervoor.

Vraag 18

Kunt u, zo nodig vertrouwelijk, de Kamer informeren over de interne toelichting die is gegeven aan het OM en bekend is bij het NRC?

Ik acht het niet opportuun om in te gaan op mediaberichtgeving over interne communicatie binnen het OM. Het is aan het OM om daar al dan niet op te reageren. Voor het overige verwijs ik naar de Kamerbrieven die uw Kamer over dit onderwerp zijn toegestuurd.

Vraag 19

Kunt u deze vragen afzonderlijk van elkaar en spoedig beantwoorden, en indien mogelijk betrekken bij de eerstvolgende update over de situatie?

Waar relevant zijn antwoorden samengevoegd om herhaling te voorkomen.

Vraag 1

Bent u bekend met het bericht «WeTransfer haalt gebruik bestanden voor AI-training stilletjes uit voorwaarden»?1

Ja, hier ben ik mee bekend.

Vraag 2

Bent u bekend met de nieuwe gebruiksvoorwaarden van WeTransfer, een dienst waar veel mensen gebruik van maken om grote hoeveelheden data te delen met elkaar?

Ja, hier ben ik mee bekend. Overigens heeft WeTransfer zelf de eerdere berichtgeving hierover weersproken2.

Vraag 3

Is bij u bekend wat de gevolgen zijn van de nieuwe gebruiksvoorwaarden voor de consumenten-, privacy- en auteursrechten van gebruikers, die mogelijk worden geschonden als WeTransfer rechten krijgt over de data van gebruikers? Indien dit niet bekend bij u is, kunt u om een zienswijze vragen van de Autoriteit Consument & Markt (ACM) en/of de Autoriteit Persoonsgegevens (AP)?

Voor mogelijke schending van consumenten- en privacyrecht is het niet aan de regering, maar aan de gebruikers om zich tot de toezichthoudende autoriteit te wenden. Voor zover het de naleving betreft van de Algemene Verordening Gegevensbescherming (AVG) is dat de Autoriteit Persoonsgegevens (AP), nu WeTransfer B.V. haar hoofdzetel heeft in Amsterdam. Met betrekking tot de naleving van het consumentenrecht kan een melding worden gedaan bij de Autoriteit Consument en Markt (ACM). Er is geen toezichthouder voor de naleving van het auteursrecht. Als de voorwaarden die aan de inroepbaarheid van de uitzondering op het auteursrecht (neergelegd in artikel 15o van de Auteurswet) zijn geschonden (zie hierover nader het antwoord het vraag3 en de maker geen toestemming voor het gebruik van zijn werk heeft verleend, dan is sprake van een auteursrechtinbreuk. De maker kan een procedure bij de civiele rechter starten en daarin bijvoorbeeld een verbod en schadevergoeding vorderen.

Vraag 4

Is het trainen van AI-modellen op grote hoeveelheden data van gebruikers door techbedrijven, zoals mogelijk het geval is bij WeTransfer en eerder al het geval was bij Meta,2 toegestaan binnen de Nederlandse en Europese wet- en regelgeving? Welke beperkingen kent deze praktijk?

Het trainen van AI-modellen met data van gebruikers is onder bepaalde voorwaarden toegestaan. Het Europese Comité voor gegevensbescherming (EDPB), waarin de Europese toezichthouders samenwerken, heeft op 18 december 2024 een advies aangenomen over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen.5 Uit dat advies van de EDPB volgt dat een verwerkingsverantwoordelijke een gerechtvaardigd belang (artikel 6, eerste lid onder f AVG) kan hebben bij het gebruik van persoonsgegevens voor de ontwikkeling van een AI-model. Daarbij noemt de EDPB diverse voorwaarden voor het gebruik van deze grondslag bij het verwerken van persoonsgegevens ten behoeve van het ontwikkelen of inzetten van een AI-model. Een van die voorwaarden is dat uit een belangenafweging moet blijken dat het gebruik van persoonsgegevens noodzakelijk is en dat hetzelfde doel niet kan worden bereikt met, bijvoorbeeld, geanonimiseerde gegevens. In deze afweging spelen de redelijke verwachtingen van de betrokkenen een belangrijke rol. Bij het vaststellen daarvan dient onder meer rekening te worden gehouden met de context van de verwerking en de informatie die de verwerkingsverantwoordelijke aan de betrokkene aanbiedt. De verwerkingsverantwoordelijke kan daarbij op de concrete omstandigheden van het geval toegespitste maatregelen nemen om de impact van de verwerking op de belangen van de betrokkengebruikers te mitigeren. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of (en zo ja: welke) stappen moeten worden ondernomen tegen een vorm van verwerking.
In het geval AI-modellen worden getraind met auteursrechtelijk beschermde werken, geldt het volgende regime. De AI-verordening bepaalt dat het trainen van generatieve AI een vorm van tekst- en datamining is. Artikel 15o van de Auteurswet bepaalt dat het maken van een reproductie van een werk van letterkunde, wetenschap of kunst ten behoeve van tekst- en datamining onder bepaalde voorwaarden niet als inbreuk op het auteursrecht op het werk wordt beschouwd.6 Een reproductie van een werk mag zonder toestemming van de maker van het werk worden gemaakt, mits: (1) degene die de tekst- en datamining verricht rechtmatig toegang heeft tot het werk en (2) het auteursrecht door de maker of zijn rechtverkrijgenden niet uitdrukkelijk op passende wijze is voorbehouden. De reproductie mag slechts bewaard blijven zolang dat nodig is voor tekst- en datamining en moet daarna worden verwijderd.
Tot slot heeft de Europese Commissie op 10 juli 2025 de General-Purpose AI Code of Practice (GPAI-CoP) heeft gepubliceerd7. Deze (vrijwillige) gedragscode bundelt de belangrijkste uitgangspunten voor aanbieders in drie thematische hoofdstukken. Ook transparantie en auteursrecht maken daarvan onderdeel uit.

Vraag 5

Bent u van mening dat het beschikbaar stellen van gegevens voor doorverkoop en AI-trainingsdoeleinden ten alle tijden een goed geïnformeerde en individuele keuze voor gebruikers moet zijn?

In zijn algemeenheid merk ik op dat, zoals gezegd onder antwoord 4, de AVG ruimte biedt om – ook zonder toestemming van de betrokkene – op basis van de verwerkingsgrondslag «gerechtvaardigd belang» persoonsgegevens te verwerken. Of deze grondslag in een concrete situatie kan worden ingeroepen, wordt bepaald door de omstandigheden van het geval. De beoordeling daarvan komt (zoals toegelicht bij antwoord8 niet toe aan de regering en is aan de toezichthoudende autoriteit. Zij kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.
Artikel 15o van de Auteurswet schrijft, in het voetspoor van de EU-richtlijn auteursrecht in de digitale eengemaakte markt, voor dat het auteursrecht door de maker uitdrukkelijk op passende wijze kan worden voorbehouden zoals door middel van machinaal leesbare middelen bij een online ter beschikking gesteld werk (opt-out). Uit overweging 18 van de voornoemde richtlijn blijkt dat de rechthebbenden specifiek de rechten om reproducties te maken en opvragingen te verrichten ten behoeve van tekst- en datamining op passende wijze kunnen voorbehouden. Bij content die online voor het publiek beschikbaar is gesteld, moet het voorbehouden van die rechten enkel als passend worden beschouwd indien hierbij machinaal leesbare middelen worden gebruikt, waaronder metagegevens en de voorwaarden van een website of een dienst. In andere gevallen dan online gebruik kan het passend zijn om rechten voor te behouden met behulp van andere middelen, zoals contractuele overeenkomsten of een eenzijdige verklaring.

Vraag 6

Welke mogelijkheden heeft u om, nationaal of Europees, het afstaan van gegevens voor doorverkoop en AI-trainingsdoeleinden altijd een «opt-in» te maken? Zijn daartoe aanpassingen nodig van het consumentenrecht?

Een dergelijke «opt-in» zou veronderstellen dat de onderhavige verwerkingsvorm alleen rechtmatig is wanneer deze op toestemming van de gebruikers berust. Zoals ik in antwoorden 4 en 5 aangaf, kan onder omstandigheden ook de verwerkingsgrondslag «gerechtvaardigd belang» worden ingeroepen. Daarvoor weegt mee of de verwerkingsverantwoordelijke voldoende maatregelen heeft genomen om de impact van een gegevensverwerking op de belangen van betrokkenen te beperken. Het bieden van een onvoorwaardelijke «opt-out» kan volgens het eerdergenoemde advies van de EDPB worden beschouwd als een maatregel die de controle van individuen over de verwerking van hun persoonsgegevens versterkt.9 In artikel 4 van de Europese richtlijn auteursrecht in de digitale eengemaakte markt10 is ook gekozen voor een opt-out in plaats van een opt-in systeem. De AI-verordening haakt daarbij aan en bouwt daarop voort. De voornoemde richtlijn wordt volgend jaar onder het gezag van de Europese Commissie geëvalueerd.

Vraag 7

Bent u bereid om in gesprek te gaan met WeTransfer, een Nederlands bedrijf, om helderheid te krijgen over de gevolgen van de nieuwe voorwaarden en een garantie te krijgen dat data gewoon van de gebruikers blijft?

Dat zou een taak van de onafhankelijke toezichthouder zijn, indien deze dat opportuun vindt. In het stelsel van de AVG is het aan verwerkingsverantwoordelijken om verplichtingen na te leven, aan de betrokkenen om rechten uit te oefenen en is het toezicht bij onafhankelijke instanties belegd. Deze onafhankelijkheid vind ik belangrijk en ik wil dit dan ook niet doorkruisen.

Vraag 8

Kunt de vragen afzonderlijk van elkaar en vóór 8 augustus, wanneer de nieuwe gebruiksvoorwaarden ingaan, beantwoorden?

De vragen zijn afzonderlijk en zo snel mogelijk beantwoord.

Vraag 1

Zijn uw uitspraken in de uitzending van Goedenavond Nederland op maandag 14 juli jl.,1 over de afhankelijkheid van Amerikaanse techgiganten, representatief voor het kabinetsstandpunt?

Hoewel gechargeerd, is het zo dat de Europese cloudmarkt niet goed functioneert. Zie verder het antwoord op vraag 2.

Vraag 2

Wat bedoelde u precies met de uitspraak: «We hebben geen Europese cloudbedrijven»? In welke zin zit Nederland in een «hele ongemakkelijke positie tegenover de grote techbedrijven»?

Vier grote niet-Europese bedrijven domineren op dit moment wereldwijd de markt voor openbare cloudinfrastructuur2: Amazon, Microsoft, Google Cloud Platform en het Chinese Alibaba (vooral actief op de Chinese markt). De Nederlandse markt lijkt in grote lijnen op de Europese markt, met dominante posities voor met name de Amerikaanse aanbieders Amazon en Microsoft. Daarnaast zijn er nog een aantal andere Europese partijen actief, die relatief jong en klein zijn op de markt voor clouddiensten. De ACM verwacht dat de consolidatie in de markt voor clouddiensten verder doorzet als gevolg van onder meer schaalvoordelen en netwerkeffecten.3 Het is voor kleinere spelers moeilijk om effectief met grote geïntegreerde aanbieders te concurreren. Nederlandse bedrijven en consumenten zijn als afnemers van clouddiensten grotendeels afhankelijk van grote technologiebedrijven uit de VS. De toenemende consolidatie in combinatie met overstapdrempels (er is sprake van vendor lock-in) en gebrekkige dataportabiliteit en cloudinteroperabiliteit vergroten deze afhankelijkheid.

Vraag 3

Noopt de hele ongemakkelijke positie van Nederland tegenover de grote techbedrijven niet tot het nemen van maatregelen om op zo kort mogelijke termijn de afhankelijkheid af te bouwen?

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de in het vierde kwartaal verwachte Visie digitale autonomie en soevereiniteit overheid.
Het afbouwen van afhankelijkheden nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten voor de (rijks)overheid, conform de motie Kathmann.4
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Vraag 4

Kunt u bondig het kabinetsstandpunt over digitale autonomie toelichten? Op welke manier is het Ministerie van Justitie en Veiligheid verantwoordelijk voor het vergroten van de digitale autonomie?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Voor een overzicht van de verdere Nederlandse inzet op Europees niveau omtrent cloudsoevereiniteit verwijzen wij u graag door naar het recent gepubliceerde non-paper «Versterken van cloudsoevereiniteit van overheden».5
JenV is, net als andere departementen, medeverantwoordelijk voor de digitale autonomie en specifiek voor de digitale autonomie binnen het eigen verantwoordelijkheidsdomein.

Vraag 5

Wat is het kabinetsstandpunt over een Europese digitale taks voor Amerikaanse techbedrijven? Hoort dit wat u betreft tot de mogelijkheden voor een Europese reactie op de aangekondigde Amerikaanse importheffingen? Acht u dit in het belang van Nederland?

Op 21 augustus jl. hebben de EU en de VS een gemeenschappelijke verklaring met handelsafspraken gepubliceerd.6 In navolging daarvan heeft de EU de inwerkingtreding van de op 24 juli jl. vastgestelde rebalancerende maatregelen jegens de VS tot februari 2026 opgeschort.7 Voorlopig is van een Europese tegenmaatregel naar aanleiding van de verhoogde Amerikaanse importheffingen dus geen sprake. Tegelijkertijd valt het niet uit te sluiten dat de Europese rebalancerende maatregelen jegens de VS in de toekomst alsnog in werking treden of dat toekomstige ontwikkelingen aanleiding geven tot voorstellen voor nieuwe vormen van rebalancerende maatregelen. Het kabinet zal voorstellen daartoe te zijner tijd op hun eigen merites beoordelen.

Vraag 6

Kunt u toezeggen dat ook het Ministerie van Justitie en Veiligheid zich zal inspannen voor het vergroten van de digitale autonomie van Nederland, onder andere door zelf meer Europese alternatieve digitale diensten af te nemen, in lijn met alle aangenomen Kamermoties?2

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Zie verder het antwoord op vraag 3.

Vraag 7

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Er heeft departementale afstemming plaatsgevonden en zowel het Ministerie van Justitie en Veiligheid als het Ministerie van Binnenlandse zaken is akkoord met de beantwoording van deze vragen.

Vraag 1

Bent u bekend met het artikel «In de strijd tegen deepfakes krijgen Denen copyright op eigen gezicht en stem»?

Ja.

Vraag 2

Deelt u de opvatting van de stichting Stop Online Shaming dat de politie, justitie en de Autoriteit Persoonsgegevens «blijkbaar niet de capaciteit en prioriteit [hebben] om partijen en personen die dit uploaden en verspreiden aan te pakken»?

Het kabinet erkent de grote impact die bepaalde deepfakes en online misbruik hebben op slachtoffers. Effectieve handhaving en bescherming van slachtoffers zijn van groot belang. De beleidsreactie op het rapport «Online seksueel geweld» van 21 maart 20252 zal ik u in het najaar doen toekomen, hierin wordt onder meer gereflecteerd op de capaciteit en prioriteit van onder andere de politie, het OM, de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument en Markt (ACM) voor de problematiek rondom online misbruik.
Het is daarnaast belangrijk om te benoemen dat het in de praktijk helaas soms lastig is om effectief op te treden tegen deepfake porno, omdat aanbieders van deepfake-websites vaak niet transparant zijn over hun identiteit of hun vertegenwoordiging binnen de EU. Dit bemoeilijkt het vaststellen van de juiste verantwoordelijke partij en daarmee de handhaving. Ook blijkt dat wanneer de identiteit van deze partijen wel te achterhalen is, zij niet in Nederland, of zelfs niet in de EU, gevestigd zijn, wat handhaving bemoeilijkt.

Vraag 3

Wat vindt u ervan dat de stichting Stop Online Shaming geregeld zaken aanvoert bij grote techbedrijven, maar dat deze bedrijven weigeren mee te werken?

Grote techbedrijven hebben de verantwoordelijkheid om zich te houden aan geldende wet- en regelgeving en daarmee illegale inhoud tegen te gaan. Op grond van de Digitale Services Act (DSA) rust op zeer grote online platforms en zeer grote online zoekmachines de verantwoordelijkheid om illegale inhoud op hun diensten tegen te gaan en systeemrisico’s te mitigeren, onder meer door het voor gebruikers van de platforms mogelijk te maken om illegale inhoud op eenvoudige wijze te melden.
Zeer grote online platforms en zoekmachines zijn daarnaast verplicht jaarlijks een risicobeoordeling uit te voeren om systeemrisico’s, zoals schadelijke deepfakes, te identificeren. Indien relevante risico’s aanwezig zijn, dan moeten zij passende maatregelen nemen om deze te beperken, zoals aanpassingen in diensten, de interface, algemene voorwaarden, moderatieprocedures en/of algoritmes. Indien een platform systematisch nalaat om adequaat op meldingen te reageren, kunnen nationale toezichthouders of de Europese Commissie daarop handhaven, bijvoorbeeld door boetes op te leggen. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, een gerechtelijke procedure te starten.
Dat organisaties burgers vertegenwoordigen of ondersteunen, kan in het algemeen bijdragen aan de effectieve handhaving van gebruikersrechten onder de Digitaledienstenverordening (hierna: de DSA) en aan een betere rechtsbescherming in de digitale omgeving.

Vraag 4

Wat gaat u doen om ervoor te zorgen dat grote techbedrijven hun verantwoordelijkheid gaan nemen om mensen te beschermen tegen online grensoverschrijdend gedrag, zoals het verspreiden van pornografische deepfakes?

Het kabinet is zich bewust van de enorme impact die online grensoverschrijdend gedrag, zoals het verspreiden van pornografische deepfakes, kan hebben op slachtoffers. Zoals gemeld in mijn antwoord op vraag 3 beoogt de DSA de verspreiding van illegale inhoud en systeemrisico’s aan te pakken. Dat betreft vaak ook deepfake-pornobeelden, omdat die veelal illegaal zijn en dus onder toepassingsbereik van de DSA vallen.3 Onder meer de verantwoordelijke onafhankelijke toezichthouders kunnen optreden tegen bedrijven die bijdragen aan de creatie of verspreiding van dergelijk materiaal.
Daarnaast vindt er vanuit mijn departement en onder andere het Ministerie van Economische Zaken en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties regelmatig overleg plaats met techbedrijven. Om de brede dialoog over online content te ondersteunen, is in 2023 – onder neutraal voorzitterschap van ECP4 – een overlegplatform opgericht waarin publieke en private partijen uitdagingen en ontwikkelingen op het gebied online contentmoderatie uitwisselen. Daarnaast ondersteunt het Ministerie van Justitie en Veiligheid het meldpunt Helpwanted van stichting Offlimits, om het voor burgers eenvoudiger te maken om hulp te zoeken en melding te doen van illegale content met als doel om dit snel verwijderd te krijgen. Offlimits onderhoudt contacten met platformen en heeft op 15 juli jl. de status van betrouwbare flagger toegewezen gekregen door de ACM. Hiermee is haar rol in het signaleren en melden van illegale inhoud geformaliseerd onder de DSA.

Vraag 5

Welke juridische grondslag is er in Nederland om ongewenste deepfakes aan te pakken? In hoeverre is de bestaande auteursrechtwetgeving hiervoor geschikt?

Het Nederlandse recht biedt een breed scala aan instrumenten om ongewenste deepfakes aan te pakken, zowel civiel-, straf- als bestuursrechtelijk.5 Bij verwerking van persoonsgegevens in deepfakes, zoals gezichtskenmerken of stem, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Zo verbiedt de AVG het maken en verspreiden – buiten de huiselijke sfeer – van deepfakes waarin persoonsgegevens zijn verwerkt zonder een verwerkingsgrondslag. In de praktijk is daardoor een deepfake die zonder toestemming is gemaakt, zeker als daarin gevoelige (bijvoorbeeld seksuele) content is te zien, strijdig met de AVG. De betrokkene kan een klacht indienen bij de AP wanneer het gaat om (deepfake)content waarbij onrechtmatig persoonsgegevens zijn verwerkt.
Het toepassen van deepfake-technologie kan onder omstandigheden een onrechtmatige daad vormen. Dit zal standaard het geval zijn bij publicatie van pornografische deepfakes die zonder toestemming zijn vervaardigd, maar kan bijvoorbeeld ook het geval zijn bij de imitatie van stemmen. Ook uit de regeling van het portretrecht in de Auteurswet volgt dat publicatie van een portret dat niet in opdracht is gemaakt (zoals bij deepfakes veelal het geval zal zijn) niet geoorloofd is als een redelijk belang van de geportretteerde zich tegen de openbaarmaking verzet (artikel 21 Auteurswet).
De DSA verplicht online platforms om het melden van illegale inhoud, zoals ongeoorloofde deepfakes, mogelijk te maken.6 Als zij vervolgens geen actie ondernemen op zulke meldingen dan kunnen zij er, mits aan de overige voorwaarden daarvoor is voldaan, zelf aansprakelijk voor worden gesteld. Als een platform structureel tekortschiet in de afhandeling van dit soort meldingen, kunnen daarnaast toezichthouders daar tegen optreden, bijvoorbeeld middels het opleggen van een boete. De DSA geeft gebruikers bovendien het recht om een klacht te kunnen indienen bij platformen, en in sommige gevallen kunnen gebruikers naar een onafhankelijke geschilbeslechtingscommissie om besluiten van platformen aan te vechten. Zoals toegelicht bij het antwoord op vraag 4, zijn zeer grote online platformen en zeer grote online zoekmachines op grond van de DSA verder verplicht om de systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content, zoals deepfakes, te identificeren en te beperken. De transparantieverplichtingen uit de AI-verordening7 vereenvoudigen de opsporing van dergelijke, kunstmatig gegenereerde, content en het AI-systeem daarachter.
Het strafrecht, met onder meer artikel 254ba Sr (Wet seksuele misdrijven, in werking getreden per 1 juli 2024), stelt het zonder instemming maken of verspreiden van seksueel beeldmateriaal strafbaar, ongeacht of dit door een persoon of AI is vervaardigd. Ook andere strafrechtelijke bepalingen, zoals doxing (art. 285d Sr) en smaad/laster (art. 261 Sr), kunnen van toepassing zijn.

Vraag 6

Gaat u naar Deens voorbeeld het auteursrecht uitbreiden door mensen copyright te geven op hun uiterlijk en stem, en grote techbedrijven aansprakelijk stellen voor het weghalen van ongewenste deepfakes?

Het Nederlandse recht biedt voldoende mogelijkheden voor juridische (civiele) vervolgstappen, strafrechtelijke vervolging en bestuursrechtelijke handhaving. Eerder werd door mijn ambtsvoorganger en de toenmalig Minister voor Rechtsbescherming naar aanleiding van de uitkomst van onderzoeken van het WODC geconstateerd dat het wettelijk kader voldoende mogelijkheden biedt om het onwenselijke gebruik van deepfaketechnologie te adresseren.8 Zoals hiervoor genoemd kunnen online platforms onder voorwaarden al aansprakelijk worden gesteld als zij geen medewerking verlenen aan het verwijderen van illegale content.
Recentelijk werd voor wat betreft pornografische deepfakes in het eerder genoemde rapport «Online seksueel geweld» geconcludeerd dat het bestrijden van online seksueel misbruik niet wordt belemmerd door een gebrek aan regelgeving.9 Hier komt bij dat het auteursrecht in de kern bedoeld is om de maker van een werk van letterkunde, wetenschap of kunst in staat te stellen het werk te (laten) exploiteren. Introductie van een auteursrecht op iets dat op zichzelf beschouwd geen creatieve prestatie is (een stem of beeltenis) en dat tot doel heeft openbaarmaking te voorkomen, staat daar haaks op. De Staatssecretaris van Justitie en Veiligheid ziet dan ook geen aanleiding om over te gaan tot aanpassing van wetgeving.

Vraag 1

Bent u bekend met het bericht «Demissionair de cloud in denderen: doe het niet»?1

Ja.

Vraag 2

Wat geeft de rijksoverheid in totaal uit aan Microsoft-producten?2

In het notaoverleg «Wolken aan de horizon» d.d. 2 juni jl. is reeds toegezegd aan de Tweede Kamer een overzicht te bieden van de gecontracteerde hoeveelheid aanbestedingen die uiteindelijk door de ministeries via SLM Rijk goedgekeurd zijn. Dit onderzoek loopt.

Vraag 3

Wanneer moeten alle departementen en overheidsorganisaties uiterlijk besluiten of zij wel of niet hun mailverkeer en gegevens in eigen beheer gaan nemen als de ondersteuning van Microsoft Exchange afloopt op 14 oktober 2025?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
Hoewel de technische ondersteuning van bepaalde versies van Exchange stopt op 14 oktober 2025, heeft de leverancier al een nieuwere on-premise versie gelanceerd die wel ondersteund wordt.3
Feitelijk is de situatie dat alleen voor Microsoft Exchange 2016 en Microsoft Exchange 2019 vanaf 14 oktober 2025 geen support of beveiligingsupdates meer geleverd worden.
Ook zonder de door de leverancier aanbevolen upgrade door te voeren, zal de maildienst niet per 14 oktober ophouden met functioneren en gaat de maildienst ook niet automatisch uit eigen beheer. Voor blijvend betrouwbaar functioneren van de maildienst is een upgrade door Microsoft beschikbaar gesteld. Deze is bekend bij de dienstverleners van de Rijksoverheid.

Vraag 4

Heeft de demissionaire status van het kabinet gevolgen voor besluitvorming van departementen over het wel of niet in beheer nemen van mailverkeer en gegevens?

Lopend beleid mag ten tijde van een demissionair kabinet worden uitgevoerd. Er zijn op dit moment bovendien geen zaken op digitaal terrein controversieel verklaard.

Vraag 5

Welke departementen en organisaties zijn nu van plan om mailverkeer en gegevens in eigen beheer te nemen, welke hebben besloten dit niet te doen en welke moeten het besluit nog nemen?

Ten behoeve van de beantwoording van deze vraag is een uitvraag bij de grootste ICT-dienstverleners van de Rijksoverheid gedaan. Voor alle departementen geldt dat beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaatsvindt, behoudens de Ministeries van Economische Zaken (EZ), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Klimaat en Groene Groei (KGG), waar -ook na 14 oktober- sprake is van een hybride situatie.
Ook bij een groot aantal uitvoeringsorganisaties als DUO, Rijkswaterstaat en Dienst Justitiële Inrichtingen vindt beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaats. Dit geldt ook voor de Belastingdienst, Toeslagen en de Douane. Wel heeft de Belastingdienst in het Jaarplan 2025, dat uw Kamer op 11 december 2024 heeft ontvangen, aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.

Vraag 6

Kunt u, in het licht van de recente sancties richting het Internationaal Strafhof, aangeven of mailverkeer en gegevens binnen de justitiële keten in Nederland vanaf 14 oktober 2025 in eigen beheer blijven?3

Het kabinet is zich ervan bewust dat afhankelijkheid van een klein aantal techaanbieders voor digitale diensten zorgt voor risico's op het vlak van o.a. concurrentiepositie, digitale open strategische autonomie en continuïteit van dienstverlening. Om deze risico’s te mitigeren wordt in het kader van onder meer de vernieuwing van het cloudbeleid voor de (rijks)overheid gekeken naar mogelijkheden om cloudtechnologie op verantwoorde wijze in te zetten.
Ook binnen de Justitiële keten bestaat aandacht voor deze risico’s en maken organisaties in overleg met hun ICT-leverancier passende keuzes om deze te mitigeren. Zo wordt bij de Hoge Raad de email verzonden, ontvangen en opgeslagen op servers die in eigen beheer zijn en verbiedt het cloudbeleid van de rechtspraak het gebruik van de cloud voor primaire processystemen. Voor de bedrijfsvoering maakt de Rechtspraak gebruik van Microsoft Exchange Online.
De Amerikaanse sancties tegen het Internationaal Strafhof zijn een specifieke maatregel voor een specifieke situatie en hebben geen inhoudelijke koppeling met onze nationale ICT-infrastructuur.

Vraag 7

Wat zijn de politie, het Openbaar Ministerie, de Raad voor de Rechtspraak en de Hoge Raad van plan te doen vanaf 14 oktober 2025? Worden deze organisaties eveneens kwetsbaar voor Amerikaanse sancties?

Zie antwoord vraag 6.

Vraag 8

Kunt u bevestigen dat het Shared Service Center ICT (SSC-ICT) de migratie van 57.000 werkplekken van ambtenaren naar de Microsoft-cloud definitief niet doorzet en mailverkeer en gegevens zelf blijft beheren?

U bent per Kamerbrief reeds geïnformeerd over de geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland, waaronder de migratie van de werkplekken van SSC-ICT.5

Vraag 9

Bent u bereid om, in lijn met de vele aangenomen Kamermoties die de digitale soevereiniteit van de overheid aanjagen, ervoor te zorgen dat alle departementen en overheidsorganisaties het goede voorbeeld van SSC-ICT volgen en gegevens in eigen beheer houden?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.

Vraag 10

Kunt u toezeggen dat u en uw collega’s geen onomkeerbare stappen zullen zetten die de digitale afhankelijkheid van de Verenigde Staten (VS) doen toenemen, tenzij de Kamer anders besluit?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd moeten we als EU zelf meer verantwoordelijkheid nemen en ook eensgezind optrekken waar het onze kernbelangen betreft. Ik ben het wel met u eens dat een te grote afhankelijkheid van één of een enkele marktpartij(en) ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet ik mij deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten. Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldige afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit Overheid.

Vraag 11

Bent u bereid om departementen en organisaties te helpen om mailverkeer en gegevens in eigen beheer te houden vanaf 14 oktober 2025, zodat de strategische afhankelijkheid van de VS niet groeit?

Zie de beantwoording van vraag 10. Voor het overgrote deel van de departementen en organisaties geldt dat zij dit al in eigen beheer hebben. De afweging om dit wel of niet zo te houden, is een departementale verantwoordelijkheid. De departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. CIO Rijk faciliteert het uitvoeren van goede risicoanalyses met beleid en handreikingen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en minstens één week voor het zomerreces beantwoorden?

De Kamervragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1 Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat het UWV en de SVB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Ja. SZW (inclusief de Nederlandse Arbeidsinspectie), UWV en de SVB volgen de geopolitieke ontwikkelingen en de reacties vanuit de Tweede Kamer en de demissionair Minister van Binnenlandse Zaken en Koninkrijksrelaties nauwgezet. De herziening van het rijksbreed cloudbeleid zal leiden tot een herziening van het eigen cloudbeleid. Aan de hand van het herziene beleid worden de keuzes voor digitale middelen geëvalueerd. Voor de UWV en SVB geldt dat zij niet vallen onder het rijkscloudbeleid, maar wel de belangrijke elementen uit het rijkscloudbeleid overnemen in hun eigen cloudbeleid.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Voor SZW geldt dat er geen processen, registers, (mail)communicatiediensten en/of organisatieonderdelen zijn ondergebracht in de public cloud van Amerikaanse dienstverleners. SZW maakt wel gebruik van een aantal softwareleveranciers die applicaties als SaaS (Software as a Service) oplossing leveren en daarbij gebruik maken van Amerikaanse clouddienstverleners. Dit betreft diverse nuttige tools, websites en een tiental toepassingen ter ondersteuning van processen voor de primaire taak van de organisatie. Verder maakt SZW gebruik van de rijkswerkplek, inclusief communicatiediensten, die door SSC-ICT (BZK) wordt geleverd.
UWV maakt gebruik van dienstverlening van Microsoft volgens de afspraken van SLM (Strategisch Leveranciersmanagement) Microsoft Rijk voor kantoorautomatisering. Daarnaast wordt er voor enkele niet-primaire processen gebruik gemaakt van ondersteunende software van een Amerikaanse leverancier.
De SVB gebruikt in beperkte mate clouddiensten voor primaire processen waar het risicoprofiel dat toestaat. Voor de secundaire processen wordt gebruik gemaakt van clouddiensten voor publicatieprocessen, communicatiediensten, samenwerkingsprocessen, datawarehouse-/ business intelligenceprocessen, en IT-systeemontwikkelprocessen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
SZW heeft geen geplande of voorgenomen migratie naar clouddiensten van Amerikaanse dienstverleners, zoals ook gecommuniceerd in de kamerbrief van november vorig jaar.
UWV maakt gebruik van verschillende Microsoft clouddiensten, waarbij een traject richting het gebruik van een vernieuwd CRM (Customer Relationship Management)-systeem voor toepassing binnen de dienstverlening van UWV zich in implementatie bevindt. Ook heeft UWV onlangs een aanbesteding voor een nieuwe ERP (Enterprise Resource Planning)-systeem gepubliceerd. Cloudgebruik vormt hierin een belangrijk uitgangspunt.
De SVB voorziet op dit moment geen grootschalige nieuwe migraties naar clouddiensten van Amerikaanse dienstverleners. Wel wordt op dit moment ingezet op Azure cloud voor de uitwijkvoorziening voor de kleine regeling van Verzetsstrijders en oorlogsslachtoffers (V&O). Er wordt daarnaast voortgebouwd op het bestaande gebruik van Microsoft 365 en Azure, binnen de kaders van het centrale Rijkscontract. Hiertoe is de SVB genoodzaakt omdat er geen alternatieven in infrastructuur zijn.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Voor SZW geldt dat de gevolgen van eventuele uitval van de dienstverlening hoogstwaarschijnlijk te ondervangen is door een andere werkwijze waarbij de impact voor de burgers en samenleving klein is. Ook is binnen SZW een programma digitale weerbaarheid gestart om dergelijke risico’s verder te mitigeren.
UWV is voor de continuïteit van zijn dienstverlening afhankelijk van IT-dienstverleners. Om mogelijke problemen te ondervangen zijn in het kader van Business Continuity Management samen met SZW, ketenpartners en leveranciers crisisplannen opgesteld om essentiële bedrijfsprocessen te blijven uitvoeren, ondanks externe afhankelijkheden. In het licht van de toegenomen aandacht voor digitale weerbaarheid heeft UWV zijn inzet op Business Continuity Management geïntensiveerd.
Voor de SVB geldt dat de informatiesystemen voor de uitvoering van de verschillende wetten en regelingen zelf niet in de publieke cloud draaien, met uitzondering van de kleinschalige regeling V&O. Een abrupte ontzegging van toegang tot Amerikaanse clouddiensten raakt wel essentiële ondersteunende processen zoals e-mail, samenwerking (via Teams), documentuitwisseling, ontwikkelomgevingen, web portalen en securitymonitoring en leidt daarmee tot verstoring in de dienstverlening. Bovendien wordt een deel van de communicatiestructuur getroffen. De huidige regelingen worden met het kernsysteem buiten de cloud uitgevoerd.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
SZW volgt het rijkscloudbeleid, waarin altijd een risicoafweging wordt gemaakt. Op dit moment is geen sprake van opslag van bijzondere persoonsgegevens in de public cloud van Amerikaanse dienstverleners buiten de Europese Economische Ruimte (EER).
Ook UWV volgt, hoewel niet verplicht voor zbo’s, het Rijksbrede cloudbeleid en bijbehorende voorwaarden met bijbehorende risicoafweging voor gebruik van clouddiensten. Opslag en verwerking van persoonsgegevens vindt plaats conform geldende privacy-vereisten uit de Algemene verordening gegevensbescherming (AVG). UWV hanteert binnen het primaire proces als beleidsuitgangspunt dat persoonsgegevens in zaakdossiers verwerkt worden. Op dit moment worden voor zover UWV bekend zaakdossiers enkel binnen de EER verwerkt.
De SVB is zich bewust van de risico’s die voortvloeien uit Amerikaanse wetgeving. Daarom worden binnen publieke clouddiensten van Amerikaanse aanbieders géén bijzondere persoonsgegevens verwerkt. Bij het gebruik van Azure kiest de SVB expliciet voor datacenters binnen de EU, conform het principe van datalokalisatie. De continuïteit van de dienstverlening is maatschappelijk relevant, wat aanleiding is voor zorgvuldige inzet van digitale infrastructuur en leveranciersbinding.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
SZW, UWV en de SVB kijken heel zorgvuldig naar de risico’s, en hebben geen migraties stopgezet of heroverwogen naar aanleiding van de motie.

Vraag 8

Hoe geven uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

SZW, UWV en de SVB volgen de geopolitieke ontwikkelingen en de reacties vanuit de Tweede Kamer en de demissionair Minister van BZK nauwgezet. Dit zal leiden tot een herziening van het rijkscloudbeleid en daarmee ook aanscherping van het eigen cloudbeleid van SZW, UWV en de SVB en strikte toetsing op elke voorgenomen uitbreiding.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.
Bij het antwoord op vraag 5 zijn de overwegingen uiteengezet. SZW volgt het herziene rijksbrede cloudbeleid.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon»5 van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1

Ja.

Vraag 2

Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 3

Kunt u bevestigen dat Dienst Uitvoering Onderwijs (DUO), die Business News Radio (BNR) met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Het Ministerie van OCW volgt de ontwikkelingen en de reacties vanuit de Tweede Kamer, de Staatssecretaris Digitalisering (BZK) en CIO Rijk nauwgezet. Dit zal leiden tot een herziening van het Rijkscloudbeleid en het OCW Cloudbeleid wat na de zomer wordt verwacht. Het OCW Cloudbeleid is een afgeleide van het Rijkscloudbeleid en vertaalt dit beleid naar de OCW specifieke situatie. Aan de hand daarvan zal OCW de keuzes die OCW (inclusief DUO) heeft gemaakt en nog gaat maken evalueren/heroverwegen.

Vraag 4

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen, die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Binnen het Ministerie van OCW zijn geen primaire processen of registers ondergebracht in de cloud van Amerikaanse dienstverleners. Wel is de werkplek van OCW afhankelijk van Amerikaanse producten. Overheidsdata die met behulp van Amerikaanse producten, zoals die van Microsoft, worden geproduceerd, zijn voornamelijk in de eigen OCW-infrastructuur opgeslagen. OCW heeft de keus voor de Amerikaanse producten destijds zorgvuldig afgewogen tegen het huidige Rijkscloudbeleid en OCW Cloudbeleid en die keus voldoet dan ook aan dit beleid.
Hiernaast wordt op korte termijn binnen het Ministerie van OCW een klantcontactsysteem (Microsoft Dynamics 365) gebruikt door DUO welke ondergebracht is in de cloud van een Amerikaanse dienstverlener.
Met inachtneming van de reactie op de moties van 18 maart 20253, wordt nu extra aandacht besteed aan bijvoorbeeld concrete exit-strategieën.

Vraag 5

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DUO en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20244is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In bovengenoemde kamerbrief heeft OCW aangegeven bezig te zijn met het verder implementeren van (cloud) functionaliteiten van de werkplek. Op dit moment is de implementatie nog in onderzoek en zijn geen besluiten genomen.

Vraag 6

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Bij ontzegging van gebruik van niet-Europese producten zal de ICT van vrijwel alle primaire processen en de werkplek-omgeving niet meer beschikbaar zijn. Daarmee kan OCW de digitale dienstverlening niet meer garanderen. OCW zal dan zo snel mogelijk alternatieven moeten implementeren. Dit zal veel tijd kosten. Dit geldt voor vrijwel alle overheidsorganisaties.

Vraag 7

Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving?

Zie vraag 6.

Vraag 8

Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Zie vraag 6.

Vraag 9

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DUO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 10

Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Zie vraag 9.

Vraag 11

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie van het lid Kathmann c.s. die hiertoe oproept?3

Bij iedere migratie naar de public cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.

Vraag 12

Hoe geven uw departement, DUO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie van het lid Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Zie vraag 5.
Deze doelstelling wordt gehanteerd bij inrichting van de digitale dienstverlening.
OCW volgt de ontwikkelingen en de reacties vanuit de Tweede Kamer, de Staatssecretaris Digitalisering en CIO Rijk nauwgezet. De geopolitieke ontwikkelingen en de moties in de Tweede Kamer leiden binnen OCW al tot een andere risico-inschatting van aanbieders en levering van ICT-producten en -diensten.

Vraag 13

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

OCW maakt voor al haar technologiekeuzes een weloverwogen afweging op basis van kaders vanuit beleid, risico’s en bedrijfsbehoeften. Het te herziene rijksbrede cloudbeleid is voor OCW hierin van grote waarde om toekomstige keuzes vorm te geven. OCW zal strategische autonomie van Nederland en Europa bevorderen.

Vraag 14

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni 2025?5

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat Rijkswaterstaat, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Sinds december 2023 geldt er bij Rijkswaterstaat een cloud freeze. Dit betekent dat het uitgangspunt is dat er geen data, e-mail en applicaties naar de publieke cloud gaan. In oktober 2024 heeft Rijkswaterstaat de nieuwe ICT Strategie 2025–2030 vastgesteld. Bij RWS geldt het beleid dat missie-kritische systemen en bedrijfskritische systemen niet in de publieke cloud worden geplaatst.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Het Ministerie van Infrastructuur en Waterstaat maakt voor kantoortoepassingen onder andere gebruik van Microsoft 365 diensten (videoconferencing en voor een klein deel van de organisatie ook e-mail). Data blijven daarbij zoveel als enigszins mogelijk opgeslagen in eigen datacenters (bestanden, document management, samenwerkfunctionaliteit). Dit zijn diensten die worden aangeboden door Shared Service Centers (SSC’s) van de Rijksoverheid. Voor een aantal onderzoekstoepassingen en een aantal websites wordt gebruik gemaakt van clouddiensten op Microsoft Azure en Amazon Webservices (AWS). Voor deze diensten die nu in de cloud bij Amerikaanse dienstverleners zijn ondergebracht worden de afhankelijkheden verder onderzocht om maatregelen te kunnen treffen conform cloudbeleid en implementatiekader.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.4 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Er zijn bij het Ministerie van Infrastructuur en Waterstaat geen nieuwe migraties gepland sinds de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Verschillende ZBO’s hebben een sourcing strategie waar Amerikaanse cloudleveranciers een rol in spelen. Zij zijn niet gehouden aan het Rijksbreed cloudbeleid maar geven wel aan gebruik van het IenW cloudbeleid, waarin de regelingen van het Rijksbreed cloudbeleid en Implementatiekader zijn opgenomen.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het Ministerie van Infrastructuur en Waterstaat neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Naar aanleiding van de geopolitieke ontwikkelingen zet het Ministerie van Infrastructuur en Waterstaat, samen met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, in op het aanscherpen van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Ook zet het Ministerie van Infrastructuur en Waterstaat, naast het verder onderzoeken van afhankelijkheden en het verder doorontwikkelen van bestaande exit-strategieën, samen met BZK in op het realiseren en in gebruik nemen van een soevereine overheidscloud als alternatief voor public clouddiensten.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
In lijn met de I-strategie van IenW en de ICT Strategie 2025–2030 van Rijkswaterstaat, ligt de focus op de bouw van een soevereine overheidscloud in eigen datacenter(s).

Vraag 8

Hoe geven uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst (IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse dienstverleners.
Het Ministerie van Justitie en Veiligheid maakt voor de digitale werkplek gebruik van Microsoft 365-diensten. Deze worden niet in de online (cloud) variant afgenomen, maar als lokaal geïnstalleerde applicaties op de desktop (bij managed laptops) of als centrale applicaties via het OverheidsDataCenter (ODC) bij Citrix-werkplekken. Bestanden die in deze applicaties worden gemaakt, worden opgeslagen op de lokale schijf en/of op het ODC. Deze diensten worden conform de rijksbrede kaders ingezet, met een inrichting die specifiek is afgestemd op de beveiligings- en privacy vereisten van het Ministerie van JenV. Microsoft Teams wordt enkel gebruikt voor videoconferencing en chat.
Alle gebruikte digitale voorzieningen worden voortdurend gemonitord en waar nodig aangepast op basis van actuele dreigingen en technologische ontwikkelingen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20242 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.3 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Momenteel loopt de vernieuwing van de oude werkplekvoorzieningen van o.a. DJI, IND en CJIB naar een toekomstige moderne werkplek voorziening. Hierin wordt het gebruik van MS365 inclusief de online producten als Teams-online onderzocht en worden de opties tussen on-premise en cloudvoorzieningen vergeleken.
Het Ministerie van JenV participeert tevens in het interdepartementale programma Beter Samenwerken (BSW) waarin het beoogde gebruik van MS Teams in de werkomgeving wordt heroverwogen.
De herziening van het rijksbreed cloudbeleid geeft aanleiding tot het te zijner tijd, conform Rijksbeleid, aanscherpen en aanpassen van het departementale cloudbeleid. In de tussentijd heeft het Ministerie van JenV een aanvullende tijdelijke Bestuurlijke Beleidslijn Cloud voor het Ministerie van Justitie en Veiligheid en Ministerie van Asiel en Migratie vastgesteld, waarin voorgenomen migraties moeten worden heroverwogen. Deze tijdelijke beleidslijn is van kracht zolang het nieuwe Rijks cloudbeleid nog niet is vastgesteld.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
De genoemde risico’s kunnen gemitigeerd worden door verschillende acties te ondernemen. Zo kan via Strategisch Leveranciersmanagement Rijk (SLM Rijk) de contractuele afspraken met de Amerikaanse leveranciers worden aangescherpt. Daarnaast is SLM Rijk voornemens een contractueel framework voor Europese alternatieven te realiseren; momenteel loopt er een Data Protection Impact Assessment (DPIA) op de clouddiensten van Stackit, een Duitse cloudprovider.
Een te grote afhankelijkheid van één of een enkele marktpartij is ongewenst. In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
SLM Rijk voert met regelmatig DPIA’s uit op de diensten van Microsoft, Google Cloud en AWS en heeft daarbij ook specifiek gekeken naar internationale doorgifte van persoonsgegevens (er is een zogeheten Data Transfer Impact Assessment (DTIA) uitgevoerd). Hierbij is rekening gehouden met de mogelijkheid dat gegevens toegankelijk zijn voor de Amerikaanse overheid op basis van met de AVG conflicterende Amerikaanse wetgeving.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2 en 4.

Vraag 8

Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Momenteel worden mogelijkheden verkent die als alternatief kunnen worden ingezet om de continuïteit niet enkel afhankelijk te laten zijn van partijen uit de VS.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Het Ministerie van JenV en AenM zijn op dit moment bezig met een heroverweging, zie antwoorden op vraag 2, 4 en 8.
Het bevorderen van de strategische autonomie van Nederland en / of Europa staat vol op het netvlies. Het is in deze fase echter niet haalbaar en mogelijk om op korte termijn te realiseren. Ook zal het gepaard gaan met aanzienlijke kosten en realisatie inspanningen.
Om die reden zal afhankelijkheid van Amerikaanse Techgiganten vooralsnog blijven bestaan.

Vraag 10

Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ik heb uw verzoek doorgeleid naar de Autoriteit Persoonsgegevens.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Het kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
DNB valt als zbo niet onder het rijksbrede of departementale cloudbeleid. DNB geeft aan dat de risico's verbonden met de clouddiensten in een continu proces worden gemonitord en dat op basis van een integrale risicoafweging passende maatregelen worden genomen. Op basis van de huidige risicoafweging en businesscase ziet DNB voor de korte tot middellange termijn geen noodzaak tot heroverweging. Wel onderzoekt DNB voor hoog-kritische systemen exit/fallbackscenario's en back-up van data.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Het Ministerie van Financiën maakt in lijn met het huidige rijksbrede cloudbeleid beperkt gebruik van clouddiensten, waarbij er sprake kan zijn van Amerikaanse aanbieders. Dit ter ondersteuning van de bedrijfsvoeringsprocessen, en in beperkte gevallen als onderdeel van het primaire proces van de uitvoering. Zo maakt de Douane gebruik van Microsoft Azure ter ondersteuning van het keuzeproces binnen het toezicht op grensoverschrijdend goederenverkeer, wat onderdeel is van het primaire proces. Voor alle toepassingen geldt dat risico’s rond afhankelijkheden en gegevensbescherming zorgvuldig worden meegewogen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen4, is aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.
De Domeinen Roerende Zaken maakt per medio 2024 gebruik van Microsoft365. Deze stap is gezet, nadat de benodigde compliantie op het gebied van informatiebeveiliging en privacy was geborgd.
Na zorgvuldige heroverweging van risico’s, kosten en benefits gaat DNB door met de reeds voorgenomen migraties naar clouddiensten. DNB voorziet op dit moment geen grootschalige nieuwe migraties.
AFM heeft reeds een migratie gepland van Sharepoint naar Sharepoint online. Daarnaast zijn er geen nieuwe migraties gepland.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het Ministerie van Financiën neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Bij voorgenomen cloudmigraties wordt daarom een exit-strategie opgesteld en een zorgvuldig besluitvormingstraject doorlopen. Elke ICT-oplossing (of deze nu wordt ingekocht of intern ontwikkeld) brengt een zekere mate van afhankelijkheid van leveranciers met zich mee. Ook bij on-premise oplossingen geldt dat bij het wegvallen van bijvoorbeeld Microsoft- of Apple-ondersteuning, cruciale functionaliteit kan uitvallen. Dit onderstreept dat het hier niet alleen een cloudvraagstuk betreft, maar in de kern een licentie- en leveranciersafhankelijkheidsvraagstuk is.
Belastingdienst, Douane en Toeslagen onderzoeken verder hoe samenwerking met de markt kan bijdragen aan een toekomstbestendige IT-inrichting. De domeinarchitectuur fungeert hierbij als richtinggevend kader. Uitgangspunt is het benutten van marktstandaarden, borging van kerncompetenties en heldere verantwoordelijkheidsverdeling. Dit draagt bij aan een wendbare, betrouwbare en toekomstvaste informatievoorziening, passend binnen de eisen en kaders van publieke dienstverlening.
DNB volgt, net als veel andere publieke en financiële instellingen in Europa, de ontwikkelingen over dataopslag in de cloud op de voet en zal beleid indien nodig aanscherpen. DNB onderzoekt binnen het Eurosysteem de mogelijkheden om de afhankelijkheid van Amerikaanse IT-leveranciers te verkleinen en implementeert waar nodig oplossingen om de risico’s te mitigeren.
Ook AFM geeft aan de ontwikkelingen uit de markt en vanuit de Rijksoverheid nauwgezet te volgen. AFM geeft daarnaast aan dat haar cloudprovider eraan werkt om Europa juridisch los te koppelen van Amerikaanse regelgeving. Indien nodig zal AFM haar beleid op basis hiervan aanpassen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643-1315] die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Het Ministerie van Financiën handelt conform rijksbrede kaders en EU-wetgeving. Leveranciers kunnen uitsluitend worden uitgesloten wanneer zij niet voldoen aan het bestek of als er een juridische grondslag is. Banden met de Amerikaanse overheid vormen op zichzelf geen uitsluitingsgrond onder de EU-aanbestedingsregels. Tegelijkertijd is de IT-afhankelijkheid van Amerikaanse bedrijven groot. Onafhankelijkheid op korte termijn is dan ook niet realistisch.
Risico’s kunnen worden beheerst via contractuele afspraken en een goed uitgewerkte exit-strategie. Het onderhouden van werkbare relaties met Amerikaanse leveranciers blijft daarbij essentieel.
Zie verder vraag 2.

Vraag 8

Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Het Ministerie van Financiën onderschrijft het belang van continuïteit en weerbaarheid in de digitale dienstverlening. Er wordt daarom, op basis van risicoafwegingen, rekening gehouden met het effect op de continuïteit door eventuele strategische afhankelijkheid van leveranciers ongeacht het land waar de leverancier is gevestigd. Zoals geschetst in de Kamerbrief over uitvoering ontraden aangenomen moties debat migraties overheids-ICT naar het buitenland van 7 april jl., vereist digitale soevereiniteit een evenwichtige benadering waarbij samenwerking met strategische partners wordt gecombineerd met het versterken van de Europese en nationale regie over digitale infrastructuur. Het Ministerie van Financiën erkent daarnaast het belang van de ontwikkeling van een soevereine overheidscloud als onderdeel van een breder pakket aan maatregelen binnen het huidige rijkscloudbeleid en de IT-sourcingstrategie Rijk.
DNB en AFM hebben cloudbeleid opgesteld met eisen waar de systemen die worden gebruikt aan moeten voldoen, onder meer op het gebied van privacy en informatiebeveiliging, certificering en geldende Europese en Nederlandse wet- en regelgeving. Zo is er isolatie van gegevens en gegevensverwerking, en moeten de gegevens binnen de EER gehost zijn.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?

Zie vraag 5.

Vraag 10

Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ik, de Minister van Financiën, heb de AFM geraadpleegd voor de beantwoording van de aan haar gerichte vragen. Hetzelfde geldt voor de vragen gericht aan DNB.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?

De verzending heeft zo spoedig mogelijk plaatsgevonden.