Vraag 1

Kunt u uw reactie geven op het door Gronings Perspectief gepresenteerde rapport over de diepe sporen die de ellende die samenhangt met de aardbevingen nalaat bij scholieren?1

Het is belangrijk dat we blijven luisteren naar jongeren in Groningen. Hun verhalen helpen ons beter begrijpen wat herstel echt betekent. Daarom vind ik projecten zoals «Lang verhaal kort» van het IMG belangrijk. Daarom praat ik ook met jongeren en stimuleer ik hun betrokkenheid. En daarom is het goed dat onderzoekers van het Gronings Perspectief naar de effecten bij jongeren hebben gekeken. Dit onderzoek bevestigt wat ik vaker hoor van jongeren uit de regio: de stress die ouders ervaren raakt ook hen. Dit onderstreept het belang van een voortvarende uitvoering van Nij Begun, en in het bijzonder de Sociale Agenda, waarbij we voor de komende 30 jaar investeren in het mentaal welzijn van jongeren. Denk hierbij aan maatregelen op scholen, laagdrempelige inloop bij de huisarts en het vergroten van de mentale weerbaarheid van jongeren.

Vraag 2

Het zijn volgens de wetenschappers niet de bevingen zelf, maar de scheuren en het trage herstel daarvan waardoor scholieren meer gezondheidsproblemen krijgen die zorgen voor stress, schoolverzuim en depressieve klachten. Welke stappen gaat u zetten om het herstel te versnellen en daarmee gezondheidsproblemen te voorkomen?

Ik begrijp dat jongeren stress ervaren als de versterking lang voortsleept. Om die reden heeft NCG de afgelopen jaren intensief ingezet op het scholenprogramma en momenteel worden de laatste twee scholen versterkt. Daarmee hoop ik dat jongeren in ieder geval minder stress ervaren op school. Voor de totale versterkingsoperatie begrijp ik goed dat bewoners – en jongeren in het bijzonder – evenals uw Kamer verlangen naar meer voortgang, zeker na een aardbeving als die van 14 november jl.
Tegelijkertijd vraagt de versterking om koersvastheid en stabiliteit; de parlementaire enquête heeft laten zien dat ingrijpende wijzigingen in de aanpak juist tot nieuwe vertraging kunnen leiden. Daarom blijf ik gericht werken aan het opschalen van het tempo, binnen realistische en haalbare kaders en zonder de kwaliteit voor bewoners uit het oog te verliezen. Met de jaarlijkse actualisaties van de diepteanalyse informeer ik uw Kamer transparant over de maatregelen die ik met alle betrokken partijen daartoe tref en het verwachte verloop van de versterkingsoperatie.
Ook de aanwezigheid van schade in een woning kan een groot effect hebben op jongeren. Het IMG stuurt actief op de voortgang van langlopende schademeldingen. Deze gerichte aanpak heeft al tot de afronding van veel oude zaken geleid. Voor de complexere dossiers, die door uiteenlopende redenen niet binnen de reguliere termijnen kunnen worden afgehandeld, heeft het IMG het Team op Maat ingericht. Dit team is specifiek bedoeld om complexe schadeafhandelingen die vertraging hebben opgelopen sneller af te ronden.

Vraag 3

Herkent u zich in de woorden van de voorzitter van Jong Noord, Cody Rozema, die zegt: «We hebben in Groningen een hele generatie jongeren die denkt: de overheid staat niet naast mijn ouders, mijn broertjes en zusjes en mijzelf, maar tegenover ons.»? Welke extra stappen wilt u zetten om het vertrouwen van deze generatie te herstellen?2

Ja, ik herken de woorden van de voorzitter van Jong Noord dat het vertrouwen van meerdere generaties zwaar beschadigd is. Ik heb hem hier een aantal keer over gesproken. Ook spreek ik met jongeren buiten de georganiseerde jongerenorganisaties, om een beeld te krijgen van de ervaringen van jongeren die niet uit zichzelf naar voren stappen. Het herstellen van dat vertrouwen is niet van de ene op de andere dag geregeld, maar vergt naast schadeherstel en versterking ook een generatielange inzet op de sociale en economische omstandigheden.
Woensdag 12 november j.l. was ik bij de presentatie van het jongerenproject lang verhaal kort, georganiseerd door het IMG. Jongeren presenteerden daar hun video's met daarin hun persoonlijke verhaal. De stress die ouders ervaren raakte in sommige gevallen het hele gezin. Om het vertrouwen van deze jongeren te herstellen hebben rijk en regio gezamenlijk de sociale en economische agenda opgesteld. Jaarlijks is voor beide agenda's, dertig jaar lang, 100 miljoen beschikbaar met als doel het vertrouwen in de overheid te herstellen en brede welvaart in de regio te bevorderen.

Vraag 4

Welke stappen zijn gezet en gaat u zetten om het aanbod van psychosociale hulp, waarvan uit eerder onderzoek bleek dat dat beperkt vindbaar en vaak ontoereikend is, te verbeteren?3

In de Sociale Agenda zijn verschillende maatregelen gekozen die écht het verschil maken om het mentaal welzijn van jongeren te verbeteren. Denk daarbij aan brugfunctionarissen op scholen, laagdrempelige inloop bij de huisarts en het voorkomen van vroegtijdig schoolverlaten. Gemeenten hebben daarnaast 55,8 miljoen ontvangen voor het verbeteren van psychosociale hulp, bijvoorbeeld voor aardbevingscoaches. Aardbevingscoaches ondersteunen ook jongeren. Zij bieden inwoners een luisterend oor en praktische ondersteuning. Zij kijken met kinderen wat zij nodig hebben of organiseren activiteiten voor kinderen in de buurt. Over de uitvoering van de Sociale Agenda wordt voor eind januari 2026 een Kamerbrief gestuurd.

Vraag 5

Is er volgens u momenteel voldoende erkenning vanuit de overheid voor het leed dat kinderen en jongeren ervaren? Welke mogelijkheden tot verbetering ziet u?

We erkennen het leed dat jongeren en kinderen ervaren en zetten de eerste stappen om dit te herstellen en het vertrouwen te vergroten. De Sociale en Economische Agenda gaan over hen en zijn tot stand gekomen met de input van jongeren. De uitvoering is al deels gestart en zal volgend jaar verder gaan. Deze maatregelen zijn nog niet direct voelbaar voor jongeren, maar moeten op termijn bijdragen aan een regio waar het fijn wonen, werken, opgroeien, oud worden en waar het fijn leven is.
Ook heeft het IMG in 2023 de vergoedingen voor immateriële schade binnen huishoudens gelijkgetrokken. Dit betekent dat kinderen en jongeren in het aardbevingsgebied voortaan evenveel compensatie voor immateriële schade krijgen als hun ouders/verzorgers. Deze verruiming is met terugwerkende kracht ingegaan. Met deze gelijktrekking wordt onderkend dat het leed van jongeren niet onderdoet voor dat van volwassenen.
De mogelijkheden voor verbetering die ik zie gaan met name over de betrokkenheid van jongeren. Daarvoor zetten we nu de eerste stappen, zie voor een uitgebreide toelichting vraag 6. Jaarlijks zullen naar aanleiding van de publicatie van de Staat van Groningen en Noord-Drenthe ook gesprekken plaatsvinden met jongeren uit de regio.

Vraag 6

Welke stappen wilt u zetten om te zorgen dat jongeren meer mee mogen praten en zeggenschap krijgen over het beleid rondom schadeherstel, versterking en herstel van Groningen?

De betrokkenheid van jongeren is van groot belang voor het verbeteren van beleid en uitvoering voor het herstel van Groningen. Jongeren moeten een actieve rol kunnen spelen en hun zorgen en ideeën moeten worden gehoord, zodat zij invloed kunnen hebben op de toekomst van Groningen en Noord-Drenthe.
Het organiseren van deze betrokkenheid bij het herstel van Groningen gaat verder dan het opzetten van een traditionele jongerenraad, omdat ook jongeren die niet uit zichzelf naar voren stappen bereikt dienen te worden. Door jongeren op een creatieve en laagdrempelige manier te betrekken wordt een bredere doelgroep bereikt.
De Rijksuniversiteit Groningen (RUG) voert in samenwerking met bureau Jimmy's het participatieve actieonderzoek Opgeschud uit met subsidie van het Ministerie van BZK. Het onderzoek heeft als doel organisaties te stimuleren en te ondersteunen bij het opbouwen van een duurzame samenwerking met jongeren, zodat het kindperspectief een vast onderdeel wordt van hun werkzaamheden en een vanzelfsprekende afweging in beleid en besluitvorming. Op deze manier wordt gestreefd naar duurzame participatie en wordt schijnparticipatie voorkomen. Dit draagt bij om het vertrouwen van jongeren in instanties, de overheid en de politiek te vergroten. Een kernteam jongeren werkt in een netwerk aan inspraak van jongeren op verschillende beleidsterreinen. Jongeren hebben een bepalende rol met betrekking tot de onderzoeksonderwerpen en werken mee in het uitvoeren van het onderzoek.
De verschillende onderwerpen zijn ondergebracht in zogenaamde proeftuinen. Eén van de proeftuinen wordt uitgevoerd in samenwerking met NCG, waar jongeren worden betrokken bij het beleid rondom wisselwoningen. In het onderzoek door jongeren wordt voor een periode van 3 jaar gekeken hoe kinderen en jongeren de parken met tijdelijke huisvesting ervaren. De (tussen)resultaten bieden NCG handvatten om de parken te verbeteren.
Het IMG deelt mijn inzet om jongeren actief te betrekken bij het schadeherstel. In 2024 organiseerde het IMG het symposium «Herstel en versterk de Groninger jeugd, nu!», waarin ook het belang van jongeren binnen de Sociale Agenda werd onderstreept. Daarnaast werkt het IMG samen met jongeren aan videoportretten over hoe zij het ervaren om te leven in een aardbevingsgebied.

Vraag 7

De wetenschappers wijzen erop dat opgroeien met schade-ervaringen en onzekerheid ook op langere termijn invloed kan hebben op de gezondheid. Welke maatregelen neemt u om dat te volgen en deze mensen te steunen?

De RUG voert naast het bovengenoemde actie-onderzoek een langlopend onderzoek in opdracht van het Ministerie van BZK. Het onderzoek Gegrond volgt hoe het psychosociaal welzijn van jongeren zich ontwikkelt wanneer zij zijn blootgesteld aan de gevolgen van gaswinning. Dit onderzoek geeft mogelijk meer inzicht in hoe jongeren gesteund kunnen worden. Daarnaast worden al concrete maatregelen genomen met de sociale agenda, zoals beschreven in vraag 4.

Vraag 8

Kunt u deze vragen los van elkaar beantwoorden vóór het volgende commissiedebat Herstel Groningen?

Ja.

Vraag 1

Bent u bekend met het bericht «EU Commission internal draft would wreck core principles of the GDPR» en de brandbrief van 127 organisaties over de Digitale Omnibus?1

Ja.

Vraag 2

Wat is uw reactie op het bovenstaande bericht en de brandbrief? Kunt u ingaan op de inhoudelijke bezwaren en zorgen die hierin worden geuit?

Wij hebben kennisgenomen van de bezwaren en zorgen en nemen deze opmerkingen serieus. De bezwaren en zorgen waren evenwel gericht op een nog niet gepubliceerde versie van de zevende omnibus verordening. Alhoewel het kabinet bij de gepubliceerde voorstellen veel aanpassingen binnen de Omnibus AI en Omnibus Digitaal kan steunen omdat deze in lijn zijn met de Nederlandse inzet, heeft het kabinet vooral bij een aantal fundamentele wijzigingen aan de Algemene Verordening Gegevensbescherming (AVG) serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Via een versnelde Beoordeling Nieuwe Commissievoorstellen (BNC)-route is uw Kamer op 12 december met een BNC-fiche geïnformeerd over de positie van het kabinet op de Omnibus Digitaal. In het antwoord op vraag 3 wordt hierop nader ingegaan.

Vraag 3

Wat is uw zienswijze op de Digitale Omnibus, die ook aanpassingen van de Algemene Verordening Gegevensbescherming en de voorgestelde e-Privacyverordening bevat?

In navolging van een vierde Omnibuspakket, waarin ook sprake was van een aantal gerichte vereenvoudigingen voor de AVG heeft de Europese Commissie (EC) op 19 november 2025 het zevende Omnibuspakket (ook wel het «Digitale Pakket») gepubliceerd. Zoals aangegeven in het BNC-fiche, verwelkomt het kabinet dat de Commissie met de omnibussen erop inzet digitale wetgeving te vereenvoudigen en stroomlijnen. Dit past binnen de bredere doelstelling van het kabinet om de regeldruk terug te dringen. Het kabinet ziet dat het pakket mogelijk ook kansen biedt voor de ontlasting van de uitvoeringsorganisaties en de vereenvoudiging van de uitvoering van beleid. Het kabinet zet erop in dat deze omnibussen zich focussen op versimpeling, verduidelijking en stroomlijning van wetgeving en dat de doelen van de wetgeving daarbij overeind blijven.
De voorgestelde wijzigingen aan de AVG geven wel aanleiding tot zorgen, omdat deze kunnen leiden tot een wezenlijke vermindering van het niveau van gegevensbescherming, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.

Vraag 4

Zal de Digitale Omnibus de privacybescherming van burgers verzwakken? Kunt u antwoorden met een heldere ja of nee, en dit vervolgens onderbouwen?

Het kabinet is het voorstel nog aan het bestuderen en heeft uw Kamer via het BNC-fiche geïnformeerd over zijn positie op de Omnibus Digitaal. Het ontbreken van een impact assessment maakt het moeilijk om deze vraag met een helder ja of nee te beantwoorden. Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart brengen, voordat het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht er dan ook aan dat er in het bijzonder voor wijzigingen met impact op gegevensbescherming en grondrechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken. Het kabinet vindt daarnaast dat het nog te verschijnen advies van de Europees Toezichthouder voor gegevensbescherming (EDPS) al dan niet in samenspraak met Europees Comité voor gegevensbescherming (EDPB) moet worden betrokken bij de bespreking van dit voorstel.

Vraag 5

Deel u de mening dat «simplificatie» van wetgeving nooit mag leiden tot deregulering en een feitelijke verzwakking van de privacybescherming?

Met betrekking tot de Omnibus Digitaal en Omnibus AI zet het kabinet erop in dat de omnibussen digitale wetgeving versimpelen, verduidelijken en stroomlijnen en dat de doelen van de wetgeving daarbij overeind blijven.
Het kabinet steunt het doel van simplificatie van digitale wetgeving en zal zich hier proactief voor inzetten in het kader van de omnibus, maar in het bijzonder voor wijzigingen met impact op gegevensbescherming hecht het kabinet er als gezegd aan dat er gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken.

Vraag 6

Deelt u de opvatting dat het beschermen van privacy een kernwaarde is van de Europese Unie, een uitvloeisel is van een gezamenlijk wereldbeeld én de lessen getrokken uit de Tweede Wereldoorlog, en dat dit onder geen enkele voorwaarde geweld mag worden aangedaan?

Het recht op eerbiediging van de persoonlijke levenssfeer (het «recht op privacy»), daaronder begrepen het recht op gegevensbescherming, is een grondrecht dat onder meer is neergelegd in artikel 10 Grondwet en artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Sinds de inwerkingtreding van het Verdrag van Lissabon op 1 december 2009, is het recht op gegevensbescherming in het Handvest van de grondrechten van de Europese Unie een op zichzelf staand grondrecht, expliciet ontkoppeld van het recht op privacy. In artikel 7 Handvest Grondrechten EU staat het recht op eerbiediging van het privéleven, in artikel 8 het recht op bescherming van persoonsgegevens. De Unierechtelijke uitwerking is gedaan in de Algemene verordening gegevensbescherming (AVG). Het recht op bescherming van persoonsgegevens heeft geen absolute gelding (overweging 4 AVG). Zo kan het recht bij wet worden ingeperkt, mits voldaan is aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit en de inperkingen voldoende voorspelbaar en voorzienbaar zijn voor de betrokkenen. Dat onder geen enkele voorwaarde inbreuk mag worden gemaakt op dit grondrecht, onderschrijven wij derhalve niet.

Vraag 7

Op welke manieren en op welke momenten heeft Nederland haar zienswijze over de Digitale Omnibus gedeeld met de Europese Commissie? Kunt u deze contactmomenten uiteenzetten?

Het versimpelen van (onderdelen van de) digitale wetgeving is onderwerp geweest van diverse Raadsbesprekingen waar de Europese Commissie aan deelnam en besprekingen in EU-verband. Potentiële wijzigingen aan de AVG waren daarbij niet altijd onderwerp van gesprek. Versimpeling van de AI-verordening is besproken tijdens meetings van de AI-Board en versimpeling van de Dataverordening, Datagovernanceverordening en de Free Flow of Dataverordening is onderwerp geweest van de Raadswerkgroep Telecom. Het kabinet heeft het non-paper regeldruk en digitale wetgeving onder de aandacht gebracht bij de informele Telecomraad van 9 en 10 oktober en in hoogambtelijke besprekingen met de Commissie.

Vraag 8

Kunt u alle relevante documenten, die betrokken zijn bij het bepalen van de Nederlandse inzet delen met de Kamer? Heeft u ook adviezen van burgerrechtenorganisaties hierbij betrokken?

Het kabinet heeft u via een versnelde BNC-route geïnformeerd over de inzet ten aanzien van de Omnibuswetgeving. Vanwege de snelle doorlooptijd van het omnibusvoorstel en brede betrokkenheid van meerdere departementen is er geen overzicht van alle input die is ontvangen en betrokken. Het kabinet krijgt soms van stakeholders, zoals belangenorganisaties, proactief input toegestuurd. Daarnaast neemt het kabinet ook input in beschouwing die hem via de media bereikt, zoals de brandbrief waar u in vraag 1 naar verwijst. Het kabinet betrekt ook adviezen van burgerrechtenorganisaties hierbij.

Vraag 9

Acht u het verantwoord en acceptabel dat AI-bedrijven, waaronder Amerikaanse techgiganten als Google en Meta, meer mogelijkheden krijgen om gegevens van Europese burgers te gebruiken om AI-modellen te trainen?

In het voorstel van de Commissie wordt een artikel 88c aan de AVG toegevoegd, waarin het expliciet de grondslag «gerechtvaardigd belang» (artikel 6 lid 1 onder f) wordt aangewezen als de grondslag voor – kort gezegd – het ontwikkelen en toepassen van AI-modellen. Om de gevolgen van deze voorgestelde wijziging goed te overzien, is meer duidelijkheid daarover nodig en Nederland heeft op dat punt vragen gesteld aan de Commissie. De mogelijkheid om persoonsgegevens te gebruiken voor het trainen van AI-modellen bestaat overigens ook nu al. De EDPB, waarin de Europese toezichthouders samenwerken, heeft hierover op 18 december 2024 een advies aangenomen.2 Uit dat advies volgt dat de AVG ruimte biedt om ook zonder toestemming van de betrokkene op basis van de verwerkingsgrondslag «gerechtvaardigd belang» (artikel 6, eerste lid, onder f AVG) persoonsgegevens voor dit doel te verwerken. Of van deze grondslag gebruik kan worden gemaakt, wordt bepaald door de omstandigheden van het geval. Zo moet worden vastgesteld dat de beoogde verwerking noodzakelijk is ter behartiging van het gerechtvaardigde belang én dat de belangen of fundamentele rechten en vrijheden van betrokkenen die door de verwerking van persoonsgegevens worden geraakt, niet zwaarder wegen dan het gerechtvaardigde belang dat met de verwerking wordt gediend. Ook moet elke verwerkingsverantwoordelijke aantoonbaar maatregelen nemen om de impact van de verwerking op de belangen van betrokkenen te verkleinen. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of een dergelijke vorm van verwerking rechtmatig is. Of deze mogelijkheden verder moeten worden verruimd, vergt nadere beoordeling. Dit zou alleen aan de orde kunnen zijn als de gevolgen voor fundamentele rechten voldoende gewaarborgd zijn.

Vraag 10

Deelt u de mening dat bescherming van gevoelige gegevens, zoals politieke voorkeur, seksuele oriëntatie, en gezondheidsdata, geen geweld mag worden aangedaan?

Zoals aangegeven in het antwoord op vraag 5 hanteert het kabinet in het kader van de omnibus het uitgangspunt dat de omnibus moet focussen op verduidelijking, versimpeling en het vergroten van consistentie van digitale wetgeving. De inzet is dat daarbij de doelen van de wetgeving niet worden afgezwakt. Onder de AVG is de verwerking van deze bijzondere categorieën van persoonsgegevens verboden, vanwege de impact die dit kan hebben. Verwerking kan alleen plaatsvinden, als er een wettelijke uitzonderingsgrond bestaat. Met het voorstel worden twee nieuwe uitzonderingsgronden opgenomen in de AVG. Deze worden op dit moment nog beoordeeld. Uw Kamer is hierover geïnformeerd met het BNC-fiche.

Vraag 11

Welk signaal geeft het verzwakken van de AVG en de e-Privacyverordening af aan het Nederlandse en Europese midden- en kleinbedrijf dat volop inzet op het ontwikkelen van verantwoorde en privacyvriendelijke AI conform deze regelgeving?

De voorgestelde wijzigingen aan de AVG en de e-Privacyverordening zijn nog onderwerp van onderhandeling. Deze wetten zijn dus nog niet gewijzigd. Het kabinet heeft het streven om de regeldruk terug te dringen. Regeldruk zet een rem op de productiviteitsgroei van bedrijven en dus ook op het concurrentievermogen van onze economie. Dit kan op den duur ook de financiering van publieke taken onder druk zetten. Het kabinet zet zich daarom constructief in voor het versimpelen van digitale wetgeving, waarbij één van de uitgangspunten is dat de bescherming van grondrechten gewaarborgd blijft. Dit betekent dat het kabinet kritisch beziet of de voorstellen het doel van verlaagde regeldruk daadwerkelijk dienen en welke gevolgen dit heeft voor het niveau van gegevensbescherming. Het kabinet hecht waarde aan duidelijkheid en rechtszekerheid voor het bedrijfsleven. Bij fundamentele wijzigingen aan wetgeving, zeker als die impact hebben op het recht op gegevensbescherming, hecht het kabinet aan een impact assessment zodat het kabinet kan beoordelen of voorgestelde wijzigingen noodzakelijk, proportioneel en subsidiair zijn en de gevolgen voorspelbaar en voorzienbaar.

Vraag 12

Deelt u de mening dat het verduidelijken van wet- en regelgeving voor het midden- en kleinbedrijf niet ten koste hoeft te gaan van privacybescherming? Is dit ook uw uitgangspunt?

Ja. Het is al langere tijd een doel van het kabinet om regeldruk terug te dringen en daartoe zijn ook al oplossingsrichtingen in kaart gebracht. Hierbij kan worden gedacht aan praktische hulpmiddelen, zoals sjablonen en praktische richtsnoeren van de toezichthouder, de Autoriteit Persoonsgegevens (AP), om naleving van de wet- en regelgeving voor kleinere organisaties te vereenvoudigen. Ook kunnen lijsten van verwerkingsactiviteiten met een laag risico die door toezichthoudende autoriteiten worden verstrekt, meer duidelijkheid verschaffen en kan de ontwikkeling en het gebruik van gedragscodes en certificering worden gestimuleerd. Ten aanzien van het gebruik van gedragscodes en certificering, overweeg ik om hier nader onderzoek naar te laten doen. Het uitgangspunt van het kabinet bij de Omnibus Digitaal is dat bij het versimpelen van de wetgeving de doelen, inclusief de bescherming van grondrechten, van de wetgeving niet worden afgezwakt.

Vraag 13

Bent u bereid om in gesprek te treden met onafhankelijke experts, waaronder de Autoriteit Persoonsgegevens en burgerrechtenorganisaties op het gebied van privacy, om de Digitale Omnibus te beoordelen en in kaart te brengen of deze in de praktijk zal leiden tot een verzwakking van de privacybescherming?

Het is vanzelfsprekend dat het kabinet goede contacten onderhoudt met het veld, met inbegrip van burgerrechtenorganisaties, maar ook met partijen zoals VNO-NCW. Ten aanzien van de omnibus betrekken wij in elk geval de informatie van deze organisaties die zij publiceren bij de zelfstandige oordeelsvorming, en is er contact met de AP. Waar het om gegevensbescherming gaat kijken wij uit naar het gezamenlijke advies van de EDPB/EDPS.

Vraag 14

Bent u bereid om een voorbehoud te maken op het steunen van de Digitale Omnibus, zolang niet is uitgesloten dat deze de privacybescherming verzwakt?

Het kabinet is het voorstel nog aan het bestuderen en heeft uw Kamer via het BNC-fiche geïnformeerd over zijn positie op de Omnibus Digitaal. In beginsel steunt Nederland voorstellen om digitale wetgeving te vereenvoudigen en de regeldruk ervan te verlagen. Daarbij is het wel belangrijk dat de doelen, met inbegrip van het niveau van gegevensbescherming, van de wetgeving overeind blijven en er gelegenheid is om de voorstellen, en de gevolgen daarvan voor onder andere de bescherming van grondrechten, gedegen te analyseren, de impact ervan te kunnen doorgronden, en goed inhoudelijk te bespreken. Het kabinet vindt het in het algemeen van belang dat bij fundamentele wijzigingen aan wetgeving, zeker als die impact hebben op het recht op gegevensbescherming, een impact assessment wordt gedaan. Ook is het van belang om bij wijzigingen die impact hebben op het recht op gegevensbescherming, het advies van Europees Toezichthouder voor gegevensbescherming (EDPS) al dan niet in samenspraak met het Europees Comité voor gegevensbescherming (EDPB) te betrekken bij de verdere analyse en bespreking, om te voorkomen dat de bescherming van grondrechten, waaronder gegevensbescherming, wordt verlaagd.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden, en toezeggen om geen definitief standpunt in te nemen over de Digitale Omnibus zolang de Kamer zich hierover niet heeft uitgesproken?

De vragen zijn zo snel als mogelijk en separaat beantwoord. Het kabinet bestudeert momenteel het gepubliceerde voorstel van de EC en heeft uw Kamer via het BNC-fiche geïnformeerd over zijn positie op de Omnibus Digitaal.

Vraag 1

Heeft u kennisgenomen van de uitzending van Nieuwsuur d.d. 13 november 2025 over de zorgen in het Caribisch gebied ten aanzien van de toenemende spanningen tussen de Verenigde Staten en Venezuela?1

Ja.

Vraag 2

Deelt u de zorgen die leven op Curaçao, maar ook op Aruba en Bonaire over de Amerikaanse acties tegen vermeende drugsboten? Zo nee, waarom niet?

Het kabinet staat in nauw contact met de overheden van Aruba, Curaçao en Bonaire. Het is begrijpelijk dat de Amerikaanse acties tegen vermeende drugsboten in de Caribische regio zorgen met zich meebrengen. Op dit moment is er geen acute dreiging voor het Koninkrijk: de acties vinden plaats buiten de territoriale wateren van het Koninkrijk en er is geen indicatie dat Aruba, Bonaire of Curaçao betrokken raakt in een eventueel conflict. Aruba, Curaçao en Bonaire bereiden zich wel voor op verschillende mogelijke gevolgen van eventueel oplopende spanningen. Dit geldt eveneens voor Nederland, door voorbereidingen te treffen voor de bijstand en ondersteuning.

Vraag 3

Wat is de reactie van de regering – en daarmee van de Koninkrijksregering – op de Amerikaanse aanvallen op de vermeende drugsboten in de Caribische zee? Deelt de Koninkrijksregering het standpunt van onder andere de Verenigde Naties en Frankrijk dat de Amerikaanse aanvallen in strijd zijn met het internationaal recht? Zo nee, waarom niet? Kunt u hierbij met verwijzing naar het internationaal recht uw reactie onderbouwen?

Het Koninkrijk is niet betrokken bij de huidige militaire operatie van de Verenigde Staten. Het betreft een nationaal aangestuurde operatie van de VS, die in internationale wateren plaatsvindt, waarbij de regering van de VS zich beroept op zelfverdediging. Volgens de VS vormen transnationale drugskartels, vanwege hun gewelddadige en paramilitaire activiteiten, een ernstige dreiging voor de nationale veiligheid van de VS. De VS heeft tevens nationaal een aantal drugskartels aangewezen als terroristische organisatie.
Het kabinet heeft kennisgenomen van deze rechtvaardiging voor het gebruik van geweld. Zoals bekend is het standpunt van het kabinet dat voor het recht op zelfverdediging sprake moet zijn van een gewapende aanval of een onmiddellijke dreiging daarvan. Het kabinet beschikt op dit moment niet over informatie om eigenstandig te kunnen beoordelen of hiervan sprake is.
Het kabinet benadrukt dat alle partijen zich moeten inspannen om verdere escalatie te voorkomen en zich dienen te houden aan het internationaal recht. Het kabinet roept, samen met andere EU-lidstaten, hiertoe op. Dit werd op 9 november jl. ook onderschreven in de gezamenlijke verklaring van de CELAC-EU-top met Latijns-Amerikaanse en Caribische landen.

Vraag 4

Overweegt het Koninkrijk der Nederlanden net zoals het Verenigd Koninkrijk en Canada tijdelijk te stoppen met het delen van inlichtingen? Zo nee, waarom niet?

Het Koninkrijk der Nederlanden is niet betrokken bij de Amerikaanse operatie. Door de VS is toegezegd dat de informatie die gezamenlijk voor JIATF-S (Joint Interagency Task Force South) wordt vergaard, niet wordt ingezet voor de nationale operatie van de VS.
Defensie doet geen uitspraken over de concrete activiteiten op het gebied van samenwerking en gegevensuitwisseling met andere (inlichtingen-)diensten.

Vraag 5

Kunt u garanderen dat via de kustwachtsamenwerking tussen het Koninkrijk der Nederlanden en de Verenigde Staten, waarbij onder andere het vliegveld van Curaçao wordt gebruikt, er op geen enkele manier wordt bijgedragen aan de Amerikaanse acties die in strijd zijn met het internationaal recht? Zo nee, waarom niet?

De inzet van de Kustwacht Caribisch Gebied beperkt zich tot het verantwoordelijkheidsgebied van het Koninkrijk (territoriale wateren en Exclusieve Economische Zone). Daarover vindt normaliter geen afstemming met internationale partners plaats en dat is ook bij de huidige nationale aangestuurde operatie van de VS niet aan de orde.
Voor het gebruik van de Cooperative Security Location (CSL) op het vliegveld van Curaçao hebben het Koninkrijk der Nederlanden en de Verenigde Staten in een verdrag2 afspraken vastgelegd. Dit verdrag geeft toestemming aan de VS voor het uitvoeren van vluchten vanaf de luchthaven van Curaçao ten behoeve van surveillance, monitoring en het opsporen van drugstransporten. Deze instemming ziet alleen op onbewapende vluchten.
Het Koninkrijk is niet betrokken bij de nationale inzet vanuit de VS in de internationale wateren en het internationale luchtruim. Het uitvoeren van onbewapende verkenningsvluchten vanaf de CSL naar de internationale wateren en het internationale luchtruim past binnen de verdragsafspraken. Er vinden geen vluchten plaats vanaf Hato Airport t.b.v. de nationale operatie van de VS.

Vraag 6

Op welke manier wordt er door het kabinet samengewerkt met de regeringen van Curaçao en Aruba en met het lokale bestuur op Bonaire om de zorgen die op de eilanden leven weg te nemen?

De Minister van Buitenlandse Zaken en de Minister van Defensie houden de ontwikkelingen nauwgezet in de gaten. De Minister van Buitenlandse Zaken staat in contact met en houdt de regeringen van Aruba en Curaçao en de gezaghebber van Bonaire op de hoogte van de ontwikkelingen. Ondanks de afwezigheid van een acute dreiging, werken Aruba, Bonaire en Curaçao momenteel aan diverse scenario’s die helpen bij de voorbereiding op bijvoorbeeld logistieke vraagstukken. Dat hoort bij de reguliere samenwerking op het gebied van crisisbeheersing. Zij kunnen daarbij waar gewenst rekenen op de ondersteuning van de Nederlandse departementen. Dit was ook onderwerp van gesprek tijdens de week van de crisisbeheersing op Curaçao van 24–28 november jl. waar alle Caribische delen van het Koninkrijk aan deelnamen.

Vraag 7

Op welke manier wordt de lokale bevolking op Curaçao, Aruba en Bonaire zo goed mogelijk geïnformeerd over de situatie? Hoe wordt voorkomen dat de staatkundige structuur en bevoegdheidsverdeling binnen het Koninkrijk, waarbij Den Haag verantwoordelijk is voor het buitenland- en defensiebeleid van het gehele Koninkrijk, onnodig voor verwarrende, vertraagde of onvolledige informatievoorziening zorgt?

De regeringen van Aruba en Curaçao en de overheid van Bonaire zorgen zelf voor de communicatie richting de bevolking. Om hen hiertoe in staat te stellen informeert de Minister van Buitenlandse Zaken hen regelmatig en nauwgezet over de geopolitieke actualiteit.

Vraag 8

Kunt u deze vragen één voor één binnen een week beantwoorden?

Zoals gewenst zijn de vragen één op één beantwoord. Ik heb getracht de vragen zo snel als mogelijk te beantwoorden.

Vraag 1

Bent u bekend met het bericht: «Onrust bij overheden over verkoop cloudbedrijf aan Amerikaanse IT-gigant»?1

Ja, ik ben bekend met het bericht.

Vraag 2

Wat is uw reactie op de overname van het cloudbedrijf Solvinity door het Amerikaanse techbedrijf Kyndryl?

Het waarborgen van onze digitale autonomie is een belangrijke ambitie van het kabinet, zoals ook is beschreven in de Agenda Digitale Open Strategische Autonomie2. Voor onze digitale autonomie is het van belang dat we een sterkere Nederlandse (en Europese) techsector opbouwen. Voor een klein handelsland als Nederland zijn een open economie en toegang tot internationale kapitaalmarkten hiervoor essentieel. Dat zorgt ervoor dat Nederlandse bedrijven internationaal innovatief en concurrerend kunnen zijn. Tegelijkertijd betekent dit dat bedrijven overgenomen kunnen worden door buitenlandse partijen. Waar investeringen in Nederlandse marktpartijen impact hebben op onze nationale veiligheid, hebben we instrumenten tot onze beschikking om die impact te toetsen en – indien noodzakelijk – ons hiertegen te beschermen, zoals de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) en de Wet ongewenste zeggenschap telecommunicatie (WOZT).

Vraag 3

Was u vooraf op de hoogte van de overname van Solvinity? Zo ja, sinds wanneer wist u dat het bedrijf door een Amerikaanse onderneming zou worden overgenomen?

In maart 2025 heeft Solvinity onder embargo de directeur van Logius medegedeeld dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat. Hierbij is de naam van de overnamekandidaat niet door Solvinity gedeeld. Op verzoek van de directeur Logius is dit embargo deels opgeheven, zodat hij dit bericht met een beperkt aantal personen van het kerndepartement van het Ministerie van BZK kon delen in mei 2025. Het Ministerie van BZK heeft de naam van de overnamekandidaat vernomen op de dag van de bekendmaking van de overname in de media (5 november jl.).

Vraag 4

Heeft u voorafgaand aan de overname van Solvinity gepoogd om het bedrijf in Nederlandse handen te houden? Heeft Solvinity hierover gesprekken gehad met de Nederlandse overheid?

Het in Nederlandse handen houden van alle bedrijven is op zichzelf geen doel van het kabinet. Nederland hanteert een stelsel van investeringstoetsingen gericht op het mitigeren van risico’s voor de nationale veiligheid. Mocht de beoogde overname onder het bereik van de investeringstoetsing vallen zal het reguliere, zorgvuldige proces daartoe gevolgd worden.
Het management van Solvinity en het management van Kyndryl voeren, na de openbare aankondiging, met verschillende contracthouders gesprekken over de voorgenomen overname.

Vraag 5

Welke diensten neemt de rijksoverheid momenteel van Solvinity af? In welke kritieke processen spelen de clouddiensten van Solvinity momenteel een aanzienlijke rol?

Bekend is dat Solvinity diensten levert aan meerdere departementen, waaronder BZK (Logius), JenV, SZW, VWS, Financiën. Momenteel wordt geïnventariseerd of er kritieke processen afhankelijk zijn van de dienstverlening door Solvinity. Door deze inventarisatie wordt inzicht in het totale risicobeeld verkregen. Op basis hiervan kunnen afwegingen gemaakt worden ten aanzien van het handelingsperspectief. De verwachting is dat de inventarisatie in de komende twee weken wordt afgerond.

Vraag 6

Levert Solvinity momenteel diensten gebaseerd op Amerikaanse Platform-as-a-Service (PaaS) producten zoals Azure? Bestaat er in de huidige situatie al een mogelijk weglekken van overheidsinformatie naar Amerikaanse partijen? Kunt u onderbouwen dat dit (niet) het geval is?

Voor enkele departementen levert Solvinity toegang tot de genoemde PaaS diensten op Microsoft Azure. Bij gebruik van dit soort cloud diensten is er vrijwel altijd een risico dat data mogelijk wordt opgevraagd door Amerikaanse autoriteiten. Zoals eerder met uw Kamer gedeeld in reactie op de Initiatiefnota «Wolken aan de horizon», is op basis van onderzoek vastgesteld dat de kans laag is dat gegevens van Europese burgers op basis van de CLOUD Act verstrekt zullen worden aan de Amerikaanse overheid3. De mogelijke overname van Solvinity door Kyndryl maakt geen verschil met betrekking tot dit risico.

Vraag 7

Is voor de overheidsdiensten die nu geleverd worden door Solvinity een exitstrategie opgesteld? Zo ja, treedt deze in werking nu er een Amerikaanse overname dreigt? Zo nee, waarom is er geen exitstrategie opgesteld / treedt deze niet in werking?

Het rijksbreed cloudbeleid vereist dat er een exitstrategie opgesteld wordt bij het gebruik van clouddiensten. Organisaties stellen risicoanalyses op ten aanzien van de afgenomen dienstverlening, hierin worden onder meer de gevoeligheid van de data en de toepassing meegenomen.
Logius heeft eisen gesteld aan de retransitie4 en een retransitieplan opgesteld dat gevolgd moeten worden als het contract met Solvinity wordt beëindigd. Dit ziet niet specifiek op overnames. Verder heeft Logius, in lijn met de NDS, begin 2025 een nieuwe visie voor infrastructuur opgesteld. Daarbij heeft Logius de voorkeur uitgesproken om haar infrastructuurdienstverlening af te nemen bij een andere overheidsorganisatie en in uiterste geval – indien de Overheidscloud niet tijdig beschikbaar is – het beheer van de dienstverlening die door Solvinity wordt geleverd opnieuw Europees aan te besteden.
Voor een aantal organisaties geldt dat het verplaatsen van de huidige diensten naar een andere provider op korte termijn niet haalbaar is vanwege de complexiteit en afhankelijkheid van de huidige infrastructuur.

Vraag 8

Welke gevolgen heeft de overname van Solvinity door een Amerikaans bedrijf voor de vertrouwelijkheid en veiligheid van overheidsinformatie die bij dit bedrijf worden ondergebracht, en het bedrijf vermoedelijk onder Amerikaanse wetgeving zoals de CLOUD Act (Clarifying Lawful Overseas Use of Data Act), de Foreign Intelligence Surveillance Act (FISA)2 en Executive Order 12333 komt te vallen?

Er zijn met Solvinity afspraken gemaakt over de vertrouwelijkheid en veiligheid van de bij deze onderneming ondergebrachte gegevens. Een overname van Solvinity door een partij in de VS betekent dat die afspraken nader moeten worden ingevuld, om te voorkomen dat de vertrouwelijkheid en veiligheid van die gegevens in het geding kan komen.
De drie genoemde wettelijke instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS. Als Solvinity wordt overgenomen door een onderneming in de VS brengt dit Solvinity onder de reikwijdte van deze wetgeving. Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
De overeenkomsten tussen de Staat en Solvinity bieden aanknopingspunten om ten minste van Solvinity te verlangen dat er technische en organisatorische maatregelen worden getroffen om te waarborgen dat de gegevens waartoe zij toegang heeft op een wijze worden verwerkt die voldoet aan de in de EU geldende regels, zoals die uit de Algemene verordening gegevensbescherming. Welke maatregelen dat zullen zijn vormt onderwerp van de gesprekken tussen de Staat en Solvinity.

Vraag 9

Vindt u het acceptabel dat, met de Amerikaanse overname van Solvinity, nog meer overheids-ict onder Amerikaanse surveillancewetgeving komt te vallen?

Door toenemende digitalisering en oplopende geopolitieke spanningen moeten we alert zijn op de weerbaarheid van overheidsorganisaties. In dit kader is het bovendien belangrijk om het bredere belang van digitale autonomie te benadrukken. Overheidsorganisaties zijn sterk afhankelijk van digitale infrastructuur en technologieën, die vaak buiten Europa worden ontwikkeld of beheerd. Het versterken van digitale autonomie vergt daarom een Europese aanpak.

Vraag 10

Geeft de recente Amerikaanse overname van Zivver en Solvinity aanleiding om meer kerntaken van de digitale overheid, zoals het beheren van burgerinformatie, in publiek beheer te brengen?

De Rijksoverheid streeft naar vermindering van de afhankelijkheid van techgiganten, binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt verkend hoe een soevereine overheidscloud eruit kan zien. Een voorbeeld hiervan is de casus omtrent de migratie van SSC-ICT, waar documenten en mail in de eigen datacenters zijn blijven staan.

Vraag 11

Bent u bereid om alle maatregelen te nemen die nodig zijn om te voorkomen dat kritieke processen, zoals Logius, DigiD en de dienstverlening aan het Ministerie van Justitie en Veiligheid, onder Amerikaanse surveillancewetgeving gaan vallen?

Ik ben bereid passende maatregelen te treffen op basis van een zorgvuldige risico-gebaseerde aanpak. Zodra de kritieke processen geduid worden als een «te beschermen belang» is aanvullende regelgeving van kracht.

Vraag 12

Is in de lopende contracten met Solvinity een ontbindende voorwaarde opgenomen in het geval het bedrijf wordt overgenomen door een bedrijf dat onder niet-Europese surveillancewetgeving valt?

Op dit moment worden verschillende contracten beoordeeld door de Landsadvocaat.

Vraag 13

Zijn er andere mogelijkheden om de contracten met Solvinity te ontbinden, als inderdaad blijkt dat door de Amerikaanse overname de vertrouwelijkheid en veiligheid van kritieke overheidsinformatie in het geding komt?

Indien de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2022 (ARBIT-2022)6 van toepassing verklaard is op de overeenkomst is er een ontbindingsgrond als er sprake is van een ingrijpende wijziging in de zeggenschap (wat het geval kan zijn bij fusies en overnames) met betrekking tot de onderneming van de wederpartij/opdrachtnemer. Door de landsadvocaat wordt momenteel onderzocht in hoeverre dit het geval is.
Indien door de overname de nakoming van de verwerkersovereenkomst en de naleving van de AVG wordt bemoeilijkt of zelfs onmogelijk wordt, kan dit een grond vormen om de dienstverleningsovereenkomst respectievelijk de verwerkersovereenkomst te ontbinden.
Dit laat overigens onverlet de mogelijkheid om in een concreet geval een overeenkomst op basis van de Algemene Rijksvoorwaarden op te kunnen zeggen.

Vraag 14

Indien de overname door een niet-Europese partij geen ontbindende voorwaarde is, bent u dan bereid om dit voortaan altijd als voorwaarde op te nemen in contracten met Europese cloudleveranciers?

Een bepaling in het contract opnemen m.b.t. «change of control» door een niet-Europese partij is een aanvullende optie en moet worden onderzocht. Per aanbesteding wordt bekeken of dit proportioneel is, gelet op de inhoud van de opdracht.
In de Verzamelbrief Aanbesteden7 is aangegeven dat de voorkeur ligt bij de gerichte inzet van kwalitatieve eisen om de vraag naar producten van EU-bedrijven te bevorderen in strategische sectoren. Doelstelling in de Nederlandse Digitaliseringsstrategie is het zorgen voor een overheidsbrede samenwerking waarmee mogelijkheden ontstaan om (soevereine) overheids ICT diensten overheidsbreed te kunnen gebruiken en elkaar te helpen bij de implementatie hiervan. Hiervoor is een visie in ontwikkeling.
Daarnaast moet ermee rekening gehouden worden dat het afbouwen van de huidige ongewenste afhankelijkheden een traject is dat de nodige tijd in beslag zal nemen.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en met spoed beantwoorden?

Ja. Op 11 december jl. heb ik uw Kamer bericht over de uitstel van de beantwoording.

Vraag 1

Kunt u toelichten wat er vandaag, op 12 november 2025, besproken wordt door de Law Enforcement Working Party inzake de regulering om online misbruik te voorkomen (CSAM-verordening)?1

Tijdens de Radenwerkgroep, de Law Enforcement Working Party (LEWP), van 12 november jl. is het meest recente voorstel inzake de EU-Verordening ter bestrijding van online seksueel kindermisbruik (de CSAM-verordening) besproken.

Vraag 2

Bent u bekend met de inhoud van het compromisvoorstel?2 Kunt u toelichten op welke punten deze wezenlijk anders is dan het meest recente Poolse voorstel, waarin expliciet stond dat chatcontrole nooit bevolen kan worden?

Ja, ik ben bekend met de inhoud van het compromisvoorstel. Het voorzitterschap doet hierin voorstel om het detectiebevel volledig te verwijderen uit de tekst. In plaats daarvan beoogt het voorstel vrijwillige detectie permanent mogelijk te maken door de afwijking van bepaalde bepalingen van de ePrivacyrichtlijn, zoals opgenomen in Verordening (EU) 2021/1232, permanent te maken. Dit zou betekenen dat de huidige praktijk – waarin het aan diensten zelf wordt gelaten of zij willen detecteren of niet (vrijwillige detectie) – wordt voortgezet en dat die mogelijkheid permanent wordt, in plaats van tijdelijk. Onder het Poolse voorzitterschap werd in januari jl. een vergelijkbaar voorstel gepresenteerd. Alhoewel het Poolse voorstel technisch anders was vorm gegeven, zagen beide voorstel op het schrappen van het verplichte detectiebevel en het permanent maken van vrijwillige detectie.
Op verzoek van Nederland is, vanwege het Nederlandse kabinetsstandpunt inzake verplichte detectie en de zorgen die Nederland daarbij heeft, aan het voorstel een extra overweging toegevoegd die onderstreept dat niets in deze verordening mag leiden tot of mag worden opgevat als het opleggen van detectieverplichtingen aan aanbieders.

Vraag 3

Is in het nieuwe compromisvoorstel volledig uitgesloten dat chatcontrole in Europa wordt ingevoerd? Waaruit blijkt dat deze absolute garantie bestaat, zodat het compromisvoorstel nooit kan leiden tot het omzeilen van end-to-end encryptie?

Als met «chatcontrole» wordt gedoeld op verplichte detectie, dan is dit uitgesloten ten gevolge van het volledig verwijderen van detectie uit de scope van de CSAM-Verordening. Als met «chatcontrole» wordt gedoeld op de mogelijkheid tot scannen, dan blijft dit mogelijk als een bedrijf ervoor kiest om dit vrijwillig te doen als maatregel tegen de verspreiding van materiaal van seksueel kindermisbruik. Dat is een continuering van de huidige praktijk, waarin het aan diensten zelf wordt gelaten of zij willen detecteren of niet (vrijwillige detectie), en welke mogelijkheid door de CSAM-Verordening wordt voortgezet en permanent wordt, in plaats van tijdelijk. Met dit voorstel verandert voor gebruikers van diensten in de praktijk dus niets ten opzichte van nu: de mogelijkheid van vrijwillige detectie blijft bestaan, en bedrijven kunnen er nog steeds voor kiezen dit te doen. Aanbieders die vrijwillig detecteren, moeten de gebruikers op duidelijke, expliciete en begrijpelijke wijze inlichten over het feit dat de diensten dit doen.

Vraag 4

Welke zekerheid kunt u bieden dat vrijwillige detectie van materiaal door techbedrijven nooit verplicht wordt? Vindt u het onwenselijk als dit wel het geval zou zijn?

Zoals eerder vermeld in vraag 2, is op verzoek van Nederland een aanvullende overweging opgenomen in de verordening die expliciet stelt dat niets in het voorstel mag worden opgevat als het opleggen van verplichte detectie. De wenselijkheid van deze extra waarborg is door de Juridische Dienst van de Raad bevestigd.
In het laatste voorstel van de verordening is wel een reviewclausule opgenomen waarin is opgenomen dat over 3 jaar zal worden gekeken naar de noodzaak en haalbaarheid van het opnemen van detectieverplichtingen in het toepassingsgebied van deze verordening. Hierbij zal ook worden gekeken naar de geschiktheid van de technologieën op dat moment voor het detecteren van materiaal met betrekking tot seksueel misbruik van kinderen en het benaderen van kinderen. Het kabinet heeft eerder erkend dat technologische ontwikkelingen voortdurend veranderen. Nieuwe technologieën of relevante inzichten kunnen aanleiding geven om bestaande standpunten te heroverwegen. Mocht dit het geval zijn, dan is het belangrijk om deze ontwikkelingen te onderzoeken en te toetsen.
Bij een reviewclausule in de EU-wetgeving moet, na evaluatie van de wet of het beleid, altijd nog een regulier wetgevingsproces worden doorlopen. Dit houdt in dat eventuele wijzigingen pas doorgevoerd kunnen worden nadat ze zijn goedgekeurd door zowel de Raad als het Europees Parlement. Nederland kan zich in dat proces opnieuw uitspreken over het standpunt. Bovendien staan het huidige kabinetsstandpunt en de aangenomen moties vanuit uw Kamer niet toe dat Nederland zich op dit moment positief opstelt tegenover enige vorm van verplichte detectie.

Vraag 5

Bent u het met de indiener eens dat Nederland niet in kan stemmen met een compromisvoorstel, zolang chatcontrole niet 100% is uitgesloten conform de aangenomen motie-Kathmann c.s.3, zowel nu als in de toekomst?

Naar aanleiding van de in vraag benoemde motie, heeft het kabinet per Kamerbrief op 29 november 2024 gecommuniceerd dat het in lijn met die motie geen voorstellen zal ondersteunen die verplichte detectie in de privécommunicatie van alle burgers inhouden.4 Het meest recente compromisvoorstel betreft geen verplichte detectie meer, maar zet in op de voortzetting van de huidige Nederlandse (en internationale) praktijk, die is gebaseerd op vrijwillige detectie door diensten. De in vraag 3 toegelichte extra overweging in het voorstel waarborgt dat niets in deze verordening mag leiden tot of mag worden opgevat als het opleggen van detectieverplichtingen aan aanbieders. Toch zijn de zorgen van Nederland met betrekking tot de grondrechten en de digitale weerbaarheid onvoldoende weggenomen. Hierover is op 18 november jl. een brief aan uw Kamer verzonden.5

Vraag 6

Wat is de inzet van Nederland in de besprekingen van het compromisvoorstel? Kunt u voorbereidende notities, waarin de overwegingen van het kabinet over dit voorstel worden beschreven, aan de Kamer doen toekomen?

In de Kamerbrief die het kabinet op 18 november jl. aan uw Kamer heeft toegezonden, licht het kabinet zijn positie ten aanzien van het meest recente voorstel toe. Met het permanent maken van de vrijwillige detectie verdwijnt de periodieke heroverweging van de balans tussen het doel van de detectie en privacy- en veiligheidsoverwegingen. Dat vindt het kabinet een groot risico. Het verwijderen van verplichte detectie is een grote stap geweest richting de positie van Nederland. Het kabinet is het voorzitterschap hiervoor erkentelijk. Helaas zijn niet alle zorgen van Nederland, zoals toegelicht in de hierboven genoemde brieven, weggenomen.
Dit resulteert erin dat Nederland zich zal onthouden. Tijdens de Coreper-vergadering van 26 november zal het voorstel als hamerstuk worden behandeld. Hiertoe heeft het Voorzitterschap besloten, omdat naar verwachting voldoende steun bestaat voor het voorstel (QMV). Hoewel het ongebruikelijk is om bij een hamerstuk een verklaring af te leggen, kiest Nederland er vanwege de aanhoudende zorgen toch voor om zich te onthouden en een verklaring in te brengen waarin deze zorgen worden uiteengezet.
De instructies (voorbereidende notities) maken deel uit van het diplomatieke verkeer. Om de Nederlandse onderhandelingspositie en de diplomatieke betrekkingen te beschermen kan ik deze niet met de Kamer delen.

Vraag 7

Op welk niveau is de inzet van Nederland in deze bespreking bepaald? Kunt u duidelijk maken welke departementen en instanties inspraak hebben gehad over het nationale standpunt? Welke adviezen heeft u betrokken bij de standpuntbepaling?

Zoals hierboven in vraag 6 geschetst, is de Nederlandse inzet tijdens de besprekingen in lijn met het huidige kabinetsstandpunt, zoals opgenomen in de Kamerbrief van 18 november jl. De actief betrokken departementen bij dit voorstel zijn de ministeries van Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Buitenlandse Zaken.

Vraag 8

Heeft u, net als bij het Poolse voorstel in 2024, advies ingewonnen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over de mogelijke veiligheidsgevolgen van het Deense compromisvoorstel? Zo ja, kunt u deze – indien noodzakelijk op hoofdlijnen – met spoed aan de Kamer doen toekomen? Zo nee, kunt u dit alsnog doen voordat er een definitief standpunt wordt bepaald?

Er is advies ingewonnen en dat houdt op hoofdlijnen in dat bij vrijwillige detectie de AIVD de risico's voor de digitale weerbaarheid als zeer hoog inschat. Dit is in lijn met het voorstel onder Pools voorzitterschap.

Vraag 9

Kunt u toezeggen dat u vasthoudt aan de duidelijke tegen-stelling die zij, op verzoek van een brede meerderheid in de Kamer, heeft ingenomen ten opzichte van de CSAM-verordening? Kunt u eveneens toezeggen dat u geen verdere stappen zal zetten op dit dossier totdat dit zowel in de ministerraad is besproken, als door de Tweede Kamer is bekrachtigd, gezien de demissionaire staat van het kabinet?

Nederland heeft in Brussel de bekende rode lijnen herhaald en duidelijk gemaakt dat Nederland onder geen beding kan instemmen met verplichte detectie, conform de kaders geschetst door uw Kamer.
Inzake het nieuwe voorstel zijn de betrokken Ministers gezamenlijk tot een standpuntbepaling gekomen. Uw Kamer is hierover inmiddels op 18 november jl. geïnformeerd. Nederland zal zich onthouden van stemming tijdens de Coreper-vergadering van 26 november. Aanstaande maandag vindt ook een commissiedebat plaats, waarin ik met uw Kamer verder hierover zal spreken.

Vraag 10

Kunt u deze vragen afzonderlijk en op zeer korte termijn beantwoorden, en tot die tijd geen onomkeerbare stappen zetten of toezeggingen doen in het kader van de CSAM-verordening?

Ja.

Vraag 1

Bent u bekend met het rapport van DNB en de AFM waarin wordt gewaarschuwd voor de afhankelijkheid van Amerikaanse techbedrijven in de financiële sector?1

Vraag 2

Wat is uw reactie op dit rapport?

Vraag 3

Bent u het met de indiener eens dat de onafhankelijkheid en weerbaarheid van de financiële sector van algemeen belang is, en dus ook voorwerp van zorg moet zijn voor de regering? Zo nee, waarom niet?

Vraag 4

Bent u bereid om DNB en AFM te steunen door in een publiek-private samenwerking bij te dragen aan een financiële sector die minder afhankelijk is van Amerikaanse techgiganten? Zo ja, welke maatregelen kunt u hiertoe nemen?

Vraag 5

Heeft de Rijksoverheid wat u betreft een voorbeeldfunctie in het verminderen van de afhankelijkheid van Amerikaanse techgiganten? Zo ja, kunt u onderbouwen dat zij deze waarmaakt en er feitelijk afhankelijkheden teruggedrongen zijn?

Vraag 6

Onderschrijft u de oproep van DNB en de AFM dat er scenario’s moeten worden uitgewerkt voor het geval onze afhankelijkheid van Amerikaanse techbedrijven wordt misbruikt, bijvoorbeeld als de VS sancties oplegt of er een cyberaanval plaatsvindt?

Vraag 7

Bent u bereid om, in samenwerking met DNB en de AFM, deze ontwrichtende scenario’s te onderzoeken om te weten welke structurele risico’s er aan de huidige afhankelijkheden kleven?

Vraag 8

Bent u voorstander van een Europese gecoördineerde aanpak en inkoopstrategieën om digitale afhankelijkheden te verkleinen? Welke rol ziet u hierin voor Nederland?

Vraag 9

Welke obstakels zitten verdere Europese samenwerking voor meer digitale autonomie nu in de weg? Hoe draagt Nederland bij aan het wegnemen daarvan?

Vraag 10

Welke mogelijkheden heeft u om bij inkoop- en aanbestedingsprocedures grote niet-Europese techbedrijven, die ook onderhevig zijn aan surveillancewetgeving van niet-Europese landen, uit te sluiten? Hoe geeft u hierbij uitvoering aan de motie-Six Dijkstra c.s.2, de motie-Bruyning/Thijssen3 en de motie-Van der Werf c.s.4?

Vraag 11

Kunt u deze vragen zo spoedig mogelijk en afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u ervan op de hoogte dat de Europese Commissie in het komende jaar een nieuw besluit zal nemen over de voorwaarden waaronder de 2GHz-radiofrequentie, ook wel bekend als het S-band spectrum, gebruikt mag worden?

Ja. Het gaat hier specifiek om de banddelen 1.980–2.010 MHz en 2.170–2.200 MHz, die bij besluit van 14 februari 2007 op Europees niveau zijn geharmoniseerd voor de implementatie van systemen voor mobiele satellietdiensten.1 Beschikking 626/2008/EG2 van het Europees Parlement en de Raad van 30 juni 2008 bepaalt dat de rechten voor 18 jaar worden verleend, gerekend vanaf het moment van het selectiebesluit. Het selectiebesluit is genomen op 13 mei 2009 en de Commissie werkt op dit moment aan de vervolgstappen.3

Vraag 2

Bent u ervan op de hoogte dat de twee bedrijven1 die in 2007 voor 20 jaar de licenties van het spectrum in handen kregen inmiddels zijn overgekocht door Amerikaanse partijen?2 Wat vindt u ervan dat deze licenties voor satellietcommunicatie niet meer in Europese handen zijn?

Ja, ik ben op de hoogte van de genoemde overnames. Ik vind het van belang dat het spectrum voor mobiele satellietdiensten na 2027 toegankelijk zal zijn voor partijen die interesse hebben in het aanbieden van diensten in deze band onder de door de Commissie gestelde voorwaarden. Ik zal richting de Europese Commissie bepleiten om zogenoemde «wholesale-verplichtingen» op te nemen in een eventuele nieuwe beschikking, dat wil zeggen dat andere partijen gebruik kunnen maken van het netwerk om diensten aan te bieden. Het opnemen van een dergelijke verplichting voorkomt het ontstaan van een risicovolle strategische afhankelijkheid van één of twee partijen.

Vraag 3

Hoe reageert u op het gegeven dat het Amerikaanse SpaceX voor 17 miljard dollar aan communicatiefrequentie koopt bij EchoStar Corporation om particulier te gebruiken in het netwerk van Starlink?3 Is dit in lijn met uw visie op de vraag hoe de 2GHz-frequentie gebruikt zou moeten worden?

Het is nog onbekend of de Europese frequentierechten van EchoStar ten aanzien van de banddelen 1.980–2.010 MHz en 2.170–2.200 MHz onderdeel uitmaken van de deal die EchoStar heeft gesloten met SpaceX. In algemene zin ben ik geen voorstander van het ontstaan van afhankelijkheid van één of twee individuele partijen. Zie hiertoe ook het antwoord onder 2.

Vraag 4

Kunt u het vervolgproces toelichten over de vraag hoe de voorwaarden worden opgesteld waaronder de 2GHz-frequentie in de toekomst gebruikt mag worden? Op welke momenten vindt hierover besluitvorming plaats en wanneer worden er onomkeerbare besluiten genomen?

De Europese Commissie beschikt over de bevoegdheid om een voorstel te doen over voorwaarden van gebruik van de 2 GHz-banddelen die Europees geharmoniseerd zijn. De Europese Commissie wordt hierin bijgestaan door het Comité voor Communicatie («CoCom»), zoals vastgelegd in artikel 118 van de Telecomcode.7 Indien de commissie een voorstel doet voor aanpassing van de geldende besluiten is de gewone wetgevingsprocedure van toepassing.8 Dit betekent dat een nieuw voorstel wordt voorgelegd aan het Europees Parlement en de Europese Raad. De instemming van beide gremia is vereist voor de inwerkingtreding van een eventueel nieuw voorstel dat de huidige EU-besluiten met betrekking tot de 2 GHz-banddelen zou vervangen. De Europese Commissie heeft momenteel nog geen aankondiging gedaan ten aanzien van een nieuw voorstel.

Vraag 5

Heeft de 2GHz-frequentie een strategisch belang, bijvoorbeeld voor defensieve of civiele doeleinden? Kunt u schetsen op welke manieren de frequentie in de komende 18 jaar gebruikt kan worden?

In februari 2024 heeft de Radio Spectrum Policy Group (hierna: «RSPG») de Europese Commissie geadviseerd over de toekomst van de 2 GHz-banddelen.9 De RSPG bestaat uit vertegenwoordigers uit alle lidstaten die de Europese Commissie adviseren over Europees spectrumbeleid. In dit advies zijn verschillende scenario’s gepresenteerd over op welke manier deze banddelen gebruikt zouden kunnen worden. De scenario’s zijn gebaseerd op input van Europese stakeholders, die tijdens de totstandkoming van het advies in de periode van 9 november 2023 tot 21 december 2023 zijn geconsulteerd.10 De gepresenteerde scenario’s zijn: 1. Geen nieuwe bandindeling, huidige situatie met twee vergunninghouders voortzetten; 2. Verschillende nieuwe bandindelingen voor meerdere satellietoperators of voor innovatieve toepassingen die minder bandbreedte dan satellietoperators nodig hebben. Per scenario is eveneens gekeken naar de mogelijke voordelen voor de Europese Unie. Met inachtneming van de bestemming zijn er verschillende toepassingen denkbaar zowel ten aanzien van commercieel- als overheidsgebruik van de frequentieruimte.

Vraag 6

Is bij u bekend of door het directoraat-generaal Defensie en Ruimte (DEFIS) een behoefte is geformuleerd om de 2GHz-frequentie voor het IRIS2-netwerk te gebruiken? Zo ja, kunt u toelichten wat deze behoefte is?

Nee, er is geen formeel verzoek bij mij bekend.

Vraag 7

Wat is uw visie op de ontwikkeling van een «direct-to-device» functie, waarmee communicatie tussen satellieten en doorsnee smartphones mogelijk wordt? Verwacht u dat dit een veelgebruikte toepassing gaat zijn voor consumenten of dat dit strategische toepassing voor defensie zal ondersteunen? Voor welk van deze doeleinden zal de 2GHz-frequentie in de toekomst worden ingezet?

Direct-to-device communicatie, ook wel D2D genoemd, kan in verschillende frequentiebanden verzorgd worden en niet alleen in de onderhavige specifieke banddelen van de 2 GHz (1.980–2.010 MHz en 2.170–2.200 MHz). In juni 2025 heeft de RSPG de Europese Commissie geadviseerd over direct-to-device connectiviteit en de mogelijke varianten daarvan.11 Hierin is onder andere onderscheid gemaakt in direct-to-device in IMT banden (banden bestemd voor mobiele communicatie) en in MSS banden (banden bestemd voor satellietdiensten). Het kabinet onderschrijft de analyse in het RSPG advies. De verwachting is dat er binnen Nederland weinig vraag zal zijn naar D2D-diensten met betrekking tot IMT. Gelet op de uitstekende dekking die de mobiele operators bieden zijn er nagenoeg geen gebieden waar er geen goede mobiele netwerkdekking aanwezig is.

Vraag 8

Deelt u de zorgen dat Deutsche Telekom, een (toekomstig) afnemer van de «direct-to-device» diensten van Starlink,4 belang heeft bij het verlenen van de 2GHz-frequentie aan een bedrijf dat zaken doet met SpaceX en tegelijkertijd betrokken is bij de besluitvorming van de Europese Commissie?

Het besluitvormingsproces ligt bij de Europese Commissie. Indien de commissie een nieuw voorstel doet is de gewone wetgevingsprocedure hierbij van toepassing, zoals aangegeven in het antwoord op vraag 4. Het besluitvormingsproces ligt niet bij private partijen. Deutsche Telekom is als zodanig niet betrokken bij de besluitvorming van de Europese Commissie.

Vraag 9

Heeft u kennisgenomen van het adviesrapport van Detecon, een consultancybedrijf dat onder Deutsche Telekom valt, waarin de Europese Commissie wordt geadviseerd over de voorwaarden waaronder de 2GHz-frequentie in de toekomst verleend moet worden?5 Wat is uw reactie op dat rapport?

Ja. Het rapport maakt onderdeel uit van het besluitvormingsproces en dient als advies aan de Europese Commissie.

Vraag 10

Hoe borgen de Europese Commissie en lidstaten de onafhankelijkheid van de adviezen die worden betrokken bij de besluitvorming over het (mogelijke) toekomstige gebruik van de licenties voor de 2GHz-frequentie?

Het gaat hierbij om een advies aan de Europese Commissie met betrekking tot het (Europese) regelgevende kader ten aanzien van het geharmoniseerde deel van de 2 GHz-frequentieband. Het rapport is onder verantwoordelijkheid van de Europese Commissie tot stand gekomen. In algemene zin wijst de Europese Commissie onafhankelijke experts aan voor de beoordeling van inschrijvingen indien er sprake is van een aanbestedingsprocedure.14 In dit specifieke geval heeft de Commissie een tender met voorwaarden uitgeschreven.15

Vraag 11

Welke kaders gelden er voor de wijze waarop de Europese Commissie de licenties voor dit spectrum vaststelt? Aan welke voorwaarden moeten de licentiehouders (gaan) voldoen? Hoe wordt gewaarborgd dat deze licenties ten goede komen aan de Europese economie en autonomie?

De kaders voor het gebruik van dit spectrum zijn vastgelegd in beschikking 626/2008/EG, waarin ook is vastgelegd aan welke voorwaarden partijen moeten voldoen.16 Er is vooralsnog geen nieuw kader opgesteld door de Europese Commissie.
Het huidige kader omvat een vergelijkende selectieprocedure, waarbij aanvragers onder andere moeten aantonen dat hun mobiele satellietsysteem het vereiste technische en commerciële ontwikkelingsniveau heeft bereikt.
In de beschikking waarin is bepaald dat de 2 GHz-banddelen Europees geharmoniseerd worden voor de implementatie van systemen voor mobiele satellietdiensten, is aangegeven welke doelen deze harmonisatie dient. Zo is hier onder andere in vermeld dat pan-Europese telecommunicatie een verbetering kan betekenen van de dienstverlening in plattelandsgebieden in de Europese Unie en zo de digitale kloof op geografisch niveau kunnen verkleinen. Ook is aangegeven dat de invoering van nieuwe MSS-systemen tevens een bijdrage zou kunnen leveren aan de ontwikkeling van de interne markt en de mededinging kunnen verbeteren door het aanbod en de beschikbaarheid van pan-Europese diensten en eind-tot-eindverbindingen uit te breiden en doelmatige investeringen aan te moedigen. Bij de weging in de vergelijkende selectieprocedure zijn de voordelen voor de consument en algemene belangen als veiligheid meegenomen.

Vraag 12

Wat zijn de uitkomsten van de consultatieronde van de Commissie bij de belanghebbenden rond deze spectrumbanden?6 Welke belanghebbenden zijn er? Zijn er Nederlandse belanghebbenden en hoe worden hun belangen meegewogen in de besluitvorming?

Een samenvatting van de uitkomsten van de consultatieronde zijn op 10 november jl. gepubliceerd door de Europese Commissie: Summary report of the Targeted Consultation on Mobile Satellite Services | Shaping Europe’s digital future. Hierbij zijn ook de niet vertrouwelijke reacties op de consultatie gepubliceerd. Hier zit geen reactie van een Nederlandse belanghebbende bij. In aanvulling hierop is door mij aan de bekende Nederlandse belanghebbenden een uitvraag gedaan naar de behoefte om deze specifieke banddelen in gebruik te nemen. De uitkomsten van deze uitvraag zullen gebruikt worden ter bepaling van het Nederlandse standpunt richting de Europese Commissie.

Vraag 13

Heeft Nederland een zienswijze over de voorwaarden waaronder de Europese Commissie voor de komende achttien jaar het gebruik van het 2GHz-frequentie moet aanbieden? Zo ja, kunt u die toelichten?

Het kabinet onderschrijft de adviezen over mogelijke scenario’s voor de 2 GHz-banddelen zoals deze zijn opgesteld door de RSPG. Zie hiervoor het antwoord op vraag 5.

Vraag 14

Bent u het ermee eens dat toegang tot de 2GHz-frequentie niet aan de hoogste bieder moet worden verkocht, maar aan partijen die het maatschappelijk en strategische belang van de Europese Unie dienen?

De selectiecriteria in het huidige kader voor toegang tot de 2 GHz-banddelen zijn opgenomen in beschikking 626/2008/EG18, en betreffen een vergelijkende toets. Onderdelen van de weging zijn onder andere voordelen voor de consument en mededinging (met als subcriteria het aantal eindgebruikers en datum waarop de ononderbroken levering van commerciële diensten begint), spectrumefficiëntie (met als subcriteria de totale hoeveelheid van het vereiste spectrum en de geaggregeerde datastroomcapaciteit), pan-EU geografische dekking en de mate waarin overheidsbeleidsdoelstellingen worden bereikt (waaronder levering van diensten van algemeen belang die bijdragen tot de bescherming van de volksgezondheid, veiligheid of zekerheid van de burgers, integriteit en veiligheid van diensten). Een financieel bod is geen onderdeel van de vergelijkende selectieprocedure zoals in de beschikking is vastgelegd.

Vraag 15

Bent u het ermee eens dat, gezien vanuit het perspectief van strategische autonomie en gezien de gespannen geopolitieke situatie, het van het grootste belang is dat de marktpartijen die toegang krijgen tot de 2GHz-frequentie volledig Europees zijn?

Ik ben het er mee eens dat Europese partijen toegang moeten krijgen tot dit spectrum. Het opleggen van een wholesale-verplichting zou dit kunnen bewerkstelligen. Zie hiertoe meer uitgebreid de antwoorden op vraag 2 en 3.

Vraag 16

Bent u het ermee eens dat het niet wenselijk is dat slechts één of enkele zeer grote telecomaanbieder(s) uit de grootste Europese landen toegang hebben tot dit spectrum ten koste van aanbieders uit kleinere landen?

Ja, daar ben ik het mee eens. Zie ook mijn overweging over het invoeren van een wholesaleverplichting, zoals uiteengezet onder vraag 2. Ten algemene is in de kabinetsappreciatie op het witboek digitale infrastructuur van de Europese Commissie aangegeven dat het kabinet zich altijd hard heeft gemaakt voor aanmoedigen en behouden van voldoende concurrentie op de Europese telecommarkten.19 Het kabinet beschouwt de bestaande verplichtingen voor dominante aanbieders om concurrenten toe te laten op hun netwerken als een belangrijk onderdeel van het telecomkader, mits hiermee de nationale veiligheid niet in het geding komt. Dit speelt een belangrijke rol om betaalbare en hoogwaardige dienstverlening te waarborgen voor Europese consumenten, bedrijven en publieke instellingen.

Vraag 17

Bent u het ermee eens dat het wenselijk is dat er rond de 2GHz-frequentie een volwaardige wholesalemarkt (groothandelsmarkt) ontstaat, waar ook telecomaanbieders uit kleinere Europese landen toegang tot hebben en hierop innovatieve diensten kunnen ontwikkelen?

Ja, zie hiertoe het antwoord op vraag 2.

Vraag 18

Bent u bereid om aan te geven bij de Europese Commissie dat Nederland als voorwaarde stelt dat de 2GHz-frequentie alleen voor Europese partijen beschikbaar komt, en dat hierbij uitgesloten wordt dat bedrijven achteraf door niet-Europese partijen worden overgekocht?

Zoals vermeld in de antwoorden op vragen 2 en 3 ben ik in algemene zin geen voorstander van het ontstaan van afhankelijkheid van één of twee individuele partijen, en is mijn standpunt dat het van belang is dat het spectrum voor mobiele satellietdiensten na 2027 toegankelijk zal zijn voor partijen die interesse hebben in het aanbieden van diensten in deze band onder de door de Commissie gestelde voorwaarden.
Ik zal vanuit het perspectief van het voorkomen van afhankelijkheden richting de Europese Commissie bepleiten om zogenoemde «wholesale-verplichtingen» op te nemen, dat wil zeggen dat andere partijen gebruik kunnen maken van het netwerk om diensten aan te bieden, indien aanpassing van de onderliggende besluiten aan de orde is gericht op het aanwijzen van nieuwe partijen na 2027. Het opnemen van een dergelijke verplichting voorkomt het ontstaan van een risicovolle strategische afhankelijkheid van één of twee partijen.

Vraag 19

Is het mogelijk om in de voorwaarden die de Europese Commissie stelt op te nemen dat de partijen die de 2GHz-frequentie mogen gebruiken, worden verplicht om andere betrouwbare partijen wholesale toegang tot de frequentie te verlenen, zodat zij hier ook gebruik van kunnen maken?

Vooralsnog geldt het huidige kader, zoals omschreven in het antwoord op vraag 11. Afhankelijk van de voorstellen van de Europese Commissie, die op dit moment nog niet bekend zijn, zullen er mogelijkheden zijn om de voorwaarden aan te passen. In dat geval zal ik richting de Europese Commissie pleiten voor het opnemen van «wholesale-verplichtingen». Zie hiertoe ook mijn antwoord op vraag 2.

Vraag 20

Bent u eveneens bereid om ervoor te pleiten dat de gegunde partijen op nationaal en internationaal niveau toegang moeten verlenen tot de 2GHz-frequentie aan andere betrouwbare partijen, zodat er geen risico ontstaat op een mono- of duopolie in heel Europa?

Zie hiervoor het antwoord op vraag 2.

Vraag 21

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, nog vóórdat er onomkeerbare stappen worden gezet door de Europese Commissie?

Ja.

Vraag 1

Kunt u reflecteren op de immateriële schaderegeling die DeHaan en de Nederlandse Aardolie Maatschappij (NAM) zijn overeengekomen?1

Een groep bewoners heeft ervoor gekozen hun proces tegen de NAM af te wachten en niet over te stappen naar de immateriële schaderegeling van het Instituut Mijnbouwschade Groningen (IMG). Ik ben blij dat nu ook deze groep bewoners een vergoeding krijgt voor hun geleden immateriële schade en gederfd woongenot. Zij kunnen nu een keuze maken tussen deze schikking en de IMG-regeling.

Vraag 2

Is hiermee volgens u voldoende recht gedaan aan het leed van de gedupeerden, de eisers, voor de mentale schade die zij hebben geleden als gevolg van de gaswinning?

Dit is niet aan mij als Staatssecretaris om te beoordelen, omdat het hier gaat om een schikking tussen private partijen. Wel ben ik blij dat er nu voor deze groep mensen een einde aan het wachten is gekomen.

Vraag 3

Gederfd woongenot wordt in de schadevergoeding, overeengekomen tussen de eisers en de NAM, vergoed, deelt u de mening dat dat een belangrijk succes is?

Ja, die mening deel ik. Het is belangrijk dat bewoners alle vormen van schade die zij geleden hebben als gevolg van de exploitatie of aanleg van het Groningenveld en de gasopslagen Norg en Grijpskerk vergoed krijgen.

Vraag 4

In 2019 heeft de Hoge Raad bevestigd dat gederfd woongenot materiële schade is, hoe kan het dat er zes jaar later nog geen regeling is om alle gedupeerden met gederfd woongenot te compenseren?

Vanaf de start in juli 2020 heeft het IMG zich in eerste instantie gericht op het ontwikkelen en uitvoeren van regelingen om fysieke en immateriële schade van gedupeerden te vergoeden. Ook is er een regeling voor compensatie van waardedaling (woningen en niet-woningen) ontwikkeld en op dit moment wordt – naar aanleiding van de parlementaire enquête aardgaswinning Groningen en de kabinetsreactie Nij Begun in 2023 – gewerkt aan de (verdere) uitrol van de regelingen Daadwerkelijk Herstel tot € 60.000, de Aanvullende Vaste Vergoeding, de Vaste Herhaalvergoeding en Duurzaam Herstel. Het betreft allemaal unieke en nieuwe regelingen waarvoor geen voorbeelden bestaan, het ontwikkelen en uitrollen van deze regelingen vergt tijd. Het IMG heeft aan de ontwikkeling van bovenstaande regelingen prioriteit gegeven, omdat die relevant zijn voor de grootste groep bewoners. Wel wordt door het IMG al gewerkt aan een regeling voor gederfd woongenot, in lijn met de uitspraak van de Hoge Raad uit 2021 dat ook deze vorm van schade moet worden vergoed. Het IMG handelt daarmee straks ook deze vorm van schade af als gevolg van de aansprakelijkheid van de NAM. De verwachting is dat deze regeling in 2027 van start kan gaan.

Vraag 5

In januari 2025 gaf u in antwoord op Kamervragen aan dat er dit jaar een besluit zou worden genomen over een regeling voor gederfd woongenot, hoe ver staat het daarmee?2

Zie antwoord op vraag 4.

Vraag 6

Vindt u dat een eventuele regeling van het Instituut Mijnbouwschade Groningen (IMG) inzake gederfd woongenot er grofweg hetzelfde uit moet komen te zien als de overeengekomen vergoeding tussen de DeHaan en de NAM?

Het IMG gaat als zelfstanding bestuursorgaan over de ontwikkeling en werkwijze van nieuwe regelingen die zien op de afhandeling van schade waar de NAM voor aansprakelijk is. Het IMG kijkt daarbij goed naar recente ontwikkelingen en bijvoorbeeld rechterlijke uitspraken. Ten algemene geldt dat bewoners ruimhartig vergoed moeten worden voor de schade die is geleden als gevolg van de exploitatie of aanleg van het Groningenveld en de gasopslagen Norg en Grijpskerk. Dit is ook wettelijk vastgelegd. Daarbij is het ook belangrijk om aan te geven dat het IMG bij de ontwikkeling van regelingen met andere kaders en afwegingen te maken heeft dan dat bij een privaatrechtelijke schikking tussen twee partijen het geval is.

Vraag 7

De immateriële schaderegeling van het IMG krijgt al zeer lange tijd een negatief rapportcijfer van de betrokkenen, wat vindt u daarvan? De laatste cijfers van het IMG laten zien dat de regeling nog steeds slechts een 5 scoort, deelt u de mening dat dit zeer onwenselijk is?3

Zoals ook in mijn eerdere beantwoording op vragen van de leden Beckerman en Bushoff van 9 mei jl.4 aangeven, is het lastig om een erkenning voor ernstig verdriet of lijden als gevolg van de gaswinningvorm te geven in een generieke schaderegeling, juist omdat leed voor iedereen zo persoonlijk is. Het IMG ziet als mogelijke verklaring voor de lage waardering van de immateriële schaderegeling dat het voor iedereen mogelijk is om een schadeaanvraag voor immateriële schade te doen, los van de vraag of je binnen het effectgebied woont of fysieke schade aan een gebouw hebt gemeld. Welk recht iemand heeft op deze vergoeding wordt bepaald aan de hand van de bouwstenen locatie en veiligheid van de woning, de omvang van de schade daaraan, de doorlooptijd van de schademelding en de persoonlijke impact die iemand heeft ervaren. Een afwijzing van een aanvraag kan als een ontkenning van persoonlijke leed worden ervaren, bewoners met een afwijzing scoren de regeling dan ook veel lager dan bewoners die een toewijzing hebben ontvangen. Over 2024 scoort de immateriële schadevergoeding gemiddeld een 5,5, aanvragers die de vergoeding wel hebben ontvangen geven de regeling een 7,6. Om bewoners te helpen een inschatting te maken of zij recht hebben op een immateriële schadevergoeding heeft het IMG een QuickScan op de website staan, hiermee kan de bewoner snel zien of het zin heeft om een aanvraag te doen.

Vraag 8

Erkent u de signalen van gedupeerden die immateriële schadevergoeding hebben aangevraagd dat ze zich niet erkend voelen door een regeling bedoeld om aangedaan leed te erkennen? Erkent u de signalen over ongelijkheid tussen gedupeerden door deze regeling? Kunt u uw antwoord toelichten?

Zie mijn beantwoording van vraag 7. Het is lastig om met een generieke regeling erkenning te geven aan persoonlijk leed. Met Nij Begun maatregel 8 is er een aantal verruimingen aangekondigd die inmiddels door het IMG zijn doorgevoerd om verschillen zo veel mogelijk te voorkomen. Zo krijgt nu iedereen binnen een huishouden, ook minderjarigen, dezelfde vergoeding en hierbij is de hoogste vergoeding binnen het huishouden leidend. Ook wordt veiligheid van de woning nu zwaarder gewogen bij de IMG-regeling, waardoor bewoners die door deze onveiligheid onderdeel zijn van de versterkingsopgave of een sloop/nieuwbouwtraject altijd de hoogste vergoeding krijgen. Ook worden aanvragen van huurders en andere niet-woningeigenaren nu op dezelfde wijze beoordeeld.
In de gestelde vragen wordt enerzijds gevraagd naar het voorkomen van verschillen en anderzijds erkenning voor gedupeerden. Juist omdat erkenning voor iedereen verschillend is, zit tussen deze uitgangspunten een spanningsveld. Het IMG kijkt bij de vaststelling van de immateriële schadevergoeding naar een aantal objectieve criteria (bouwstenen): de locatie, de veiligheid, de omvang van de schade en de doorlooptijd van de schadeaanvraag. Daarnaast krijgen bewoners de mogelijkheid om via een vragenlijst de persoonlijke impact extra tot uitdrukking te brengen, deze vragenlijst kan aan aanleiding geven om de schadevergoeding op basis van objectieve criteria naar boven bij te stellen. Op deze manier wordt geprobeerd om recht te doen aan allebei de uitgangspunten.

Vraag 9

Hoe beoordeelt u dat er een verschil ontstaat tussen de immateriële schaderegeling zoals nu overeengekomen tussen de eisers en de NAM en de overige gedupeerden die aangewezen zijn op het IMG?

Naast de publiekrechtelijke schadeafhandeling via het IMG hebben bewoners nog altijd de wettelijke mogelijkheid om in een civiele procedure de NAM rechtstreeks aansprakelijk te stellen. Dit maakt dat dit soort verschillen niet volledig te voorkomen zijn. Voor de groep bewoners die onderdeel is van de schikking van De Haan met de NAM geldt dat wanneer zij voor hun immateriële schade minder ontvangen via de schikking dan dat zij van het IMG zouden ontvangen, het mogelijk blijft om de overstap naar het IMG te maken. Deze overstap is per schadesoort. Dit betekent dat, bijvoorbeeld, deze bewoners ervoor kunnen kiezen voor immateriële schade over te stappen naar het IMG, maar voor gederfd woongenot gebruik te blijven maken van de schikking tussen DeHaan en de NAM.

Vraag 10

Erkent u dat de in 2023 aangenomen motie-Beckerman (Kamerstuk 33 529, nr. 1126), met als dictum «verzoekt de regering te komen tot een rechtvaardige regeling voor immateriële schade, waarbij ook versterking en sloop/nieuwbouw worden meegenomen, ongewenste verschillen worden opgelost en de toegekende bedragen, met name voor kinderen, worden verhoogd», nog niet volledig is uitgevoerd?

Nee, deze motie is uitgevoerd5. De immateriële schaderegeling van het IMG is zorgvuldig tot stand gekomen en rechterlijk getoetst.6 Daarnaast is de regeling zoals eerder in de beantwoording aangeven op verschillende punten verruimd zoals in Nij Begun ook is toegezegd.

Vraag 11

Bent u bereidt de immateriële schaderegeling van het IMG aan te passen?

Nee, ik ga het IMG niet vragen de regeling te herzien. Beide regelingen kennen een andere systematiek en een andere context, zoals ik beschreef in het antwoord op vraag 6.
De regeling van het IMG is zo ontwikkeld dat een grote groep snel geholpen kan worden, maar dat er ook recht wordt gedaan aan de individuele situatie. De schikking van DeHaan met de NAM is voor een kleinere groep mensen en is de uitkomst van een schikking tussen private partijen.
Voor een deel van de bewoners zal de schikking van DeHaan met de NAM nadeliger uitvallen dan de immateriële schaderegeling van het IMG, voor een groter deel is de verwachting dat het verschil beperkt zal zijn en voor een deel van bewoners zal de regeling van DeHaan gunstiger uitpakken.
Zoals aangegeven in het antwoord op vraag 9 kunnen mensen alsnog overstappen naar de regeling voor immateriële schade van IMG.

Vraag 12

Wat vindt u van het feit dat er een jarenlang juridisch gevecht voor nodig is voordat de NAM haar verantwoordelijkheid neemt in het compenseren van de gelede immateriële schade?

Ik vind het vervelend dat deze bewoners lang hebben moeten wachten. Zoals aangegeven mogen bewoners de keuze voor een civielrechtelijke procedure echter zelf maken. Ik vind het belangrijk dat bewoners altijd een goed alternatief hebben via de publiekrechtelijke regeling van het IMG
In mijn brief van september jl.7 heb ik aangeven dat ik ten algemene aandacht heb voor de lang lopende dossiers die nog in procedure zijn met de NAM. NAM heeft aangeven mee te willen denken over de afronding van de nog lopende civielrechtelijke zaken. Als een dergelijke procedure wordt beëindigd, komt de reguliere schadeafhandeling door het IMG beschikbaar.

Vraag 13

Hoe beoordeelt u bovenstaand juridisch gevecht dat ervoor nodig was om de NAM in beweging te krijgen mede in het licht van de NAM die ook weigert meerdere rekeningen voor het aangerichte leed in Groningen te betalen?

Zie mijn antwoord op vraag 12.

Vraag 1

Heeft u kennis genomen van het bericht «Honderden Georgiërs werken illegaal in hotels door «gat» in systeem»?1

Ja.

Vraag 2

Bent u zich ervan bewust dat derdelanders zich op grote schaal via de sluiproute van (te) makkelijk te verkrijgen burgerservicenummers (BSN) toegang verschaffen tot de Nederlandse arbeidsmarkt?

De Nederlandse Arbeidsinspectie heeft hierover een bestuurlijk signaal aan mij en de Ministers van Sociale Zaken en Werkgelegenheid (SZW) en Justitie en Veiligheid (JenV) gestuurd. Uw Kamer is hierover geïnformeerd in de brief van de Minister van SZW van 9 september 2025 over het verbeteren van de registratie van arbeidsmigranten.2 Het bestuurlijk signaal is als bijlage met die brief meegestuurd. In de brief worden de huidige en aanvullende maatregelen beschreven.
Ik wil wel graag benadrukken dat een BSN geen enkel recht geeft. De Wet arbeid vreemdelingen (Wav) verbiedt werkgevers om buitenlandse krachten die geen vrije toegang hebben tot de Nederlandse arbeidsmarkt, zonder geldige Tewerkstellingsvergunning (twv) of Gecombineerde vergunning verblijf en arbeid (gvva) voor zich te laten werken. Het maakt hiervoor niet uit of de betreffende persoon in het bezit is van een BSN.

Vraag 3

Klopt het dat uit een analyse van de Arbeidsinspectie blijkt dat duizenden migranten in de Registratie Niet-Ingezeten (RNI) onder een andere nationaliteit geregistreerd staan dan in de polis-administratie van het UWV en de Belastingdienst? Wat gaat u eraan doen om de registratie bij de RNI-loketten op orde te brengen?

Ja, er staan mensen in de Polisadministratie geregistreerd met een andere nationaliteit dan in de Basisregistratie Personen (BRP) waar de RNI deel van uitmaakt.
Hoewel het ook mogelijk is dat mensen meerdere nationaliteiten hebben, en er bij de werkgever ook een geldig document getoond kan zijn, geeft het verschil tussen BRP en Polisadministratie een indicatie dat er mogelijk bij de werkgever identiteitsfraude is gepleegd met een vals ID-document met een EER-nationaliteit (om daarmee recht op toegang tot de arbeidsmarkt te veinzen).
De registratie bij de RNI-loketten is in deze gevallen op orde. In door de Arbeidsinspectie aangekaarte casus, identificeert de derdelander zich immers met een geldig ID-bewijs aan het RNI-loket. Aan het RNI-loket hebben de medewerkers de deskundigheid en diverse hulpmiddelen om geldigheid van documenten te controleren, vervalste ID-documenten te herkennen en zich ervan te verzekeren dat de persoon aan de balie ook de persoon is van wie het ID-document is. Het document is daar gecontroleerd, en de nationaliteit is daarbij geregistreerd. De identiteitsfraude vindt vervolgens plaats bij de werkgever. Het is niet te voorkomen bij het RNI-loket dat vervolgens op een andere plek een ander (vals) document wordt gebruikt bij de identificatie.

Vraag 4

Hoeveel mensen beschikken naar schatting over een BSN, zonder dat zij het recht hebben om in Nederland te werken, inclusief ook (schijn)zelfstandigen en mensen die hier zwart werken?

Ruim 25 miljoen personen hebben een BSN. Ruim achttien miljoen omdat ze als inwoner van Nederland geregistreerd staan in de BRP. De ruim zeven miljoen anderen betreffen niet-ingezetenen. Het ter beschikking hebben van een BSN geeft mensen geen enkel recht. Of iemand al dan niet recht heeft om te werken, kan niet uit het BSN worden afgeleid.
De Nederlandse Arbeidsinspectie beschrijft in haar signaal dat het mogelijk om duizenden personen gaat die over een BSN beschikken zonder dat zij het recht hebben om te werken in Nederland.

Vraag 5

Bent u bereid om per direct te stoppen met het verstrekken van het BSN via de RNI-loketten? Bent u bereid om het BSN aan derdelanders, als onderdeel van de toets op het recht op verblijf en arbeid, voortaan door de Immigratie- en Naturalisatiedienst te laten verstrekken?

Ik laat, zoals eerder gemeld, onderzoeken of het effectief en proportioneel kan zijn om inschrijving aan RNI-loketten voor derdelanders uit te sluiten. Derdelanders zouden dan alleen nog een BSN verstrekt kunnen krijgen bij inschrijving bij een gemeente of via een aangewezen bestuursorgaan3. Daarvoor is aanpassing van wet- en regelgeving nodig. Hierbij moet goed onderzocht worden of dit niet leidt tot ongewenste situaties waarin een derdelander niet meer kan beschikken over een BSN terwijl dit nodig is bij uitvoering van overheidstaken. Daarnaast moet gekeken worden naar het risico van toename van identiteitsfraude (gebruik van een vals EER-document of document van iemand anders).
Zoals in de Kamerbrief4 gemeld wordt als eerste stap het aantal RNI-loketten waaraan derdelanders terecht kunnen voor een BSN beperkt en wordt onderzocht welke maatregelen verder genomen kunnen worden. Per 2 januari kunnen derdelanders alleen nog terecht bij de RNI-loketten in Breda en Venlo.5 BZK werkt met ketenpartners aan een plan voor de verdere aanpak.

Vraag 6

Welke sancties bestaan er in het huidige wettelijk regime voor werkgevers die derdelanders illegaal te werk stellen, al dan niet via tussenkomst van een uitzendbureau? Bent u bereid om de wettelijke sancties zowel voor inleners als uitzendbureaus verder aan te scherpen?

De Nederlandse Arbeidsinspectie beschikt over het instrumentarium om op te treden bij illegale tewerkstelling van derdelanders. Op basis van de Wet arbeid vreemdelingen (Wav) kan zij bij overtredingen boetes en sancties opleggen.
Het kabinet heeft bovendien afgelopen jaar besloten om de boetes voor bedrijven die arbeidswetten overtreden te verhogen.6 De boetes zullen hoger worden omdat ze met terugwerkende kracht worden geïndexeerd. De verwachting is dat ze met ongeveer 18% per overtreding zullen stijgen. Vanaf dan zal er wel jaarlijks een indexatie plaatsvinden van de bedragen. Daarnaast is reeds begin 2025 het boetebeleid voor de Wav aangepast. In deze nieuwe regels – die gelden voor overtredingen sinds 1 februari van dit jaar – is er onder andere meer differentiatie in de hoogte van de boete, afhankelijk van de mate van verwijtbaarheid van een overtreder. Er kunnen daardoor hogere boetes opgelegd worden aan werkgevers voor illegale tewerkstelling wanneer zij deze overtreding opzettelijk begaan. Deze boetes voor werkgevers bij illegale tewerkstelling kunnen oplopen tot 11.250 euro per arbeidskracht.

Vraag 7

Welke sancties zijn er voor derdelanders die illegaal in Nederland werken, als zij door de Arbeidsinspectie worden aangetroffen? Wordt hun verblijfsstatus gecontroleerd en worden zij uitgezet indien zij geen verblijfsrecht hebben? Worden zij uitgeschreven bij het RNI-loket? Wordt hun BSN ingetrokken en de toegang tot overheidsdiensten (zoals een beroep op mogelijk onterecht opgebouwde socialezekerheidsrechten) ontzegd? Zo nee, waarom niet?

Er zijn verschillende verblijfsrechtelijke situaties waarin derdelanders illegaal werken in Nederland. Het kan gaan om vreemdelingen die onrechtmatig in Nederland verblijven, bijvoorbeeld op basis van valse ID-documenten zoals in de onderhavige casus. Omdat zij geen verblijfsvergunning hebben of hebben aangevraagd, heeft de Immigratie- en Naturalisatiedienst (IND) hier verder geen rol.
Dat ligt anders wanneer het gaat om illegale arbeid die verricht wordt door vreemdelingen die wel legaal verblijven in Nederland. Het verrichten van arbeid in strijd met de Wet arbeid vreemdelingen (Wav) is in de Vreemdelingenwet 2000 een facultatieve grond om de verblijfsvergunning in te trekken. Wanneer het gaat om vreemdelingen die een verblijfsvergunning voor arbeid hebben, maar illegaal werken omdat zij ander werk doen dan waarvoor zij de verblijfsvergunning hebben gekregen, voldoet de vreemdeling niet langer aan de beperking waaronder de verblijfsvergunning is afgegeven. De IND zal dan in beginsel de verblijfsvergunning intrekken.
Wanneer de vreemdeling illegaal arbeid verricht en beschikt over een verblijfsvergunning voor een ander doel dan verrichten van arbeid, ligt het genuanceerder. De vreemdeling kan bijvoorbeeld een verblijfsvergunning voor gezinshereniging hebben met de aantekening dat arbeid niet is toegestaan. In zo’n situatie zal de IND vanwege het gezinsleven de verblijfsvergunning in beginsel niet intrekken. Ook komt het voor dat bijvoorbeeld internationale studenten onder valse voorwendselen naar Nederland worden gehaald en uiteindelijk meer moeten werken dan studeren. In zo’n situatie kijkt de IND of er, naast intrekking van de verblijfsvergunning, ook nog andere opties zijn die recht doen aan het belang van de gedupeerde vreemdeling. Zo kan, wanneer aan de voorwaarden wordt voldaan, studie aan een andere instelling voor hoger onderwijs een mogelijkheid zijn of kan de vreemdeling in aanmerking komen voor een verblijfsvergunning voor arbeid, zoals recent is gebeurd bij een aantal van Indonesische verpleegkundigen, die onder de mom van studie naar Nederland waren gehaald en uiteindelijk vooral arbeid moesten verrichten.
Vreemdelingen die geen verblijfsvergunning hebben of van wie de IND de verblijfsvergunning heeft ingetrokken, dienen Nederland te verlaten, het liefst vrijwillig maar als dat niet gebeurt, kan gedwongen uitzetting aan de orde zijn.
Een BSN geeft geen rechten, en het BSN intrekken is niet mogelijk. Uitschrijven uit de RNI is ook niet mogelijk en niet wenselijk. Hierover heb ik de Kamer geïnformeerd bij de beantwoording van Kamervragen van de leden Boomsma en Omtzigt over het bericht «Tienduizenden arbeidsmigranten van buiten EU-zonder papieren in Nederland.»7

Vraag 8

Kunt u aangeven wat de stand van zaken is met betrekking tot de invoering van een aanwezigheidsmelding voor arbeidsmigranten direct na binnenkomst, ter vervanging van de registratie via de RNI? Bent u bereid om het verblijfsadres en contactgegevens bij de aanmelding verplicht te stellen, inclusief een verplichting tot adreswijziging bij verhuizing?

De stand van zaken heeft de Minister van SZW mede namens mij aan uw Kamer gemeld in de brief van 9 september 2025 over het verbeteren van de registratie van arbeidsmigranten. In de brief is het proces in België beschreven. In België zijn er op dit moment geen consequenties verbonden aan het nalaten van een melding van aanwezigheid van een persoon. Het is ook geen voorwaarde voor een ander proces zoals inschrijving, werken of sociale zekerheid. In de brief is toegelicht dat daarom de toegevoegde waarde van een aanwezigheidsmelding in de Nederlandse context moet worden onderzocht. Hierbij wordt gekeken naar de uitvoerbaarheid, evenredigheid en het effectief regelen van toezicht en handhaving.
Zoals per brief is toegezegd, wordt uw Kamer hierover verder geïnformeerd in het voorjaar van 2026.

Vraag 9

Bent u bereid om deze vragen binnen twee weken te beantwoorden?

De normale antwoordtermijn is drie weken, met uitstel zes. Het is vanwege het verkiezingsreces en interdepartementale afstemming niet gelukt om deze vragen binnen de verzochte termijn van twee weken te beantwoorden.

Vraag 1

Wat zijn de meest recente ontwikkelingen rondom het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?

In de Kamerbrief van 1 september 20251 kondigde ik aan dat Bevolkingsonderzoek Nederland (BVO NL) een brief zou sturen naar alle betrokkenen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker en van wie de gegevens naar het laboratorium Clinical Diagnostics zijn gestuurd. De brieven zijn halverwege september verstuurd. Het klantcontactcentrum van BVO NL was opgeschaald en uitgebreid met een speciale informatielijn met specialisten op het gebied van crisistelefonie. Dit zodat alle vragen die naar aanleiding van de brieven zijn gesteld snel beantwoord konden worden. Er is op dit moment met de reguliere bezetting voldoende capaciteit om de vragen aan te kunnen en op tijd te beantwoorden.
De toezegging om uw Kamer blijvend op de hoogte te houden van de laatste ontwikkelingen staat nog steeds.

Vraag 2

Wat is de stand van zaken omtrent de maatregelen die u aankondigde in uw brief van 1 september 2025?1 Kunt u dit per maatregel toelichten?

Hieronder geef ik per maatregel uit de brief van 1 september 2025 een toelichting op de stand van zaken.
Z-CERT heeft op verzoek van de Minister van VWS alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Het doel is om die ook toe te voegen aan de scanningsdienst van Z-CERT. Hierover is uw Kamer geïnformeerd op 30 september 2025.3 Inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan de scanningsdienst. Met deze dienst van Z-CERT wordt continu gemonitord op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.
BVO NL heeft zelf ook een quickscan uit laten voeren naar acute risico’s bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Hieruit kwam naar voren dat deze laboratoria voldoende veilig zijn.
De oorzaak van de hack vormt onderwerp van nader onderzoek. Op dit moment is nog niet concreet te duiden wanneer de uitkomsten daarvan bekend zullen worden.
Afronding van dit onderzoek wordt eind dit jaar verwacht.
De AP en de IGJ voeren hun toezichthoudende taak onafhankelijk uit. Zij bepalen daarbij hun eigen werkwijze en planning voor de onderzoeken. Op dit moment beschik ik niet over nadere informatie over deze onderzoeken.
Het is niet aan mij hier nader op in te gaan, hiervoor verwijs ik naar het Openbaar Ministerie.
Zoals gezegd, monitort Z-CERT momenteel de twee laboratoria die werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Z-CERT heeft op verzoek van de Minister van VWS daarnaast alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Dit met als doel om die ook toe te voegen aan de scanningsdienst van Z-CERT. Inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan de scanningsdienst. De resultaten worden aan de laboratoria teruggekoppeld.
Dit betreft doorlopende inzet. De Minister van VWS geeft hier bijvoorbeeld invulling aan door zorgbestuurders per brief op te roepen om prioriteit te geven aan het nemen van de nodige maatregelen, te beginnen met het voldoen aan de norm, de NEN 7510.

Vraag 3

Zijn inmiddels alle gedupeerden op de hoogte dat zij getroffen zijn door het datalek en is voor hen duidelijk welke data van hen is buitgemaakt?

In september zijn alle betrokkenen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker en van wie gegevens met het laboratorium zijn gedeeld, geïnformeerd. In de brieven heeft BVO NL ook aangegeven welke persoonsgegevens BVO NL met het laboratorium heeft gedeeld. Er is op dit moment niet te zeggen welke gegevens bij de hack zijn bemachtigd.

Vraag 4

Heeft u gemerkt dat het datalek heeft geleid tot een lagere bereidheid om mee te doen aan volgende bevolkingsonderzoeken? Wat doet u om de deelname op peil te houden?

De deelname aan het bevolkingsonderzoek baarmoederhalskanker wordt nauwlettend in de gaten gehouden. Normaal gesproken is er een dip in de deelname in de zomervakantie en gaat de deelname daarna weer omhoog. In de eerste weken na de zomer bleef de instroom van ingestuurde testen bij de labs achter, maar dit lijkt de afgelopen periode weer wat bijgetrokken. Om te kunnen constateren of dit ook daadwerkelijk de deelname heeft beïnvloed, moet over een langere periode gekeken worden. Ter illustratie: het is bijvoorbeeld mogelijk dat vrouwen de zelfafnameset iets langer laten liggen vanwege de datahack, maar op een later moment toch nog deelnemen. Zodra we hier meer over kunnen zeggen en als sprake is van een significante verandering in de deelname, zal ik uw Kamer daarover informeren.

Vraag 5

Is gebleken dat gedupeerden van het datalek vaker het doelwit zijn van phishing, fraude en andere online criminaliteit? Heeft u cijfers of analyses waaruit dit blijkt?

Dat kan ik niet aangeven, omdat in geval van phishing, fraude of andere online criminaliteit het de vraag is of daarbij gebruik is gemaakt van persoonsgegevens die betrokken zijn geweest bij de datahack, of dat de gebruikte persoonsgegevens op andere wijze in handen zijn gekomen van criminelen.

Vraag 6

Hoe lang blijft het klantcontactcentrum van Bevolkingsonderzoek Nederland bereikbaar voor gedupeerden? Zorgt u ervoor dat gedupeerden altijd ergens terecht kunnen met zorgen en vragen?

Het klantcontactcentrum van BVO NL is tijdens kantooruren altijd bereikbaar. Hier kunnen mensen terecht voor vragen in relatie tot de bevolkingsonderzoeken, waaronder uiteraard ook met vragen over de datahack. Het klantcontactcentrum van BVO NL was opgeschaald, zodat de grote hoeveelheid vragen die kwam naar aanleiding van de datahack snel beantwoord werd. Die opschaling is inmiddels weer afgebouwd, maar het klantcontactcentrum blijft beschikbaar voor alle vragen en is op dit moment in staat om alle vragen op tijd te beantwoorden.

Vraag 7

Heeft u op basis van uw contact met gedupeerden, of op basis van hun klachten en signalen, aanvullende acties ondernomen om tegemoet te komen aan hun behoeften?

Naar aanleiding van de eerste brieven die BVO NL had verzonden in de week van 18 augustus, zijn veel reacties gekomen. Er was kritiek op de inhoud van de brief en BVO NL kreeg vele suggesties ter verbetering, onder andere van de Nationale ombudsman. Deze suggesties zijn door BVO NL meegenomen bij het opstellen van de tweede ronde brieven die naar ruim 941.000 mensen zijn verzonden. Ik heb destijds de brief van de Ombudsman direct doorgestuurd naar BVO NL met het verzoek deze mee te nemen in de formulering van die tweede ronde brieven. Ook andere signalen en suggesties zijn meegenomen bij het opstellen van de tweede ronde brieven.

Vraag 8

Bent u bekend met maatschappelijke initiatieven, zoals de Digitale Dolle Mina’s, die gedupeerden samenbrengen en informatie verschaffen?2 Hoe trekt u samen met deze initiatieven op om gedupeerden te bereiken?

Ik ben bekend met deze initiatieven. De primaire informatievoorziening verloopt via BVO NL. Deelnemers van het bevolkingsonderzoek baarmoederhalskanker die zijn getroffen door de datahack, zijn hierover geïnformeerd door BVO NL. Naast de persoonlijke brieven, zijn er de breed gedeelde nieuwsberichten geweest op onder andere 11 augustus en 29 augustus jl. om mensen te informeren over de datahack.

Vraag 9

Is inmiddels duidelijk geworden hoe de hack en het datalek plaats hebben kunnen vinden? Zo ja, welke oorzaak lag daaraan ten grondslag en hoe gaat dit in de toekomst worden voorkomen? Zo nee, wanneer kan de Kamer de uitkomst van dat onderzoek verwachten?

De oorzaak van de hack vormt onderwerp van nader onderzoek. Op dit moment is nog niet concreet te duiden wanneer de uitkomsten daarvan bekend zullen worden. Uiteraard zal op basis van de uitkomsten worden bezien welke lessen daaruit kunnen worden getrokken.

Vraag 10

Voert de Inspectie Gezondheidszorg en Jeugd (IGJ) vooraf checks uit naar de informatieveiligheid van partnerorganisaties bij nieuwe samenwerkingen, zoals laboratoria? Zo ja, wat zijn de aandachtspunten van de IGJ bij die checks? Zo nee, waarom wordt dat niet gedaan?

Nee, de IGJ voert hier niet vooraf checks op uit. Er is geen verplichting om samenwerkingen zoals hier omschreven (vooraf) bij de IGJ te melden.
De norm voor informatiebeveiliging (NEN 7510) stelt dat organisaties zelf de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig moeten monitoren, beoordelen en evalueren. De IGJ houdt achteraf toezicht op het voldoen aan de eisen voor informatiebeveiliging.

Vraag 11

Zijn er aanvullende beveiligingsmaatregelen die dit kabinet gaat invoeren om de tijd totdat de behandeling van de Cyberbeveiligingswet is afgerond te overbruggen? Zo ja, welke maatregelen zijn dat? Zo nee, hoe gaat u ervoor zorgen dat het risico op datalekken zoals deze zo klein mogelijk wordt?

Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatiebeveiliging. Zij bepalen welke maatregelen genomen moeten worden om de risico’s op het gebied van informatiebeveiliging te beheersen. Als stelselverantwoordelijke neemt de Minister van VWS de regie om het zorgveld hierbij te ondersteunen. Dit doet hij door zich in het huidige beleid te richten op het stimuleren van bewustwording, passende hulp te bieden, toezicht te versterken en te ondersteunen bij incidenten.

Vraag 12

Hebben de politie en het Openbaar Ministerie vooruitgang kunnen boeken in het vinden van de datasets op het dark web en ook in het vinden van de daders? Heeft Z-CERT bij het monitoren van de data al gezien dat het op het dark web is verschenen?

Het Openbaar Ministerie heeft bekend gemaakt strafrechtelijk onderzoek te doen naar het datalek. Het is niet aan mij om hier nader op in te gaan, hiervoor verwijs ik naar het Openbaar Ministerie.
Wat betreft Z-CERT, ben ik hier in de beantwoording van de Kamervragen van het lid Kathmann van 9 september 2025 op ingegaan.5 In het algemeen kan ik over de monitoring van Z-CERT alleen aangeven dat de resultaten van de monitoring aan de laboratoria worden teruggekoppeld zodat zij waar nodig maatregelen kunnen treffen.

Vraag 13

Heeft u collega-bewindspersonen op de hoogte gesteld van deze casus en van het belang van gegevensbeveiliging om dergelijke incidenten buiten de zorg ook te voorkomen? Zo nee, waarom niet? Zo ja, heeft het kabinet een plan gemaakt om bij alle departementen en hun ketenpartners het risico op datalekken te verminderen?

Mijn collega-bewindspersonen zijn op de hoogte gesteld van en bijgepraat over de datahack, onder andere op vrijdag 8 augustus, vrijdag 15 augustus en vrijdag 29 augustus 2025. Cybersecurity en digitale weerbaarheid zijn permanent onderwerp van aandacht binnen de hele overheid.

Vraag 14

Kunt u aangeven wanneer verdere informatie en uitkomsten van lopende onderzoeken naar de Kamer worden gestuurd en met betrokkenen worden gedeeld?

Zoals in de beantwoording hiervoor is aangegeven, verwacht ik van sommige onderzoeken de uitkomsten in het najaar. Van andere onderzoeken kan ik op dit moment nog niet concreet duiden wanneer de uitkomsten daarvan bekend worden. Uiteraard zal ik uw Kamer nader informeren zodra dat mogelijk is.

Vraag 15

Kunt u deze vragen afzonderlijk beantwoorden en, indien van toepassing, betrekken bij de eerstvolgende periodieke update aan de Kamer over het datalek?

Dat zal ik doen.

Vraag 1

Bent u bekend met het bericht «Nederland bezit grootste hoeveelheid kinderporno in Europa»1

Ja.

Vraag 2

Wat is uw reactie op het onderzoek waaruit blijkt dat circa 60 procent van al het in Europa gehoste kinderseksmisbruikmateriaal zich in Nederland bevindt, en bijna een derde van het wereldwijde totaal? Hoe verklaart u dat Nederland in zo’n uitzonderlijke positie verkeert?

Seksueel kindermisbruik behoort tot de meest verwoestende vormen van criminaliteit. Het laat diepe en blijvende sporen na in het leven van slachtoffers. En ook worden zij telkens met hun leed geconfronteerd wanneer beelden van het seksueel misbruik op het internet worden geplaatst en gedeeld.
Het kabinet vindt het zeer zorgwekkend dat in Nederland nog altijd veel beeldmateriaal van seksueel kindermisbruik wordt gehost.
Mede dankzij het gunstige vestigingsklimaat, de directe aansluiting op onderzeekabels tussen continenten en de goede digitale infrastructuur, is Nederland een aantrekkelijk land voor datacentra en hostingproviders. Deze sterke positie brengt echter ook risico’s met zich mee: dezelfde infrastructuur kan worden misbruikt voor criminele doeleinden, zoals het hosten van illegaal materiaal.
Om dit tegen te gaan heeft de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (hierna: ATKM) op 1 juli 2024, met de inwerkingtreding van de Wet bestuursrechtelijke aanpak online kinderpornografisch materiaal, nieuwe bevoegdheden gekregen. Deze wet geeft de ATKM de mogelijkheid om aanbieders van hosting- en communicatiediensten te verplichten online kinderpornografisch materiaal ontoegankelijk te maken en om bestuursrechtelijk op te treden wanneer zij dat nalaten.
Naast de inzet van de ATKM blijft het kabinet zich onverminderd inspannen om dit misbruik te voorkomen en krachtig te bestrijden. Voor verdere toelichting verwijs ik u naar het antwoord op vraag 3.

Vraag 3

Welke wettelijke verplichtingen gelden op dit moment voor hostingbedrijven en internetproviders om kinderseksmisbruikmateriaal te detecteren, te melden en te verwijderen? Acht u deze verplichtingen toereikend, gezien de recente bevindingen? Kunt u hierbij ingaan op het toezichtkader en het ontbreken van afdwingbare meld- en verwijderverplichtingen?

Ter bestrijding van online seksueel kindermisbruik geldt in Nederland een samenhangend stelsel van nationale en Europese regels dat verplichtingen oplegt aan aanbieders van hosting- en internetdiensten bij het verwijderen en ontoegankelijk maken van kinderpornografisch materiaal, evenals over het toezicht daarop. Daarmee is voorzien in een robuust systeem van meld- en verwijderverplichtingen.
Op 17 februari 2024 is de Digitaledienstenverordening (Digital Services Act, hierna: DSA) volledig in werking getreden. Op grond van artikel 16 DSA zijn aanbieders van hostingdiensten verplicht een toegankelijk en gebruiksvriendelijk digitaal meldsysteem in te richten waarmee iedereen illegale online inhoud, zoals beeldmateriaal van seksueel kindermisbruik, kan melden. Daarnaast verplicht artikel 18 DSA aanbieders van hostingdiensten om, zodra zij informatie ontvangen die wijst op een mogelijk strafbaar feit waarbij het leven of de veiligheid van personen in gevaar is, dit onverwijld te melden aan de bevoegde opsporings- of justitiële autoriteiten. De Europese Commissie houdt primair toezicht op naleving van de DSA door de 25 grootste aanbieders van online diensten. De lidstaten zijn verantwoordelijk voor het toezicht op de overige aanbieders van online diensten binnen hun eigen rechtsgebied. Vanaf 4 februari 2025 treden in Nederland de Autoriteit Consument & Markt (hierna: ACM) en de Autoriteit Persoonsgegevens (hierna: AP) op als de bevoegde toezichthouders voor de naleving van de DSA in Nederland.
De officier van justitie kan, in geval van een verdenking van een misdrijf, zoals het aanbieden of verspreiden van beeldmateriaal van seksueel kindermisbruik, met een machtiging van de rechter-commissaris, een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken op grond van artikel 125p van het Wetboek van Strafvordering (hierna: Sv).
Zoals toegelicht in het antwoord op vraag 2, is op 1 juli 2024 de Wet bestuursrechtelijke aanpak online kinderpornografisch materiaal in werking getreden. Deze wet geeft de ATKM de bevoegdheid om aanbieders van hosting- en communicatiediensten te verplichten online kinderpornografisch materiaal te verwijderen of ontoegankelijk te maken, en om bestuursrechtelijk op te treden wanneer zij dat nalaten. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10 procent van de jaarlijkse omzet van de onderneming.
Daarnaast kan de ATKM besluiten om dergelijke sanctiebesluiten openbaar te maken en zal dat in beginsel ook doen, gezien de schadelijke reputatie-effecten die daarvan uitgaan.
Internationaal gezien is de bestuursrechtelijke aanpak vernieuwend en er worden dan ook positieve effecten verwacht in het indammen van hosting van beeldmateriaal van seksueel kindermisbruik in Nederland. Nederland heeft daarmee een belangrijke en grote stap gezet in de aanpak van onwelwillende hostingbedrijven.

Vraag 4

Bent u bereid beleid te ontwikkelen zodat hostingbedrijven verplicht kunnen worden om proactieve detectiemethoden toe te passen, zoals hash-databanken of AI-gebaseerde beeldherkenning, teneinde het verspreiden van kinderseksmisbruikmateriaal sneller te stoppen?

In de DSA is neergelegd dat lidstaten geen algemene verplichting mogen opleggen aan hostingbedrijven tot monitoring van de door hen doorgegeven of opgeslagen informatie noch tot actief onderzoek naar de feiten of omstandigheden die duiden op illegale activiteiten.
Artikel 7 DSA regelt echter dat aanbieders van hostingdiensten wel vrijwillig maatregelen kunnen nemen om illegale inhoud, zoals beeldmateriaal van seksueel kindermisbruik, te detecteren en te verwijderen, zonder dat zij daarmee hun aansprakelijkheidsbescherming verliezen.
In dat kader wordt door de sector al gebruik gemaakt van hash-databanken. Een bekend voorbeeld hiervan is de HashCheckService (hierna: HCS): een gratis tool, die het mogelijk maakt om bekend beeldmateriaal van seksueel kindermisbruik snel te identificeren en van het internet te verwijderen. Met de applicatie kunnen hostingproviders controleren of geüpload materiaal op hun servers in de database van de HCS voorkomt. De database bevat hashlijsten van bekend beeldmateriaal van seksueel kindermisbruik, onder meer afkomstig van de Nederlandse politie en Interpol.

Vraag 5

Hoe verhoudt de Nederlandse wetgeving zich tot de voorgenomen Europese verordening inzake seksueel misbruik van kinderen, die lidstaten verplicht om hosting van dergelijk materiaal actiever te bestrijden? Welke voorbereidingen treft Nederland voor implementatie van deze verordening?

De voorgenomen EU-Verordening inzake seksueel misbruik van kinderen bevat ten opzichte van de bestaande Nederlandse wetgeving en als lex specialis van de DSA, aanvullende en specifiekere verplichtingen met het oog op het tegengaan van de verspreiding van online beeldmateriaal van seksueel kindermisbruik.
Aanbieders van hostingdiensten en interpersoonlijke communicatiediensten moeten op grond van de voorgestelde verordening een risicobeoordeling uitvoeren om vast te stellen in welke mate hun diensten kunnen worden gebruikt voor de verspreiding van online beeldmateriaal van seksueel kindermisbruik of voor grooming doeleinden.
Verder moeten zij mitigerende maatregelen treffen om die risico’s te verkleinen en meldingen doen van geconstateerd materiaal aan het nieuw op te richten Europees Centrum voor de bestrijding van seksueel misbruik van kinderen, dat gaat fungeren als een kennis- en coördinatiepunt. Uiteindelijk moeten deze bedrijven het desbetreffende materiaal verwijderen of ontoegankelijk maken.
In het meest recente voorstel is verplichte detectie van online seksueel beeldmateriaal van kinderen helemaal geschrapt. In plaats daarvan wordt voorgesteld de mogelijkheden die bedrijven nu op grond van een tijdelijke derogatieregeling hebben om op eigen initiatief detecteren, permanent te maken. Op 26 november jl. heeft de Raad een positie ingenomen ten aanzien van dit voorstel. Het betekent dat de Raad klaar is om de onderhandelingen met het Europees parlement en de Europese Commissie in te gaan, in de zogeheten triloog. Wanneer de triloog start, is er aldus nog geen definitieve wet. De uiteindelijke impact van de Verordening, ook in relatie tot het bestaande nationaalrechtelijke wettelijke kader, is daarom nog niet met zekerheid vast te stellen. Het kabinet neemt actief deel aan de onderhandelingen en overlegt hierover regelmatig met relevante ketenpartners. Een verordening heeft rechtstreekse werking. Mocht de verordening in de toekomst worden aangenomen, dan zal ook dan moeten worden bezien in hoeverre aanvullende nationale wetgeving nodig is om effectief uitvoering te kunnen geven aan de verordening.

Vraag 6

Hoeveel capaciteit is er binnen politie en Openbaar Ministerie beschikbaar voor digitale opsporing en handhaving op het gebied van kinderseksmisbruikmateriaal? Zijn er signalen dat het huidige capaciteitsniveau onvoldoende is om de omvang van het probleem aan te pakken?

De verantwoordelijkheden voor het aanpakken van misstanden bij de hosting van illegale data liggen primair bij andere organisaties dan de politie. Zo is er in de eerste plaats een verantwoordelijkheid voor de hostingpartijen zelf. Daarnaast houden organisaties als Offlimits, de ATKM, de ACM (naleving DSA) en de AP (voor vraagstukken omtrent privacy) zich bezig met online beeldmateriaal van seksueel kindermisbruik.
Binnen de politie wordt de aanpak van beeldmateriaal van seksueel kindermisbruik uitgevoerd door de Teams ter Bestrijding van Kinderpornografie en Kindersekstoerisme (TBKK). De capaciteit van deze teams is de afgelopen jaren uitgebreid met 26 fte, waardoor er eind augustus 2025 in totaal 152 fte werkzaam waren. Het kabinet investeert in de aanpak van online seksueel kindermisbruik door de politie. Deze investering is nodig vanwege de groei van het aantal meldingen, en daarmee van data, en de toenemende complexiteit van opsporingsonderzoeken, onder meer door AI en end-to-end encryptie. Hiervoor is structureel 2 miljoen euro extra beschikbaar gesteld. Het streven is om de capaciteit verder uit te breiden met specialistische zij-instromers.
Daarmee wordt het opsporingsvermogen versterkt, onder andere via de ontwikkeling van specifieke tooling en de inzet van AI. Desondanks blijft de hoeveelheid beeldmateriaal groter dan de beschikbare politiecapaciteit, waardoor prioritering noodzakelijk is. De hoogste prioriteit ligt bij zaken waarbij het risico op actueel («hands-on») misbruik het grootst is.
Het Openbaar Ministerie (hierna: OM) beschikt over gespecialiseerde officieren van justitie die zich bezighouden met seksuele misdrijven. Bij de arrondissementsparketten worden zaken van seksueel kindermisbruik opgepakt door de daartoe opgeleide officieren. Bij het Landelijk Parket is een team van vijf gespecialiseerde officieren specifiek gericht op de aanpak van online/transnationaal seksueel kindermisbruik. Sinds de inwerkingtreding van de Wet seksuele misdrijven is daarnaast geïnvesteerd in opleiding en certificering van officieren bij arrondissementsparketten, zodat de beschikbare expertise wordt versterkt.
Ook het OM benoemt de groei van het aantal meldingen, en daarmee van data, en de toenemende complexiteit van opsporingsonderzoeken, onder meer door technologische ontwikkelingen.
De werkdruk bij officieren van justitie is structureel hoog. Bovendien is het aangetroffen beeldmateriaal van seksueel kindermisbruik in toenemende mate ernstiger en schokkender, wat een zwaardere werklast met zich meebrengt. Desondanks zijn er bij het OM op dit moment geen signalen dat het huidige capaciteitsniveau onvoldoende is ten opzichte van de instroom van zaken vanuit de politie, mede dankzij de wijze waarop zaken worden geprioriteerd door het OM.

Vraag 7

Hoeveel tijd verstrijkt er gemiddeld tussen het moment dat kinderseksmisbruikmateriaal wordt gemeld en het moment dat het daadwerkelijk van Nederlandse servers is verwijderd? Zijn er streefwaarden of normen vastgesteld voor een maximale doorlooptijd? Zo ja, in hoeveel procent van de gevallen worden deze normen gehaald?

In Nederland is de afspraak gemaakt met de sector dat meldingen door Offlimits van online seksueel kindermisbruik binnen 24 uur behandeld moeten worden. In
2024 (tot en met oktober) werd ongeveer 59% van deze meldingen van Offlimits door de branche adequaat en binnen 24 uur opgepakt.
Vrijwel alle hostingpartijen werken goed mee. Hoewel zij de 24uurs norm wellicht niet altijd halen (zeker wanneer het kleine bedrijven zijn), wordt er adequaat gereageerd op verwijderverzoeken en wordt strafbaar materiaal offline gehaald.
Wanneer er sprake is van een zogenoemde «bad hosters» die structureel niet of te laat reageren, kan de ATKM sanctionerend optreden tegen deze weigerende partijen. Sinds 1 juli 2024 kunnen boetes worden opgelegd door de ATKM. Op grond van artikel 6, lid 4, onderdeel c, van de Wet bestuursrechtelijke aanpak online kinderpornografisch materiaal moet de ATKM in elk bevel een termijn opnemen waarbinnen het materiaal ontoegankelijk moet worden gemaakt. Deze termijn bedraagt ten hoogste twaalf uur.

Vraag 8

Hoe beoordeelt u de effectiviteit van de samenwerking tussen Nederland en internationale partners zoals Europol, INHOPE en NCMEC, om hosting en verspreiding van kinderseksmisbruikmateriaal grensoverschrijdend te bestrijden?

De samenwerking tussen Nederland en internationale partners zoals Europol, INHOPE en NCMEC is van groot belang voor de aanpak van de grensoverschrijdende hosting en verspreiding van beeldmateriaal van seksueel kindermisbruik. Nederland werkt intensief samen met deze organisaties om informatie-uitwisseling, opsporing en verwijdering van illegaal materiaal te versterken.
Zo coördineerde Europol begin dit jaar voor het eerst een grootschalige operatie die specifiek gericht was op AI-gegenereerd beeldmateriaal van seksueel kindermisbruik («Operatie Cumberland»). Deze actie leidde tot de aanhouding van 25 verdachten in 19 landen, waaronder enkele in Nederland. De Nederlandse politie speelde hierbij een actieve rol. Daarnaast faciliteert Eurojust de juridische samenwerking tussen lidstaten, waardoor grensoverschrijdende strafzaken efficiënter kunnen worden afgehandeld en activiteiten van nationale autoriteiten beter op elkaar kunnen worden afgestemd.
Het Nederlandse Meldpunt Kinderporno van Offlimits is onderdeel van het internationale INHOPE-netwerk, welke bijdraagt aan een snelle internationale aanpak. Meldingen van beeldmateriaal kunnen via dit netwerk direct worden doorgestuurd naar de bevoegde autoriteiten in het betreffende land, wat de verwijdering van illegale content aanzienlijk versnelt.
Tot slot vormt NCMEC een belangrijke informatiebron over de omvang en aard van online beeldmateriaal van seksueel kindermisbruik.

Vraag 9

Bent u voornemens om krachtige, afdwingbare maatregelen, zoals strengere wetgeving die hostingbedrijven verplicht tot actieve detectie en snelle verwijdering van dergelijk materiaal, stevige handhaving bij overtredingen, en intensievere internationale samenwerking te nemen om te voorkomen dat Nederland het knooppunt blijft voor het hosten van kinderseksmisbruikmateriaal?

Zoals hierboven is toegelicht beschikt Nederland over een samenhangend stelsel van nationale en Europese regels dat hosting- en internetdiensten verplicht om beeldmateriaal van seksueel kindermisbruik te melden, te verwijderen en ontoegankelijk te maken. Het kabinet zet zich blijvend in om online seksueel kindermisbruik te voorkomen en te bestrijden. Voor nadere toelichting verwijs ik u naar de antwoorden op de vragen 3, 4, 7 en 8.
Daarnaast onderzoekt het kabinet maatregelen om de zogenaamde bad hosters beter aan te kunnen pakken in de toekomst. De uitkomsten van een eerste verkenning hiervoor is op 27 juni jl. naar uw Kamer verzonden.2

Vraag 10

Welke mogelijkheden ziet u om extra financiële middelen en capaciteit beschikbaar te stellen om de digitale opsporing en handhaving te versterken, de verwijdering van kinderseksmisbruikmateriaal te versnellen en slachtoffers beter te identificeren en te ondersteunen?

Zoals in het antwoord op vraag 6 is aangegeven, liggen de verantwoordelijkheden voor het aanpakken van misstanden bij de hosting van illegale data primair bij andere organisaties dan de politie. Daarnaast investeert het kabinet in de aanpak van online seksueel kindermisbruik door de politie, onder andere door de capaciteit van de TBKK’s vanaf dit jaar uit te breiden. Gezien de financiële opgave bij de politie ziet het kabinet momenteel geen mogelijkheden om aanvullend hierop extra financiële middelen te vinden binnen de politiebegroting.
Voor het antwoord op de vraag hoe de verwijdering van beeldmateriaal van seksueel kindermisbruik kan worden versneld, verwijs ik u naar het antwoord op vraag 7.

Vraag 11

Bent u voornemens om hostingbedrijven en datacenters wettelijk te verplichten tot transparante rapportage over het aantal meldingen, verwijderingen en handhavingsacties met betrekking tot kinderseksmisbruikmateriaal?

Artikel 15 van de DSA verplicht aanbieders van online diensten om jaarlijks transparantierapporten te publiceren over hun activiteiten op het gebied van contentmoderatie. Deze rapporten moeten onder meer inzicht geven in verwijderingsbevelen van autoriteiten, meldingen van illegale inhoud, en de maatregelen die aanbieders op eigen initiatief hebben genomen om inhoud te modereren. De verplichting geldt niet voor micro- en kleine ondernemingen, tenzij zij worden aangemerkt als zeer groot onlineplatform.
De ATKM heeft in 2024 het beheer van de zogenaamde TU Delft monitor overgenomen. Met de monitor werd door de TU Delft in beeld gebracht in hoeverre aanbieders van hostingdiensten gehoor gaven aan verzoeken beeldmateriaal te verwijderen.

Vraag 12

Bent u bereid om de Kamer jaarlijks te rapporteren over de omvang van kinderseksmisbruikmateriaal dat in Nederland wordt gehost, de resultaten van verwijderingen en de voortgang van beleid en handhaving?

Over de omvang van beeldmateriaal van seksueel kindermisbruik dat in Nederland wordt gehost wordt reeds door diverse organisaties gerapporteerd, waaronder de politie, het OM, Europol, Offlimits, ATKM, INHOPE en NCMEC. De inzichten van deze organisaties worden door het kabinet benut om het toezicht, de opsporing en het beleid gericht verder te versterken en om waar nodig aanvullende maatregelen te ontwikkelen.
De Kamer wordt jaarlijks via de voortgangsbrief Zeden geïnformeerd over de ontwikkelingen in de aanpak van online seksueel kindermisbruik in het voorgaande jaar.

Vraag 1

Bent u bekend met het bericht «Belastingdienst verplaatst mail naar Microsoft, ondanks zorgen over meekijken VS»?1

Ja.

Vraag 2

Maakt de overstap van de Belastingdienst naar Microsoft 365 onze overheid meer of minder afhankelijk van de Verenigde Staten?

De overstap naar M365 betekent inderdaad een vergroting van de afhankelijkheid van de Verenigde Staten. De Belastingdienst heeft de overgang naar de cloud afgewogen conform het cloudbeleid van de overheid. In de huidige situatie en in andere afgewogen scenario’s, zoals de keuze voor een on-premises oplossing, is ook sprake van (grote) afhankelijkheid van de Verenigde Staten.
Om de risico’s zoveel mogelijk te reduceren heeft de Belastingdienst een exitstrategie uitgewerkt voor het geval er (plotseling) een vertrek uit de cloudomgeving moet plaatsvinden. Door het inrichten van een lokale back-up functionaliteit zorgt de Belastingdienst ervoor dat documenten altijd beschikbaar blijven. De exitstrategie wordt vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 3

Is er, conform de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315), een onafhankelijke onderbouwing opgesteld voor de noodzaak van de overstap naar Microsoft? Zo ja, kunt u deze delen?

De motie-Kathmann2 is in maart 2025 aangenomen. De Belastingdienst is reeds in 2021 begonnen met het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. Het traject is daarmee ingezet voordat deze motie, waarin wordt verzocht om een onafhankelijke onderbouwing, is aangenomen.
Bij de aanvang van het traject is uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365. De uitrol van de nieuwe werkplekken is inmiddels afgerond. De huidige situatie is dat er vanaf de nieuwe 40.000 werkplekken wordt doorgewerkt in de verouderde en inefficiënte werkomgeving omdat M365 nog niet is geïmplementeerd. Dit terwijl er bij de inrichting van de nieuwe werkplekken rekening is gehouden met de implementatie van M365. Doordat M365 nog niet is geïmplementeerd bestaan er nu inefficiënte manieren om vanaf de nieuwe werkplekken met de beperkingen van de oude werkomgevingen om te gaan. Deze workarounds resulteren in een productiviteitsverlies.
Gezien de recente (geo)politieke en maatschappelijke ontwikkelingen heeft de Belastingdienst de overstap naar M365 op de nieuwe werkomgeving getemporiseerd en eerst een aantal alternatieve scenario’s zorgvuldig uitgewerkt en afgewogen. Daarbij heeft de Belastingdienst onderzocht of het mogelijk was om af te wijken van het voorgenomen scenario de overstap naar M365 te maken. Dit blijkt niet realistisch, omdat de nieuwe werkplekken inmiddels al breed zijn uitgerold
In het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt wordt bevonden voor de Belastingdienst, dan kost het nog twee tot drie jaar om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van een productiviteitsverlies.
In bijlage 1 vindt u een nota van 27 juni jl. gericht aan de Bestuursraad van het Ministerie van Financiën. Daarin wordt uitgebreid ingegaan op de uitgewerkte en afgewogen scenario’s.

Vraag 4

Waarom houdt u het mailverkeer niet in eigen beheer, zoals verzocht in de motie-Kathmann/Six Dijkstra (Kamerstuk 36 740, nr. 20)? Hoe bent u van plan om deze motie alsnog uit te voeren?

De Belastingdienst heeft de optie om het mailverkeer in eigen beheer te houden verkend. Zowel het continueren van de huidige werkomgeving, als het implementeren van een hybride on-premises oplossing zoals SSC-ICT reeds heeft gedaan. Zoals u heeft kunnen lezen in de Kamerbrief van 2 oktober jl. heeft de Belastingdienst ook een verkenning gedaan naar de mogelijkheid om de functionaliteiten voor onder andere de mail onder te brengen bij SSC-ICT. Deze opties zijn niet realiseerbaar op de korte of middellange termijn.
Om uitvoering te geven aan deze motie volgt de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven.

Vraag 5

Acht u de keuze voor de Belastingdienst om de eigen ICT te verhuizen naar Microsoft in het belang van de strategische autonomie, waarover de demissionaire premier op 30 september 2025 nog uitsprak dat bestuurders dit prioriteit moeten geven?2

Ik onderschrijf de uitspraak van de Minister-President om prioriteit te geven aan strategische autonomie. Daarom wil ik graag nogmaals benadrukken dat de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst. De overstap heeft betrekking op de kantoorautomatisering. Daarvoor verwijs ik naar de reeds gegeven antwoorden en de brief die u op 2 oktober jl. heeft ontvangen.

Vraag 6

Acht u het onafhankelijk en onomstotelijk bewezen dat er geen Europese oplossing voor de Belastingdienst beschikbaar is? Uit welke onafhankelijke onderbouwing blijkt dit?

Zoals ik in het antwoord op vraag 3 heb aangegeven, heeft de Belastingdienst een aantal alternatieve scenario’s uitgewerkt en zorgvuldig afgewogen, maar er is op dit moment en binnen afzienbare termijn geen geschikt alternatief beschikbaar voor de huidige situatie waarin de Belastingdienst zich bevindt. Bij de inrichting van de nieuwe werkplekken is rekening gehouden met de implementatie van M365. Door dat de werkplekken inmiddels zijn uitgerold, maar M365 nog niet is geïmplementeerd, wordt er doorgewerkt in de oude omgeving. De nieuwe werkplekken zijn daarvoor niet ingericht. Het doorwerken in de verouderde en inefficiënte werkomgeving via de nieuwe werkplekken resulteert in workarounds. Daardoor is er nu sprake van productiviteitsverlies.
In het geval dat er in de toekomst wel een oplossing beschikbaar komt dat geschikt is voor de situatie waarin de Belastingdienst zich bevindt, dan kost het nog twee tot drie jaar om dit te implementeren. Gedurende deze tijd wordt er dan doorgewerkt vanaf de nieuwe werkplekken in de verouderde werkomgeving en blijft er sprake van een productiviteitsverlies.

Vraag 7

Hoeveel en welke Europese alternatieven heeft u precies onderzocht en waarom waren deze ontoereikend? Kunt u de documentatie delen waaruit blijkt dat deze alternatieven niet voldoen aan de gestelde eisen?

Zoals u heeft kunnen lezen in de Kamerbrief van 2 oktober jl. en het antwoord op vraag 3 is de Belastingdienst reeds in 2021 begonnen met het vervangen van de werkplekken. De (geo)-politieke situatie was destijds anders, waardoor het versterken van de autonomie in de afwegingen een beperktere rol speelde. Daarom heeft destijds geen uitgebreide verkenning naar Europese alternatieven plaatsgevonden en is er uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365 en heeft de Belastingdienst deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement voor de Rijksoverheid (SLM Rijk). Het SLM Rijk helpt onderdelen van de Rijksoverheid om zich beter te positioneren tegenover leveranciers door middel van het bundelen van de onderhandelings- en inkoopkracht. Namens het rijk heeft SLM Rijk via deze weg gunstige (contract)voorwaarden bedongen bij Microsoft.
De overstap naar M365 is getemporiseerd naar aanleiding van recente (geo)politieke en maatschappelijke ontwikkelingen zodat onderzocht kon worden of er afgeweken kon worden van dit scenario. Daaruit blijkt, dat zelfs als er een geschikt Europees alternatief bestaat voor de Belastingdienst, de implementatie daarvan nog steeds twee tot drie jaar in beslag neemt. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving vanaf de nieuwe werkplekken die daarvoor niet zijn ingericht. Daarmee blijft er dus sprake van een significant productiviteitsverlies.
De Belastingdienst volgt de bewegingen en ontwikkelingen in de buitenwereld nauwlettend en kijkt actief naar de mogelijkheden van soevereine en of Europese cloudoplossingen. In dit kader volgt de Belastingdienst onder andere de ontwikkelingen bij BZK rondom «Mijn Bureau». Mijn Bureau is een open source samenwerkingsplatform voor de overheid, publieke sector en bedrijven dat wordt ontwikkeld onder regie van het Rijksbrede programma Beter Samen Werken (OpenBSW). De Belastingdienst neemt actief deel aan de ontwikkelingen rond dit platform. Momenteel bevindt dit platform zich echter nog in een vroege testfase. Zie voor de stand van ontwikkelingen in Europa ook de Kamerbrieven van de Minister van Economische Zaken van 17 januari 20254 en 23 mei 2025.5

Vraag 8

Welke eisen voor functionaliteit, veiligheid en continuïteit hanteert de Belastingdienst? Zijn deze zodanig geformuleerd dat ze niet voorsorteren op een overstap naar Microsoft 365?

De eisen voor functionaliteit, veiligheid en continuïteit volgen uit de vereisten van alle rijksbrede relevante wetgeving. Voorbeelden hiervan zijn o.a. ISO-standaarden, DUTO, BIO, NIS 2 en Archiefwet. De Belastingdienst maakt gebruik van het framework contract van de overheid (SLM Rijk) met Microsoft waarin waarborgen zijn opgenomen om te voldoen aan alle geldende wet- en regelgeving.

Vraag 9

Kunt u alle documentatie over de risico-afweging die is gemaakt om de keuze voor Microsoft 365 te onderbouwen met de Kamer delen, waaronder de aanvullende afspraken die zijn gemaakt met de leverancier?

De risico-analyse wordt vertrouwelijk ter inzage aan uw Kamer aangeboden.

Vraag 10

Kunt u de gekozen exitstrategie met de Kamer delen? Is negen maanden om over te stappen van de Microsoft 365-omgeving snel genoeg in het geval van een acute stopzetting van de dienstverlening door de leverancier?

De exitstrategie wordt vertrouwelijk ter inzage aan uw Kamer worden aangeboden.
De exitstrategie kent twee scenario’s: een scenario voor gepland vertrek als gevolg van contractbeëindiging door de Belastingdienst in het geval er een overstap wordt gemaakt naar een andere aanbieder en een scenario waarin er een acuut vertrek moet plaatsvinden als gevolg van geopolitieke ontwikkelingen. De door u genoemde negen maanden horen bij het scenario voor een gepland vertrek, bijvoorbeeld in het geval dat er een migratie plaatsvindt naar een andere aanbieder. De Belastingdienst heeft conform het contract met Microsoft negen maanden de tijd om de data uit de M365-omgeving over te zetten naar de gewenste omgeving.
Voor de situatie waarin er acuut een vertrek uit de cloudomgeving moet plaatsvinden zijn diverse maatregelen getroffen om dat mogelijk te maken en de gevolgen voor de dienstverlening zoveel mogelijk te beperken.

Vraag 11

Bent u zich ervan bewust dat Amerikaanse bedrijven die gegevens op Europees grondgebied stallen, alsnog moeten voldoen aan surveillanceverplichtingen die volgen vanuit nationale wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act?

Ja. De CLOUD-act maakt het mogelijk dat de Amerikaanse overheid, waaronder opsporingsdiensten, toegang krijgen tot (persoons-)gegevens van Nederlandse burgers. Gelet op de extraterritoriale werking van de CLOUD-act is toegang ook mogelijk als de data buiten de Verenigde Staten staat. Er zijn ook andere landen met dergelijke wetten en bijbehorende verplichtingen. Om eventuele risico’s hieromtrent tegen te gaan, bevat het Rijksbreed cloudbeleid 2022 en het bijbehorende implementatiekader «risicoafweging cloudgebruik» onder meer de plicht om een risicoafweging te maken. Ook bevat het specifieke eisen voor omgang met persoonsgegevens en is het niet toegestaan staatsgeheim gerubriceerde gegevens in de cloud te plaatsen. Een risicoafweging kan als uitkomst hebben dat dit risico acceptabel is.
Ten aanzien van de CLOUD-act geldt dat uit onderzoek van Greenberg Traurig blijkt dat: «[...]het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is».
Een adequate risicoafweging, waaronder het doen van een gedegen Data Protection Impact Assessment (DPIA) en een Data Transfer Impact Assessment (DTIA), blijft echter nodig om het risico in een concreet geval te beoordelen.

Vraag 12

Is, met inachtneming van vraag 9, het stallen van gegevens op Microsoft-datacentra binnen de Europese Economische Ruimte een legitiem middel om risico’s voor de autonomie en nationale veiligheid weg te nemen?

Het stallen van gegevens in datacenters binnen de Europese Economische ruimte is, zoals aangegeven in de Kamerbrief van 2 oktober jl., een voorbeeld van een genomen maatregel om risico’s voor de autonomie en nationale veiligheid te beperken. In diezelfde brief is aangegeven dat risico’s nooit volledig kunnen worden weggenomen. Dat geldt overigens voor elk scenario dat door de Belastingdienst is overwogen, waaronder ook het on-premises scenario. Elk scenario brengt eigen risico’s met zich mee op diverse vlakken. Daarom is het te alle tijden een belangenafweging welk scenario het meest geschikt is.
Graag wijs ik u erop dat de risico’s ten aanzien van de toegang tot gegevens van de overheid beperkt zijn. Dit blijkt uit de in het antwoord op vraag 9 genoemde risico-analyse, de DPIA’s op M3656, de contracten die SLM Rijk met Microsoft heeft uitonderhandeld en een analyse van de CLOUD-act die door het Ministerie van Justitie en Veiligheid is gepubliceerd.7 Zoals in het antwoord op vraag 11 is aangegeven wordt het risico dat de Amerikaanse overheid op basis van de CLOUD-act toegang verkrijgt tot Europese (persoons-)gegevens in de praktijk op (heel) klein geschat.
Tot slot wil ik nog opmerken dat de Belastingdienst met M365 een hoger volwassenheidsniveau op het gebied van informatiebeveiliging kan implementeren. Daarmee wordt de kans op ongeoorloofde toegang van kwaadwillenden tot de gegevens van de Belastingdienst zoveel mogelijk beperkt.

Vraag 13

Kunt u alle documentatie over de afweging die is gemaakt voor de andere drie scenario’s in volledigheid met de Kamer delen?3

De nota voor de Bestuursraad Financiën vindt u in bijlage 1. De exitstrategie en risico-analyse worden vertrouwelijk aan uw Kamer aangeboden.

Vraag 14

Op basis van het onderzoek dat is verricht naar Europese alternatieven, op welke termijn wordt een migratie naar Europese alternatieven mogelijk? Zet u zich actief in om dit te bewerkstelligen?

Ik kan uw Kamer geen termijn geven waarop een migratie naar een Europees alternatief mogelijk is. Wel kan ik u toezeggen, zoals ik ook reeds in het antwoord op vraag 7 heb gedaan, dat de Belastingdienst de ontwikkelingen en bewegingen in de buitenwereld nauwlettend volgt. De Belastingdienst kijkt actief naar de mogelijkheden van soevereine en of Europese oplossingen voor cloud en andere software. De Belastingdienst vervult een cruciale rol in de maatschappij en kan daarom als organisatie niet lichtvaardig omgaan met keuzes die de continuïteit van de systemen en processen kunnen raken.
De Belastingdienst wil in deze context niet vooruit lopen op technologische ontwikkelingen en baseert zijn keuzes op zorgvuldige afwegingen en de kaders en richtlijnen die door BZK worden gesteld. Nieuwe technologieën en software worden door de Belastingdienst pas toegepast na een zorgvuldige afweging en zodra er voldoende zekerheid is dat deze oplossingen veilig en uitvoerbaar zijn. In dat kader, zoals aangegeven in het antwoord op vraag 7, kijkt de Belastingdienst onder andere naar de ontwikkelingen rondom «Mijn Bureau» van BZK.
Eén van de strategische doelen uit de Nederlandse Digitaliseringsstrategie (NDS) is om gezamenlijk te werken aan een verkenning om een overheidsbrede soevereine clouddienst in samenwerking met bestaande overheidsdienstverleners te realiseren. De Belastingdienst kijkt uit naar de resultaten van deze verkenning. Daarmee ontstaat handelingsperspectief en meer duidelijkheid over de termijn waarop een dergelijke migratie realiseerbaar is.
De Belastingdienst levert, als eigenaar van een Overheidsdatacenter, in het kader van betere rijksbrede samenwerking graag een belangrijke en noodzakelijke bijdrage aan een meer autonome oplossing voor de langere termijn.

Vraag 15

Waarom bent u slechts voornemens om te migreren naar Europese alternatieven als zij op een vergelijkbaar niveau zitten als Microsoft, als u het belang van digitale autonomie en nationale veiligheid onderschrijft?

De overstap naar M365 is het resultaat van een complexe en veelzijdige belangenafweging. Zoals u heeft kunnen lezen in het antwoord op vraag 12 zijn autonomie en nationale veiligheid twee aspecten, welke beiden zijn meegewogen door de Belastingdienst. Naast het versterken van de digitale autonomie en nationale veiligheid maakten aspecten zoals de beschikbaarheid, niveau van functionaliteit, geldende wet- en regelgeving, schaalbaarheid, en kosten ook onderdeel uit van de belangenafweging.
Zoals u heeft kunnen lezen in mijn antwoord op vraag 3 en in de brief die u op 2 oktober jl. heeft ontvangen heeft de Belastingdienst gezien de (geo)politieke en maatschappelijke ontwikkelingen de overstap naar M365 getemporiseerd. Eerst heeft de Belastingdienst zorgvuldig een aantal alternatieve scenario’s afgewogen. Daarbij is het belang van het versterken van de digitale autonomie en de nationale veiligheid opnieuw nadrukkelijk meegenomen.

Vraag 16

In hoeverre bent u bereid om digitale autonomie, kennisbehoud en data- en nationale veiligheid in te leveren ten behoeve van functionaliteit en productiviteit?

Zie antwoord vraag 15.

Vraag 17

Welke delen van het werkproces komen in de Amerikaanse cloud te staan? Komen ook «rulings» van de Belastingdienst, die gevoelige informatie over belastingheffing bevatten, en bedrijfsgevoelige informatie in de Microsoft-omgeving te staan?

Zoals u heeft kunnen lezen in het antwoord op vraag 5 betreft de overstap de kantoorautomatisering. Met kantoorautomatisering doel ik op applicaties (zoals Teams, OneDrive, en Outlook) die medewerkers ondersteunen in hun dagelijkse werkzaamheden, (interne) communicatie en samenwerking. Applicaties voor beheer en security vallen hier ook onder.
De applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst. Voor de archivering van rulings heeft de Belastingdienst een apart systeem. Daarnaast blijven er voor de medewerkers opties om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Communicatie over casuïstiek tussen de Belastingdienst en ondernemingen en/of hun gemachtigden en tussen medewerkers onderling met betrekking tot ruling verzoeken vindt via diverse wijzen plaats waaronder e-mail. Dit is ook het geval bij rulings.

Vraag 18

Is het migreren van maildiensten naar Microsoft een reden om bepaalde informatie niet binnen de werkomgeving van de Belastingdienst te bespreken, communiceren, of op te slaan?4

Nee, er zijn ook alternatieve opslaglocaties voor het bewaren van informatie en met hulp van de zogenaamde datalek-preventie-oplossing in de M365-suite, wordt voorkomen dat gevoelige informatie als bijlage bij een e-mail meegestuurd kan worden. Voor het verzenden van gevoelige informatie zijn er alternatieven beschikbaar in het dienstenaanbod. Zo is er de beschikking over de Belastingdienst-file-transfer, waarmee een veilige verzending en ontvangst van informatie tussen Belastingdienst/Toeslagen/Douane en een derde mogelijk is via het openbare internet.
Zoals u heeft kunnen lezen in het antwoord op vraag 5 en 17 blijven de applicaties voor de primaire processen in de on-premises omgeving draaien. Met de overstap naar M365 krijgt de Belastingdienst meer mogelijkheden om data te beheersen die buiten de applicaties voor de primaire processen wordt verwerkt.

Vraag 19

Is het risico op weglekken van data naar derden onderzocht? Kan u bewijzen dat er géén risico’s zijn dat gevoelige informatie onbeveiligd wordt uitgewisseld in de nieuwe situatie?

De ervaring leert dat op het vlak van informatiebeveiliging het weglekken van data nooit volledig kan worden voorkomen. De overstap naar M365 maakt het mogelijk om aanvullende en beterebeheersmaatregelen te implementeren.
Naast de al eerder met uw Kamer gedeelde maatregel van het afsluiten van de USB-poorten biedt de nieuwe M365 omgeving meer mogelijkheden om het delen van informatie te beperken. Voor het uitwisselen van informatie met derden op grond van een wettelijke basis heeft de Belastingdienst speciale voorzieningen die voldoen aan de wettelijke vereisten, zoals Belastingdienst-file-transfer. Zie ook antwoord op uw vraag 18.

Vraag 20

Kunt u toelichten welke primaire processen nog wel in het Nederlandse datacentrum blijven draaien en welke afweging daarbij is gemaakt? Welke beheer- en beveiligingsapplicaties worden verplaatst naar de publieke cloud en waarom vallen deze niet onder primaire processen?

Zoals is aangegeven in eerdere antwoorden blijven de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing draaien in hun huidige omgeving in de datacenters van de Belastingdienst. De wijzigingen zien toe op de kantoorautomatisering. Met de overgang naar M365 worden de documenten die worden verwerkt in de kantoorautomatisering opgeslagen op een server van Microsoft. De genoemde beheer- en beveiligingsapplicaties betreffen de applicaties die horen bij de kantoorautomatisering en het beheren van de cloudomgeving. Voorbeelden hiervan zijn de virusscanner en een beheerprogramma om regels in te stellen voor het bepalen wat er met informatie mag gebeuren (zogenaamde «data leakage prevention regels»). Ik wil met nadruk aangeven dat beveiligings- en beheerprogrammatuur voor de systemen die in het eigen datacentrum staan, niet vervangen worden door cloud-varianten van die apparatuur.

Vraag 21

Kunt u deze vragen afzonderlijk beantwoorden en toezeggen dat de Belastingdienst geen onomkeerbare stappen zet totdat deze vragen zijn beantwoord?

De vragen zijn zoveel mogelijk afzonderlijk beantwoord. De Belastingdienst is nog niet gestart met de daadwerkelijke uitrol van M365. Het stoppen en/of vertragen van dit traject is echter niet zonder consequenties. Er is, zoals u heeft kunnen lezen in de brief van 2 oktober jl., jarenlang geïnvesteerd in en rekening gehouden met de overstap naar M365. In de situatie dat de Belastingdienst een overstap zou maken naar een alternatief, dan zou dit gepaard gaan met aanzienlijke kosten en een doorlooptijd van twee tot drie jaar.
De Belastingdienst heeft namelijk de nieuwe werkplekken al uitgerold binnen de Belastingdienst, Douane en Toeslagen. Zolang de Belastingdienst, Douane en Toeslagen blijven doorwerken in de verouderde en inefficiënte werkomgeving vanaf deze nieuwe werkplekken die zijn ingericht op het gebruik van M365 zal er sprake blijven van workarounds en daarmee productiviteitsverlies.

Vraag 1

In de brief wordt gesteld dat Europese alternatieven binnen afzienbare termijn niet voldoen aan het niveau van Microsoft 365; welke Europese alternatieven zijn onderzocht voordat de keuze gemaakt is voor Microsoft?

De Belastingdienst is sinds 2021 bezig met het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. De (geo)politieke situatie was destijds anders, omdat het versterken van de autonomie in de afwegingen een beperktere rol speelde. Daarom heeft destijds geen uitgebreide verkenning naar Europese alternatieven plaatsgevonden en is er uitgegaan van de toen geldende (markt)standaard van Microsoft Windows 11 en M365.
De uitrol van de nieuwe werkplekken, in de vorm van nieuwe laptops die zijn ingericht op het gebruik van M365, is inmiddels afgerond. De huidige situatie is dat er vanaf de nieuwe 40.000 werkplekken wordt doorgewerkt in de verouderde en inefficiënte werkomgeving omdat M365 nog niet is geïmplementeerd. Dit terwijl er bij de inrichting van de nieuwe werkplekken rekening is gehouden met de implementatie van M365. Doordat M365 nog niet is geïmplementeerd bestaan er nu inefficiënte manieren om vanaf de nieuwe werkplekken met de beperkingen van de oude werkomgeving om te gaan. Deze workarounds resulteren in een geschat productiviteitsverlies van 15 tot 30 minuten per medewerker per dag.
Gezien de recente (geo)politieke en maatschappelijke ontwikkelingen heeft de Belastingdienst de overstap naar M365 op de nieuwe werkomgeving getemporiseerd en een aantal alternatieve scenario’s zorgvuldig uitgewerkt en afgewogen, zie daarvoor bijlage 1. Echter, op korte termijn is geen Europees alternatief beschikbaar dat geschikt is voor de situatie waar de Belastingdienst zich momenteel in bevindt.
In het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt zou zijn voor de Belastingdienst, dan kost het nog twee tot drie jaar om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van productiviteitsverlies.

Vraag 2

Welke tekortkomingen zijn vastgesteld bij deze Europese aanbieders die ertoe hebben geleid dat zij niet als toereikend alternatief zijn aangemerkt?

Zie antwoord vraag 1.

Vraag 3

Kunt u toelichten aan welke vereisten en prestatienormen Europese aanbieders moeten voldoen om wel als een toereikend alternatief te kunnen gelden voor Microsoft 365?

Om als volwaardig alternatief te kunnen dienen, moeten de voorgestelde oplossingen kunnen voldoen aan strikte eisen op het gebied van integratie, continuïteit, geïntegreerde gebruikerservaring plus naleving van o.a. ISO-standaarden, DUTO, BIO, NIS 2 en Archiefwet. Daarnaast is het belangrijk dat er voldoende functionaliteiten zijn voor medewerkers om goed, flexibel en effectief (samen) te kunnen werken.

Vraag 4

Is er perspectief op een Europees alternatief dat wel kan dienen als een alternatief voor Microsoft 365? Zo ja, welke aanbieder(s) worden dan als kansrijk beschouwd?

De Belastingdienst volgt de bewegingen in de buitenwereld en kijkt ook naar mogelijkheden van soevereine en of Europese cloudoplossingen.
Zoals u heeft kunnen lezen in de antwoorden op vraag 1 en 2 zou het in het geval dat er in de toekomst een Europese oplossing beschikbaar komt dat wel geschikt wordt bevonden voor de Belastingdienst, nog steeds twee tot drie jaar kosten om deze te implementeren. Gedurende deze tijd wordt er dan nog steeds doorgewerkt in de verouderde en inefficiënte werkomgeving via werkplekken die zijn ingericht voor M365. Daarmee blijft er dus sprake van een productiviteitsverlies.
In dit kader volgt de Belastingdienst onder andere de ontwikkelingen bij BZK rondom «Mijn Bureau». Mijn Bureau is een open source samenwerkingsplatform voor de overheid, publieke sector en bedrijven dat wordt ontwikkeld onder regie van het Rijksbrede programma Beter Samen Werken (OpenBSW). De Belastingdienst neemt actief deel aan de ontwikkelingen rond dit platform. Momenteel bevindt dit platform zich echter nog in een vroege testfase.

Vraag 5

Welke maatregelen worden er op dit moment genomen om de ontwikkeling en verbetering van Europese cloud- en software-alternatieven te stimuleren en te versnellen, zodat deze in de toekomst als volwaardig alternatief voor Microsoft 365 kunnen dienen?

In de Nederlandse Digitaliseringsstrategie is cloud als een van de hoofdthema’s opgenomen. Hierbij zijn specifiek twee strategische doelen benoemd, met als overkoepelende uitkomst minder afhankelijk te worden van een klein aantal externe leveranciers. Er wordt gewerkt aan een verkenning van het realiseren van een overheidsbrede soevereine clouddienst in samenwerking met bestaande overheidsdienstverleners en de markt. Daarnaast wordt er gestreefd naar een centrale overheidsmarktplaats voor cloudtechnologieën. Ten aanzien van een federatief Europees cloudecosysteem is immers ook van belang hoe dit aan afnemers wordt aangeboden. Afnemers hebben over het algemeen geen belang bij contracten met meerdere marktpartijen, aangezien dit een bijzonder ingewikkelde kwestie kan worden in het kader van aansprakelijkheid. Eén van de primaire redenen waarom er vaak van de hyperscalers als one-stop-shop gebruik gemaakt wordt. Zoals in de NDS opgenomen, kan een marktplaats voor clouddiensten (als een – hopelijk – meer geavanceerde versie van een cloudbroker) hier aan bijdragen om een dergelijk ecosysteem tot een succes te maken.
Het laatst benoemde doel weergeeft de al bestaande behoefte aan een marktplaats voor clouddiensten, in plaats van de opzet van een Bijenkorf Megascaler cloud aan de hand van de verworpen motie Bruyning.1 Hierin wordt het verzoek gedaan tot het bevorderen van de cloudautonomie middels het Bijenkorf Megascaler Cloudmodel van Instituut Clingendael.2
De Europese Commissie vindt tevens voldoende datacapaciteit voor cloud- en AI-diensten essentieel voor het verdienvermogen en de economische veiligheid van de EU. De Commissie heeft daarom een Cloud & AI Development Act (CADA) aangekondigd, met als doel private duurzame datacentercapaciteit in de EU in 5 tot 7 jaar te verdriedubbelen. Verder wil de Commissie met de CADA de Europese industrie stimuleren om zelfstandige cloudalternatieven te ontwikkelen en vermarkten, en wil ze mogelijk instrumenten opnemen ter bevordering van Europese alternatieven voor de meest strategische en kritische use cases van cloudgebruik. Nederland is actief betrokken bij de ontwikkeling van de CADA.

Vraag 6

In berichtgeving van NRC wordt gesteld dat een van de redenen dat het gebruik van Microsoft 365 toch is doorgezet, is dat er al een aanbetaling was gedaan. In hoeverre heeft dit een rol gespeeld in de uiteindelijke besluitvorming?1

Nee, dit heeft geen rol gespeeld in de besluitvorming. De Belastingdienst heeft sinds 2020 een contract met Microsoft voor verschillende diensten. M365 is één van de onderdelen in dit bredere pakket. Bij de uiteindelijke besluitvorming zijn verschillende scenario’s zorgvuldig onderzocht, waarbij is geconcludeerd dat de overstap naar M365 de enige uitvoerbare optie is gezien de situatie waarin de Belastingdienst zich bevindt.

Vraag 7

Welke technische en contractuele maatregelen zijn getroffen om te zorgen dat de Amerikaanse overheid niet zomaar toegang heeft tot Nederlandse overheidsdata?

De Amerikaanse cloudwetgeving kan de leverancier die gevestigd is in de Verenigde Staten verplichten om data te leveren, daarom is dit niet 100% uit te sluiten. Zie in dit verband ook de analyse van de Cloud Act die door het Ministerie van Justitie en Veiligheid is gepubliceerd, waaruit blijkt dat het risico zeer beperkt is4. Daarnaast blijkt uit onderzoek van Greenberg Traurig dat: «[...]het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is». Dit beeld komt ook terug uit de door de Belastingdienst opgestelde risico-analyse en de DPIA’s op M365.
Bovendien zijn er door SLM Rijk5 in het framework agreement met Microsoft uitgebreide technische, organisatorische en contractuele afspraken met Microsoft gemaakt die toegang tot Nederlandse overheidsdata beperken. Voorbeelden van deze afspraken zijn het opslaan van data op servers in de EER (hoewel dit de toegang door de VS niet volledig belet kan dit het wel bemoeilijken) en afspraken over encryptie van data in transit. Microsoft committeert zich dat het zich waar mogelijk (juridisch) zal verzetten tegen bevelen tot afgifte van data en geeft aan nog nooit data van een EU-overheidsklant verstrekt te hebben aan enige overheid (inclusief de Amerikaanse overheid).

Vraag 1

Bent u bekend met het bericht «Nederlandse organisatie wint zaak: tijdlijn Facebook en Instagram moet anders»?1

Ja.

Vraag 2

Kunt u toezeggen dat, als het vonnis van de rechter standhoudt, u zal pleiten om de strengere nationale norm voor meer keuzevrijheid in de algoritmes op sociale media als Europese standaard te hanteren?

De Nederlandse rechter interpreteert in deze uitspraak bestaande normen uit de digitaledienstenverordening (DSA). Er is hier geen sprake van een strengere nationale norm en het is daarom niet nodig om op Europees niveau te pleiten voor een strengere norm. De uitspraak is uitvoerbaar bij voorraad verklaard, wat in dit geval betekent dat Meta een dwangsom moet betalen aan Bits of Freedom als zij de uitspraak niet voor 31 december 2025 naleeft. Meta heeft tegen de uitspraak hoger beroep ingesteld. Dat beroep dient op 26 januari 2026.
Uiteindelijk is de interpretatie van de DSA in laatste instantie aan het Hof van Justitie van de Europese Unie. De Digitale dienstenraad, die bestaat uit de nationale toezichthoudende autoriteiten, signaleert opkomende kwesties met betrekking tot de DSA en draagt samen met de Europese Commissie bij aan een consistente toepassing van de DSA in de EU, onder meer door de mogelijkheid tot het opstellen van richtsnoeren. Daarbij kunnen dit soort uitspraken van nationale rechters uiteraard een belangrijke rol spelen. Gelet hierop zien wij op dit moment geen reden om op Europees niveau te pleiten voor een Europese standaard op dit gebied.

Vraag 3

Deelt u de mening dat niet de rechter, maar de toezichthouder moet afdwingen dat bedrijven als Meta de Europese wet- en regelgeving naleven?

Wij delen die mening niet. De DSA voorziet in een systeem van publiekrechtelijk toezicht, maar laat de mogelijkheid van een gang naar de civiele rechter onverlet. Dit blijkt ook expliciet uit de artikelen 21 en 90, eerste lid, van de DSA. Het laatste artikel opent de deur voor collectieve acties. Publiekrechtelijke en civielrechtelijke handhaving zijn beide van belang voor de effectieve werking van het systeem van de DSA en sluiten elkaar dus niet uit.

Vraag 4

Wat gaat u doen om toezichthouders als de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens in staat te stellen om proactief toe te zien op de naleving van Europese wet- en regelgeving?

In de Uitvoeringswet digitaledienstenverordening zijn de Autoriteit Consument & Markt (ACM) en de Autoriteit persoonsgegevens (AP) aangewezen als toezichthouders. Deze wet geeft de toezichthouders de bevoegdheden die nodig zijn om toezicht te houden op de DSA. Het Ministerie van Economische Zaken stelt structurele financiering beschikbaar voor beide toezichthouders. Het ministerie staat regelmatig in contact met zowel de ACM als de AP. Er zijn vanuit de toezichthouders geen signalen ontvangen dat zij niet in staat zouden zijn om doeltreffend toe te zien op de DSA, waardoor op dit moment geen verdere actie is vereist. Het is hierbij van belang op te merken dat Facebook en Instagram onder toezicht staan van de Europese Commissie en de Ierse toezichthouder. Eventuele handhavingsmaatregelen worden door deze autoriteiten genomen.

Vraag 5

Waarom maakt de Rijksoverheid nog steeds gebruik van online platforms die de Europese wet- en regelgeving niet naleven? Hoe treedt u normerend op tegen de desbetreffende techbedrijven?

Vrijwel de hele samenleving maakt gebruik van online platforms: ruim 14 miljoen Nederlanders zijn hier daar dagelijks op actief. Nederlanders hebben een groot belang bij goede informatievoorziening door de overheid. Als overheid willen we communiceren met middelen waarmee Nederlanders goed kunnen worden bereikt. De Rijksoverheid ziet zich daarom geconfronteerd met een situatie dat er gebruik moet worden gemaakt van online platforms voor contact met de samenleving omdat er voor dit gebruik op dit moment geen geschikte alternatieven beschikbaar zijn. Daarbij speelt mee dat er specifieke groepen zijn in de samenleving die weinig gebruik maken van traditionele media en/of andere informatiekanalen. Gebleken is dat deze groepen wel goed bereikbaar zijn via online platforms.
Online platforms dienen zich te houden aan Europese wet- en regelgeving. Het is allereerst aan de toezichthouders om ervoor te zorgen dat die normen publiekrechtelijk worden gehandhaafd. In aanvulling daarop werken we aan verschillende instrumenten om naleving van Europese wet- en regelgeving te bevorderen. Zo zijn er in opdracht van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering onder meer Kinderrechten Impact Assessments uitgevoerd en maken we met onderzoek naar contentmoderatie op zeer grote online platforms, waaronder sociale media, zichtbaar hoe platforms omgaan met illegale en schadelijke content.2

Vraag 6

Wat doet u om maatschappelijke organisaties, zoals Bits of Freedom, te ondersteunen in hun acties om grote techbedrijven ter verantwoording te roepen?

Maatschappelijke organisaties spelen een belangrijke rol in de effectieve toepassing van de DSA, onder meer als trusted flaggers en via civielrechtelijke handhaving van de DSA. Het onafhankelijk functioneren van deze organisaties is hierbij van groot belang. Het is een taak van de overheid om ruimte te creëren voor maatschappelijke organisaties om hun rol uit te oefenen.
De overheid onderhoudt contacten met verschillende maatschappelijke organisaties om kennis en signalen te delen, zo ook met Bits of Freedom.

Vraag 7

Bent u bereid om, in zoverre mogelijk, bijstand te verlenen aan maatschappelijke organisaties die juridisch de strijd aan gaan met grote techbedrijven die willens en wetens de wet niet naleven?

Wij zien het als taak voor de overheid om ruimte te creëren voor maatschappelijke organisaties om hun doelen na te streven, en om te zorgen dat in Nederland toezicht kan worden gehouden op de toepasselijke wet- en regelgeving. Het is echter geen taak voor de overheid om enige, maar in het bijzonder financiële, bijstand te verlenen in civielrechtelijke rechtszaken.

Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «TikTok bezorgt extreemrechtse livestreamers extra publiek om winst te vergroten»?1

Ja.

Vraag 2

Wat is uw reactie op het artikel?

Het artikel schetst een zorgwekkende situatie. In de antwoorden op vraag 3 en 4 ga ik hier verder op in.

Vraag 3

Vindt u het acceptabel dat TikTok, volgens berichtgeving in de NRC, met haar aanbevelingsalgoritmes rechts-extremistische content bevoordeelt?

Extremistische en haatdragende content hoort niet thuis op online platforms zoals TikTok en druist in tegen de gebruikersvoorwaarden die TikTok zelf hanteert. Platforms hebben een verantwoordelijkheid voor de content die zij hosten en helpen verspreiden. Zo verplicht artikel 34 van de digitale dienstenverordening (hierna ook: «DSA») zeer grote online platforms (Very large online platforms, hierna: «VLOPs») zoals TikTok tot het identificeren, analyseren en beoordelen van systemische risico's die voortvloeien uit het ontwerp, de werking en het gebruik van hun diensten. Extremistische en haatdragende content kan leiden tot zulke risico’s, bijvoorbeeld wanneer het negatieve gevolgen heeft voor verkiezingsprocessen of de openbare veiligheid. Als er zulke risico’s bestaan, dan moeten zeer grote online platforms daar adequate maatregelen tegen nemen, zoals bijvoorbeeld de aanpassing van aanbevelingsalgoritmes (artikel 35, eerste lid DSA). De Europese Commissie is de aangewezen toezichthouder hiervoor. Daarnaast wordt de eigen verantwoordelijkheid van online platforms tijdens de nationale dialoog met de internetsector ook benadrukt.

Vraag 4

Vindt u dat elk groot online platform, waaronder TikTok, moet beschikken over een stevig nationaal moderatieteam die vanuit de eigen context content kan beoordelen? Is dit nu op orde?

Onderzoek bevestigt het bestaan van «moderatieongelijkheid».2 Dit houdt in dat het beleid van een platform verschillend wordt toegepast per taal. Platforms gaan hierbij voornamelijk uit van het Engels, waarbij de ongelijkheid in de toepassing van dit beleid het grootst is bij talen uit het globale zuiden.
Het is essentieel dat grote online platforms, waaronder TikTok, beschikken over een stevige en goed toegeruste nationale contentmoderatie die in staat is om content te beoordelen binnen de eigen nationale context, taal en culturele gevoeligheden. Effectieve moderatie draagt bij aan het voorkomen van schadelijke of illegale inhoud en aan de bescherming van gebruikers. Voor effectieve moderatie zijn echter meer middelen nodig dan voor de huidige mogelijkheid van menselijke moderatie door platforms. AI en «community notes» kunnen daar een nuttige bijdrage aan leveren. Beide kunnen ook in meer of mindere mate beschikken over kennis over taal, cultuur en maatschappelijke context. Effectieve moderatie vraagt voor zover nu bekend om een combinatie van menselijke (nationale) moderatie, community notes, en/of geautomatiseerde middelen. TikTok doet dat en maakt gebruik van een combinatie van automatische moderatiesystemen en menselijke moderatoren. In het recente DSA-transparantierapport van TikTok geven zij aan 100 Nederlandse personen in dienst te hebben die zich wijden aan contentmoderatie.
De DSA verplicht platforms om transparantie te bieden over de moderatie die zij verrichten, en de wijze waarop. Zo moeten zij onder meer rapporteren over de moderatie die zij hebben verricht, de geautomatiseerde middelen die daarbij eventueel zijn toegepast, en over de maatregelen die zijn genomen om opleiding en bijstand te verstrekken aan personen die de moderatie verrichten. VLOPs en zeer grote online zoekmachines (Very large online search engines, hierna: «VLOSEs») moeten daarnaast rapporteren over de personele middelen die worden ingezet voor inhoudsmoderatie, uitgesplitst per officiële taal van de EU-lidstaten, en over de kwalificaties en taaldeskundigheid van deze moderatoren. Hiermee wordt transparant of, en zo ja welke, platforms menselijke contentmoderatie verminderen en welke middelen zij inzetten om te modereren. Op dit moment maakt niet elke VLOP gebruik van menselijke moderatie. Het kabinet zal zich ervoor blijven inzetten dat platforms hun verplichtingen nakomen, onder meer door samenwerking met Europese partners te intensiveren en door in de nationale dialoog met de internetsector hiervoor aandacht te vragen.

Vraag 5

Welke risico’s ziet u voor de Tweede Kamerverkiezingen van 29 oktober 2025 op het gebied van politieke beïnvloeding via ongereguleerde donaties aan online contentmakers?

Het kabinet zet breed in om politieke beïnvloeding te voorkomen. Maatregelen betreffen onder andere het organiseren van verkiezingstafels met relevante (veiligheids)partners, het organiseren van een online veiligheidsbriefing voor gemeenteambtenaren, het bevorderen van het (online) publieke debat en het versterken van de weerbaarheid van politieke partijen. Ook gaat het kabinet desinformatie rond het verkiezingsproces tegen met de Rijksbrede strategie voor de effectieve aanpak van desinformatie. We zijn ons bewust van het risico dat buitenlandse actoren geld en tijd investeren om onze democratische processen te beïnvloeden, bijvoorbeeld aan de hand van heimelijke desinformatiecampagnes.
Ondanks richtlijnen rondom de transparantie van politieke advertenties kan helaas niet worden uitgesloten dat deze beïnvloedingscampagnes plaatsvinden. Het is daarom van groot belang dat deze worden blootgelegd. De veiligheidsdiensten doen vanuit hun wettelijke taak onderzoek naar heimelijke inmenging door buitenlandse actoren. Indien inmenging wordt geconstateerd, kunnen zij dit melden aan relevante partners, via de geëigende kanalen, zodat deze op basis van de melding hiernaar kunnen handelen.
Anderzijds is het van belang dat kiezers zelf weerbaar zijn zodat zij zich niet door een enkele influencer laten beïnvloeden. Een goed geïnformeerde burger is niet alleen veerkrachtiger, maar ook beter in staat om kritisch en verantwoord te handelen. Daarom zet het kabinet via de Rijksbrede strategie voor de effectieve aanpak van desinformatie ook in op de versterking van mediawijsheid en de weerbaarheid van burgers.3

Vraag 6

Vindt u dat donaties aan online contentmakers, die een politieke boodschap uitdragen, beter gereguleerd moeten worden? Ziet u mogelijkheden om dit in de Wet op de politieke partijen (Wpp) op te nemen?

Er zijn verschillende wetten en regels die zich richten op de monetisatie van online content. Denk hierbij aan de Mediawet en reclameregels. Ook hebben platforms vaak in hun eigen beleid restricties voor de monetisatie4 van content opgenomen.5 Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Ministerie van Economische Zaken achten het daarom wenselijk om voor nu terughoudend te zijn met het nemen van additionele maatregelen en vooral te bezien wat er mogelijk is binnen de huidige wet- en regelgeving. De Wet op de politieke partijen is in ieder geval niet de juiste plek om nadere regels te stellen. Deze wet omvat als normadressant enkel politieke partijen, niet online contentmakers die een politieke boodschap uitdragen.

Vraag 7

Heeft u geanalyseerd welke risico’s er bestaan op online politieke beïnvloeding voor de aanstaande Kamerverkiezingen? Zo ja, kunt u toelichten welke risico’s er zijn geconstateerd en welke maatregelen u neemt om deze te mitigeren?

Het fundamentele karakter van verkiezingen zorgt ervoor dat verkiezingen doelwit kunnen zijn van (statelijke) actoren die democratische processen in Europa en Nederland willen beïnvloeden of verstoren. Hier zijn meerdere voorbeelden van, zoals de inmengingspogingen in Roemenië, Moldavië, Polen en Duitsland. Daarom neemt het kabinet maatregelen om deze risico’s tegen te gaan.
Er worden verschillende maatregelen getroffen om heimelijke beïnvloeding van verkiezingen tegen te gaan. Hierover is uw Kamer op 4 juli jl. per brief geïnformeerd.6 De getroffen maatregelen zijn besproken met relevante partners, waaronder de inlichtingen- en veiligheidsdiensten, op de verkiezingstafel. Deze tafel komt periodiek bijeen en incidenteel in geval van concrete dreigingen. Ook heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties een webinar georganiseerd voor gemeenteambtenaren om hen voor te bereiden op veiligheidsrisico’s rondom de verkiezing. De Autoriteit Consument en Markt (ACM) heeft een rondetafelgesprek georganiseerd over de verantwoordelijkheden van online platforms onder de DSA tijdens verkiezingen. Daarnaast hebben het Ministerie van Defensie en de Nationale Politie een hackathon georganiseerd waarbij op basis van open source intelligence signalen van dreigingen voor de weerbaarheid van de aankomende verkiezingsperiode worden onderzocht. Verder wordt actief samengewerkt in EU-verband. Bijvoorbeeld via het European Cooperation Network on Elections and the Rapid Alert System (RAS) waar inzichten met betrekking tot desinformatie en weerbare verkiezingen worden gedeeld tussen lidstaten. Tot slot werken we aan een offensieve aanpak tegen desinformatie en de verkenning naar de mogelijkheden voor desinformatie detectie. In recente jaarverslagen waarschuwt de AIVD voor heimelijke desinformatiecampagnes die het publieke debat in Europese landen beïnvloeden.7 Het ontbreekt momenteel aan integraal zicht op de verspreiding van desinformatie- en beïnvloedingscampagnes door statelijke actoren in het Nederlandse informatiedomein. Om onze informatiepositie te verstevigen onderzoeken we de mogelijkheid om buitenlandse beïnvloedingscampagnes, gericht op onze democratische rechtsstaat, te detecteren. Daarvoor kijken we naar buitenlandse voorbeelden zoals Zweden en Frankrijk.
Overigens zijn ons kiesstelsel en verkiezingsproces robuust. Door ons pluralistische stelsel van evenredige vertegenwoordiging zijn we minder kwetsbaar dan landen met een meerderheidsstelsel zoals het «winner takes all»-stelsel waarbij slechts één partij of kandidaat het voor het zeggen krijgt. Ook is het verkiezingsproces minder kwetsbaar voor digitale dreigingen doordat de kiezer met een papieren stembiljet stemt, dat handmatig wordt geteld.

Vraag 8

Hoe beoordeelt u de radicaliserende werking van online aanbevelingsalgoritmes gebaseerd op online tracking en interactie? Ziet u een verband tussen de werking van deze algoritmes en de toenemende groei van online extremisme die zowel de AIVD2 als NCTV3 constateren?

Radicalisering is een complex proces waarbij verschillende factoren een rol spelen. Aanbevelingsalgoritmes hebben hierin een indirecte, maar wel een versterkende rol. Het onderzoek in het genoemde artikel toont aan dat algoritmes content met veel aandacht vaker aanbevelen. Ook blijkt emotionele en polariserende content aandacht te genereren.10 Hierdoor wordt een verband gesuggereerd tussen aanbevelingsalgoritmes en de verspreiding van extreme content. Het WODC-onderzoek naar rechts-extremisme op sociale media bevestigt dat aanbevelingsalgoritmes radicalisering kunnen versterken wanneer gebruikers zelf al actief zoeken naar extremistische of polariserende content.11 Deze algoritmes zorgen voor steeds extremere aanbevelingen op basis van het eerdere gedrag van de gebruiker. Tegelijkertijd zijn ook de persoonlijke keuzes van gebruikers en offline factoren minstens zo belangrijk in het radicaliseringsproces. Denk hierbij aan het delen van links naar extremistische content binnen de eigen sociale omgeving, het abonneren op of volgen van bepaalde kanalen met extreme content op sociale mediaplatforms, en het ontmoeten van gelijkgestemden binnen echokamers. Algoritmes zijn dus geen directe oorzaak van radicalisering, maar kunnen wel bijdragen aan een versnelde toegang tot extremistische content. Dit kan het proces van radicalisering versnellen of versterken, vooral bij kwetsbare gebruikers. Daarnaast houdt een onderdeel van het verdienmodel van online platforms, waaronder de reclamesystemen en aanbevelingssystemen die door aanbieders van VLOPs worden gebruikt, de verspreiding van schadelijke en extremistische content in stand.
De NCTV en AIVD besteden in de opeenvolgende Dreigingsbeelden Terrorisme Nederland (DTN) en in het jaarverslag van de AIVD van 2024 aandacht aan de snelle online radicalisering en mogelijke geweldsdreiging van met name jongeren in onder andere rechts-terroristische online netwerken. De Minister van Justitie en Veiligheid vraagt daarom in de dialoog met de internetsector expliciet aandacht voor de rol van aanbevelingsalgoritmes bij de verspreiding van extreme online content.

Vraag 9

Ziet u een verband tussen de rellen in Den Haag van 20 september 2025, waar rechts-extremistisch geweld is gepleegd, en de radicaliserende gevolgen van aanbevelingsalgoritmen op sociale media?

De NCTV en AIVD waarschuwen al langere tijd voor de dreiging van rechts-extremisme (en rechts-terrorisme) en dat normalisering van rechts-extremistisch gedachtengoed kan leiden tot rechts-extremistisch gemotiveerd geweld. Zo werd in opeenvolgende Dreigingsbeelden Terrorisme Nederland (DTN) en ook in het jaarverslag van de AIVD van 2024 aandacht besteed aan de normalisering van rechts-extremistisch gedachtegoed en de verspreiding hiervan online. De snelle online radicalisering en mogelijke geweldsdreiging van met name jongeren in onder andere rechts-terroristische online netwerken is hier onderdeel van. Normalisering van het rechts-extremistisch gedachtegoed kan leiden tot een toenemende intolerantie jegens instituten en andere groepen in de samenleving, waardoor geweld tegen deze groepen sneller wordt geaccepteerd. Om het gedachtegoed te normaliseren spelen rechts-extremisten in op bestaande maatschappelijke onvrede. De gebeurtenissen en zichtbare uitingen van zaterdag 20 september jl. zijn mogelijk een teken van normalisering van rechts-extremistisch gedachtegoed in de samenleving. Daarbij is het een zorgelijke ontwikkeling dat (al dan niet extremistische) groepen met verschillende achtergronden zich vanuit een gedeelde onvrede kunnen verenigen en elkaar kunnen versterken in hun (extremistische) denkbeelden en in het uiterste geval geweldsbereidheid tonen. Voor de duiding van de NCTV van de gebeurtenissen van 20 september jl. verwijzen we naar de recent verzonden Kamerbrief.12

Vraag 10

Deelt u de mening van de indieners dat online algoritmes die polarisatie, ophef, en haat aanwakkeren, van sociale media een broedplaats maken voor rechts-extremistisch gedachtegoed en daardoor kunnen leiden tot geweld?

Zoals aangegeven in het antwoord op vraag 8 en 9, is de rol van aanbevelingsalgoritmes en sociale mediafuiken bij rechts-extremistische radicalisering binnen de online context indirect, maar relevant. De NCTV en AIVD waarschuwen al langere tijd voor de dreiging van rechts-extremisme (en rechts-terrorisme) en dat normalisering van rechts-extremistisch gedachtegoed en de verspreiding hiervan online kan leiden tot rechts-extremistisch gemotiveerd geweld. Daarom zal de aandacht voor de rol van deze algoritmes in het bestrijden van extremisme onverminderd doorgezet worden.

Vraag 11

Acht u het met de indieners noodzakelijk om de radicaliserende werking van aanbevelingsalgoritmes op sociale media scherper te reguleren?

Nee, het kabinet acht het op dit moment niet noodzakelijk om aanvullende regels te stellen bovenop bestaande wetgeving, zoals de DSA. Zo verplicht de DSA online platforms om transparant te zijn over de werking van hun aanbevelingsalgoritmes. VLOPs, waaronder ook sociale mediaplatforms, moeten gebruikers daarnaast de optie bieden om aanbevelingsalgoritmes, die gepersonaliseerde aanbevelingen doen, uit te schakelen. Zoals uitgelegd onder vraag 3, verplicht de DSA daarnaast tot het identificeren, analyseren en beoordelen van systemische risico's en zo nodig het maken van aanpassingen aan aanbevelingsalgoritmes. Het kabinet is daarom van mening dat de prioriteit moet liggen bij de effectieve en uniforme toepassing en handhaving van de DSA. In 2027 vindt de evaluatie van het effect en doeltreffendheid van de DSA plaats. De regels omtrent aanbevelingssystemen kunnen dan ook worden geëvalueerd en een verdere aanscherping kan worden overwogen. In dit kader volgen wij met interesse recente relevante juridische ontwikkelingen, zoals de uitspraak van de rechtbank Amsterdam over aanbevelingsalgoritmes van grote sociale-mediaplatforms.13
Binnen de kaders van bestaande wetgeving, zoals de DSA, zet Nederland zich in voor een versterking van het beleid ten aanzien van online radicalisering, gewelddadig extremisme en terrorisme. Nederland neemt daarbij een actieve rol binnen de Europese Unie en roept, samen met Duitsland en Frankrijk, de Europese Commissie op om onder meer gezamenlijk een vrijwillige gedragscode voor online platforms op te stellen met betrekking tot deze problematiek. Deze gedragscode kan tevens maatregelen omvatten met betrekking tot aanbevelingsalgoritmes.

Vraag 12

Bent u van mening dat bedrijven als X, Meta en TikTok genoeg doen om radicalisering en extremisme op hun sociale media platforms aan te pakken?

Extremistische en terroristische groeperingen misbruiken online platformen, waaronder sociale media platformen, om propaganda te verspreiden en in stand te houden, nieuwe leden te rekruteren en zelfs aanslagen voor te bereiden. Het is daarom essentieel om passende maatregelen te nemen om het online domein veiliger te maken, met inachtneming van de waarden van een democratische rechtstaat. Hier zet het kabinet zich dan ook voor in. Zo stelt huidige wettelijke instrumentarium, zoals de DSA en de Terroristische Online Inhoud (TOI-)verordening, duidelijke grenzen aan de aanwezigheid van terroristische en illegale content op onlineplatforms. Dit is een belangrijke stap in de goede richting om platforms meer verantwoordelijkheid te laten nemen en zo bij te dragen aan een veiligere online omgeving. Wij blijven daarom in dialoog met de internetsector. Hierbij wordt steeds de eigen verantwoordelijkheid van online platforms benadrukt.
Vanuit het Ministerie van Justitie en Veiligheid is belangrijk onderdeel van de dialoog het gezamenlijk verkennen van mogelijkheden om concrete instrumenten tegen online radicalisering te ontwikkelen. Zo start in december 2025 de pilot met de ReDirect-methode, in samenwerking met Meta, waarbij gebruikers die online zoeken naar terroristische of extremistische content worden geconfronteerd met een informatieveld om hen door te geleiden naar online hulp.
De Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) detecteert en beoordeelt online terroristisch materiaal volgens de TOI-verordening. Hostingaanbieders moeten dit materiaal binnen een uur na een verwijderingsbevel van de ATKM verwijderen of ontoegankelijk maken. Daarnaast moeten online platforms transparantieverslagen publiceren over het aantal ontvangen verwijderbevelen en de opvolging daarvan. Bij herhaalde overtredingen kan de toezichthouder een «blootstellingsbesluit» opleggen, waarmee het platform verplicht wordt proactieve maatregelen te nemen om herhaling te voorkomen.
Voor VLOPS, waaronder Meta en TikTok, is de Europese Commissie de aangewezen toezichthouder. Sinds de inwerkingtreding van de DSA heeft de Commissie diverse formele onderzoeken geopend naar de naleving door de zeer grote online platforms van de verplichtingen onder de DSA. Deze onderzoeken zien, onder andere, op het ontwerp en werking van aanbevelingsalgoritmes, de systeemrisico's en mitigerende maatregelen en transparantieverplichtingen rondom content moderatie. Vooralsnog heeft de Commissie deze onderzoeken nog niet afgerond of sancties opgelegd aan de platforms. In afwachting van deze uitspraken kunnen we geen conclusies trekken over de eventuele schendingen van de verplichtingen onder de DSA van specifieke platforms.

Vraag 13

Welke concrete maatregelen bepleit u in de aankomende Digital Fairness Act (DFA) van de Europese Commissie die de risico’s op radicalisering via aanbevelingsalgoritmes kan mitigeren?

Met de Digital Fairness Act (DFA) zal het Europese consumentenrecht worden aangepast. Het consumentenrecht beschermt belangen van consumenten bij het aangaan van economische transacties met handelaren. Het tegengaan van radicalisering is geen doel van het consumentenrecht. Nederland zet zich in voor aanvullende maatregelen voor het tegengaan van verslavend ontwerp, waaronder algoritmes, via de DFA. Tegelijkertijd moet onnodige regeldruk voor ondernemers voorkomen worden. Dergelijke maatregelen zijn niet specifiek gericht op het tegengaan van radicalisering, maar zouden indirect een effect kunnen hebben. Zoals aangegeven in de beantwoording van vraag 3, worden aanbevelingsalgoritmes op dit moment onder andere gereguleerd via de DSA en de TOI-verordening. Het kabinet is daarom van mening dat de prioriteit moet liggen bij de effectieve en uniforme toepassing en handhaving van deze wet- en regelgeving.

Vraag 14

Welke nationale maatregelen kunt u nemen om Nederlandse gebruikers van sociale media te beschermen tegen de radicaliserende werking van online algoritmes?

Het tegengaan van online radicalisering is een gezamenlijke verantwoordelijkheid. Online platforms hebben hierin een bijzondere rol, omdat zij als aanbieders en beheerders van de digitale infrastructuur direct kunnen ingrijpen in de online dynamiek. Zij zijn in eerste instantie aan zet om te zorgen dat hun gebruikers online veilig zijn. De DSA legt zorgvuldigheidsverplichtingen op aan online platforms om bij te dragen aan het creëren van een veilige online omgeving. We richten ons daarom op het effectief implementeren van Europese regelgeving, zoals de DSA. Voor VLOPs, waaronder sociale media, is de Europese Commissie de aangewezen toezichthouder. In Nederland is de ACM bevoegd om toezicht te houden op naleving van de DSA door hier gevestigde tussenhandeldiensten, zoals online platforms. Daarnaast zullen we ons in 2026 met nieuwe initiatieven inzetten voor kennis en kunde van burgers in de online publieke ruimte. Bijvoorbeeld door het vergroten van het bewustzijn bij burgers van hun rechten en handelingsopties onder de DSA. Ook onderzoeken we de inzet van AI en nieuwe technologie om de negatieve effecten tegen te gaan die algoritmes kunnen hebben op de zichtbaarheid en toegankelijkheid van onafhankelijke en betrouwbare informatie op sociale media. En we zetten in op ontwikkeling, gebruik en schaalvergroting van niet-winstgedreven alternatieven.

Vraag 15

Bent u bereid de mogelijkheden te onderzoeken of via het consumentenrecht een nationaal verbod op radicaliserende aanbevelingsalgoritmes van grote online platforms gerealiseerd kan worden?

Zoals aangegeven in het antwoord op vraag 13, is het consumentenrecht geen geschikte plek om radicaliserende aanbevelingsalgoritmes direct te reguleren. Zoals aangegeven in de beantwoording van vraag 11, worden aanbevelingsalgoritmes op dit moment onder andere gereguleerd via de DSA en de TOI-verordening. Het kabinet is daarom van mening dat de prioriteit moet liggen bij de effectieve en uniforme toepassing en handhaving van deze wet- en regelgeving.

Vraag 16

Kunt u deze vragen afzonderlijk en minstens één week voor de Tweede Kamerverkiezingen van 29 oktober 2025 beantwoorden?

Ja, deze vragen zijn afzonderlijke beantwoord. Het is helaas niet gelukt deze beantwoording een week voor de Tweede Kamerverkiezing toe te sturen.

Vraag 1

Bent u bekend met signalen die wij ontvangen over afgewezen subsidieaanvragen bij bijvoorbeeld het Samenwerkingsverband Noord-Nederland (SNN), terwijl bewoners wel aan de voorwaarden voldoen en binnen de geldende termijn een aanvraag hebben gedaan, maar bijvoorbeeld een mondelinge offerte hebben in plaats van een schriftelijke?

Ja, ik ben hiermee bekend. Alle aanvragen voor subsidie met terugwerkende kracht zijn zorgvuldig beoordeeld en er is gekeken of deze aan alle voorwaarden voldoen. Als een schriftelijke offerte ontbreekt, kan met een factuur of betaalbewijs vaak alsnog de aanvraag worden goedgekeurd. Een afwijzing in dit soort gevallen komt meestal doordat er een factuur of betaalbewijs ontbreekt. Zonder een dergelijk bewijs is onvoldoende na te gaan of er daadwerkelijk sprake is van uitgevoerde werkzaamheden die voldoen aan de subsidievoorwaarden.

Vraag 2

Heeft u zicht op hoe vaak dit voorkomt?

Er zijn totaal 874 aanvragen van de inmiddels circa 12.000 ingediende aanvragen afgewezen. De meest voorkomende redenen voor afwijzingen zijn: 1.) de opdracht valt buiten de periode waarvoor de regeling of terugwerkende kracht geldt of 2.) het ontbreken van een factuur en/of betaalbewijs. Er is niet specifiek zicht op hoe vaak het voorkomt dat een aanvraag wordt ingediend met een mondelinge offerte.

Vraag 3

Krijgt u van gedupeerden soortgelijke signalen over andere regelingen omtrent verduurzaming, versterking en herstel in Groningen en Noord-Drenthe?

Nee, deze signalen heb ik nog niet eerder via gedupeerden ontvangen.

Vraag 4

Erkent u dat deze signalen niet in de geest van Nijbegun passen, namelijk milder, menselijker en makkelijker?

De uitgangspunten voor de inrichting van het aanvraagproces zijn net als voor de rest van Nij Begun: milder, makkelijker en menselijker. Tegelijkertijd willen we misbruik voorkomen. Hiervoor zijn zeer minimale voorwaarden gehanteerd. Via verschillende kanalen wordt uitgelegd aan bewoners welke informatie zij moeten aanleveren voor een volledige aanvraag. Het is vervelend voor bewoners als hun aanvraag wordt afgewezen, maar in de gevallen dat het voorkomt is daar reden voor en goed uitlegbaar.

Vraag 5

Deelt u de mening dat er vanuit vertrouwen beoordeeld moet worden en niet vanuit wantrouwen?

Ja, ik deel deze mening. Daarom hebben we ook zeer minimale voorwaarden gesteld. De beoordeling van aanvragen worden en zijn ook vanuit vertrouwen beoordeeld. Een aanvraag moet echter wel aan enkele voorwaarden voldoen om te zorgen dat de subsidie ook daadwerkelijk gaat naar bewoners die daar recht op hebben. Als bijvoorbeeld geen enkel bewijs is dat er een betaling heeft plaatsgevonden, dan kan niet gecontroleerd worden of het geld daadwerkelijk besteed is.

Vraag 6

Hoe kijkt u, mocht dit vaker voorkomen, naar dit soort afwijzingen in het licht van het wantrouwen vanuit de Groningers en het doel om te handelen vanuit vertrouwen?

Ik vind het belangrijk dat bewoners een subsidie krijgen voor de noodzakelijke kosten die zij gemaakt hebben voor isolatie- en ventilatiemaatregelen op basis van de uitgangspunten die door Rijk en regio op 6 maart 2024 zijn vastgesteld en zoals in de regeling1 beschreven staan. Er is voldoende tijd en geld voor iedereen die in aanmerking komt voor deze subsidie. Door duidelijk en transparant met de bewoners te communiceren, en uit te leggen waarom een aanvraag bijvoorbeeld wordt afgewezen, merken we vaak dat bewoners dit goed begrijpen.

Vraag 7

Wat is het afwijzingspercentage bij de SNN-regelingen? Wat zijn de meest voorkomende redenen voor afwijzing?

Tot nu toe zijn er circa 12.000 aanvragen ingediend en 7.427 aanvragen afgehandeld2 waarvan er 874 zijn afgewezen, wat neerkomt op een afwijspercentage van 11,77% van behandelde aanvragen. Er zijn 268 bewoners in bezwaar gegaan tegen de afwijzing, dit komt neer op een bezwaarpercentage van 30,66% binnen de groep van afwijzingen. Bij ontvangst van een bezwaar wordt er door SNN telefonisch contact opgenomen om een toelichting te geven op het besluit en wordt er aanvullende informatie opgevraagd.
De terugwerkende kracht geldt vanaf 25 april 2023; dit is de datum waarop maatregel 29 als onderdeel van de kabinetsreactie Nij Begun is gepubliceerd. Veel aanvragen worden afgewezen omdat de opdracht om de isolatiemaatregelen uit te voeren voor 25 april 2023 is verstrekt, of omdat op basis van de aangeleverde stukken niet kan worden vastgesteld wanneer deze verplichting is aangegaan. In het geval een bewoner in bezwaar gaat en alsnog kan aantonen dat de opdracht na 25 april 2023 is verstrekt, wordt het besluit vanzelfsprekend herzien en wordt de subsidie alsnog verleend.
Een andere veelvoorkomende reden voor afwijzing is dat (betaal)bewijzen van de uitgevoerde isolatie- en ventilatiemaatregelen ontbreken, onvolledig of onduidelijk zijn. Zo moet op een factuur met meerdere maatregelen te onderscheiden zijn welke kosten subsidiabel zijn. Ook hier geldt dat indien een bewoner dit in bezwaar alsnog kan aanleveren, het besluit wordt herzien.

Vraag 8

Hoeveel bezwaarschriften worden er na een afwijzing ingediend? Wat zijn de meest voorkomende redenen voor een bezwaarschrift?

Zie antwoord vraag 7.

Vraag 1

Bent u bekend met het bericht ««Strategische blunder»: vertrouwelijke data van Nederlanders in handen van Amerikanen»?1

Ja.2

Vraag 2

Wat is uw reactie op dit bericht?

Ik heb kennisgenomen van het bericht. In de beantwoording van de hiernavolgende vragen, ga ik nader in op de inhoud.

Vraag 3

Bent u van mening dat vertrouwelijke data van Nederlanders bij voorkeur in Nederlandse handen moet zijn, dan wel Europese? Zo ja, waarom? Zo nee, waarom niet?

Het antwoord op de vraag of vertrouwelijke data van Nederlanders bij voorkeur Nederlandse handen moet zijn, is afhankelijk van de aard van de gegevens die worden verwerkt, en is daarom niet in algemene zin te beantwoorden.
Overheidsorganisaties zijn bij het aangaan van overeenkomsten met leveranciers gebonden aan juridische en beleidsmatige kaders die de bescherming van vertrouwelijke data waarborgen.3 De Algemene Verordening Gegevensbescherming (AVG) beschermt de rechten en vrijheden van personen bij de verwerking van hun persoonsgegevens, onder meer door te eisen dat organisaties passende beveiligingsmaatregelen nemen om die gegevens te beschermen.4
De doorgifte van persoonsgegevens naar een derde land is toegestaan als de Europese Commissie (EC) heeft vastgesteld dat dit land een passend beschermingsniveau biedt, of als de doorgifte is voorzien van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Als geen adequaatheidsbesluit of passende waarborgen beschikbaar zijn, mogen persoonsgegevens alleen worden doorgegeven wanneer één van de in de in artikel 49 AVG genoemde uitzonderingen van toepassing is (zoals expliciete toestemming, contractuele noodzaak, vitaal belang of openbaar belang). Anders is doorgifte enkel toegestaan indien de doorgifte niet repetitief, een beperkt aantal betrokkenen betreft, en noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene. Dan dient de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte te hebben beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens te hebben geboden. Ook moet de doorgifte worden gemeld aan de toezichthouder. Binnen deze kaders zijn verwerkingsverantwoordelijke departementen of overheidsorganisaties zelf verantwoordelijk voor de naleving.5
De gegevensbeschermingseffectenbeoordeling (DPIA) speelt daarbij een belangrijke rol. De DPIA brengt de gegevensbeschermingsrisico’s van een voorgenomen (grensoverschrijdende) verwerking in kaart, en laat zien welke maatregelen nodig zijn om deze risico’s te beperken. Overheidsorganisaties zijn verplicht een DPIA uit te voeren bij (grensoverschrijdende) verwerkingen met waarschijnlijk een hoog risico voor rechten en vrijheden van burgers. De Functionaris Gegevensbescherming (FG) van de verwerkingsverantwoordelijke toetst de DPIA in zijn onafhankelijke rol, en adviseert. Bij het wijzigen van de met de verwerking gepaarde risico’s dient opnieuw te worden beoordeeld of de verwerking overeenkomstig de DPIA wordt uitgevoerd.6

Vraag 4

Erkent u dat de overname van Zivver door het Amerikaanse bedrijf Kiteworks risico’s meedraagt voor de veiligheid en vertrouwelijkheid van de data die wordt uitgewisseld via deze dienst?

Ja, het feit dat Zivver nu onder Amerikaans eigenaarschap valt, betekent dat ook Amerikaanse wetgeving, zoals de Cloud Act, van toepassing kan zijn op de dienstverlening. Verwerkingsverantwoordelijke departementen moeten dit gewijzigde stelsel betrekken in hun risicoafweging bij het gebruik van Zivver.

Vraag 5

Kunt u uitsluiten dat gegevens die uitgewisseld worden via deze dienst in de Verenigde Staten of Israël terechtkomen? Zo ja, hoe kunt u dat aantonen?

Het kabinet heeft op dit moment geen aanwijzingen dat gegevens in strijd met het gegevensbeschermingsrecht in handen van de overheid in de VS of Israël terechtkomen, maar kan het ook niet met volledige zekerheid uitsluiten.

Vraag 6

Op welke manier maken overheidsorganisaties en departementen gebruik van Zivver? In hoeverre is de continuïteit van de overheidsdienstverlening afhankelijk van dit bedrijf?

Verschillende overheidsorganisaties maken gebruik van Zivver voor het delen van informatie. Ofwel voor het delen van documenten, ofwel voor beveiligd mailen. Datzelfde geldt voor ketenpartners waarmee door overheidsorganisaties in de uitvoering wordt samengewerkt. De continuïteit van de dienstverlening is niet afhankelijk van Zivver.

Vraag 7

Heeft de Amerikaanse overname van Zivver gevolgen voor het gebruik van deze dienst door Nederlandse overheden? Vindt u het verantwoord om de huidige inzet van Zivver ongewijzigd te laten?

Overheidsorganisaties geven binnen hun eigen verantwoordelijkheid invulling aan het gebruik van clouddiensten en de daarbij behorende afwegingen.7 Deze dienen te berusten op een gedegen risicoanalyse, waaronder in voorkomende gevallen een DPIA en passende mitigerende maatregelen waar nodig. Departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. Als onderdeel van het cloudbeleid dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daartoe aanleiding is.8

Vraag 8

Draagt het blijven gebruiken van Zivver, ook nu het is overgenomen door een Amerikaans bedrijf, bij aan de cyberveiligheid en autonomie van Nederland? Zo ja, kunt u onderbouwen waarom dit geen risico vormt? Zo nee, waarom gebruikt u deze dienst dan alsnog?

Een dergelijke verandering maakt het wenselijk om risico’s opnieuw te beoordelen in de context van het concrete gebruik, de aard van gegevens die worden uitgewisseld, de getroffen beveiligingsmaatregelen, en de specifieke geldende contractuele (juridische) en technische waarborgen.

Vraag 9

Kunt u onafhankelijk aantonen dat Zivver na de overname van een Amerikaans bedrijf een gelijke mate van rechtsbescherming en vertrouwelijkheid waarborgt als voorheen? Zo nee, bent u bereid dit alsnog te onderzoeken en op basis van de uitkomsten het gebruik van deze dienst (her)evalueren?

Zoals uiteengezet in het antwoord op vraag 3 en 4 dienen verwerkingsverantwoordelijke overheidsorganisaties bij (mogelijke) verandering van de risico’s, zoals in casu de overname van Zivver, te beoordelen of de verwerking nog steeds overeenkomstig de DPIA wordt uitgevoerd. Indien nodig dienen aanvullende maatregelen te worden genomen om de vereiste mate van rechtsbescherming en vertrouwelijkheid te waarborgen.

Vraag 10

Vindt u het wenselijk dat een dienst die wordt gebruikt om vertrouwelijke informatie over burgers uit te wisselen valt onder de Amerikaanse CLOUD Act en de Foreign Intelligence Surveillance Act (FISA), die de regering-Trump toegang geeft tot deze data?

Het kabinet vindt het, in dergelijke gevallen, niet wenselijk dat vertrouwelijke informatie bij statelijke actoren terecht komt. Het Nationaal Cyber Security Centrum (NCSC) heeft in augustus 2022 een juridische analyse laten uitvoeren door het advocatenkantoor Greenberg Traurig naar de mogelijke impact van de Amerikaanse CLOUD Act. In dit onderzoek kwam destijds naar voren dat het risico op openbaarmaking van Europese (persoons)gegevens onder de Cloud Act klein lijkt.9
Tegelijkertijd, en zoals uiteengezet in het antwoord op vraag 3 en 4, dienen verwerkingsverantwoordelijke overheidsorganisaties bij (mogelijke) veranderingen risico’s in kaart te brengen door het uitvoeren van een DPIA. Ook de mogelijke implicaties van bijvoorbeeld delen van de Cloud Act voor grondrechten dienen in deze risicoafweging te worden betrokken.

Vraag 11

Welke maatregelen gaat u op korte termijn nemen om de veiligheid en vertrouwelijkheid van burgerdata beter te waarborgen? Zijn er (Europese) alternatieven voorhanden die u kunt gebruiken in plaats van Zivver?

Vanuit het Ministerie van BZK zijn, in samenwerking met andere onderdelen van de Rijksoverheid, al verschillende initiatieven gestart. Vanaf 1 januari 2026 gelden er nieuwe beveiligingseisen voor bedrijven die voor de overheid een opdracht uitvoeren met risico’s voor de nationale veiligheid. Dat zijn de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Door de ABRO gelden binnen de hele Rijksoverheid dezelfde eisen. De ABRO verkleint de risico’s voor de nationale veiligheid, zoals cyberaanvallen en spionage. Daarnaast is er recent een handreiking opgesteld voor het risicomanagement binnen departement overstijgende ketens.10 De BIO2 biedt een uniforme aanpak en een gemeenschappelijk normenkader voor informatiebeveiliging binnen de overheid, waarbij risicomanagement centraal staat.
Met het oog op het selecteren van alternatieven moeten de risico’s worden beoordeeld en de noodzakelijke maatregelen voor informatiebeveiliging worden vastgelegd. De in verband met informatiebeveiliging en gegevensbescherming noodzakelijke maatregelen zullen daarbij moeten worden vastgelegd en meegenomen in de aanbesteding en eventuele overeenkomst.

Vraag 12

Beschikt de Rijksoverheid over een eigen infrastructuur om vertrouwelijk te communiceren? Is het mogelijk om op korte termijn de diensten van Zivver in te wisselen voor een eigen alternatief?

Binnen de Rijksoverheid maken verschillende departementen reeds gebruik van andere oplossingen voor het veilig uitwisselen van bestanden en berichten. Een voorbeeld hiervan is Securetransfer, dat SSC-ICT aanbiedt vanuit het rijksdatacentrum ODC-Noord.11
Er loopt momenteel vanuit de Nederlandse Digitaliseringsstrategie wel een verkenning naar het opzetten van een overheidsbrede soevereine cloud, waarin het voorstelbaar is dat er vertrouwelijke gegevensuitwisseling plaats kan gaan vinden. Het realiseren van een soevereine overheidscloud vraagt wel om de nodige investeringen.

Vraag 13

Bent u van mening dat overnames van bedrijven als Zivver voortaan getoetst moeten worden op gevolgen voor de (cyber)veiligheid? Bieden de Telecommunicatiewet en de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) hier al de mogelijkheid voor?

De Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) en de Telecommunicatiewet bevatten ieder een toetsingskader om risico’s voor de nationale veiligheid bij verwervingsactiviteiten te kunnen adresseren. De Wet Vifo is gericht op verwervingsactiviteiten die betrekking hebben op vitale aanbieders, ondernemingen die actief zijn op het gebied van bepaalde sensitieve technologie, en beheerders van een bedrijfscampus. De Telecommunicatiewet kent eveneens een specifiek toetsingsregime voor zeggenschapswijzigingen bij aanbieders van telecompartijen, waaronder aanbieders van gekwalificeerde vertrouwensdiensten. Als een onderneming niet valt onder het specifiek omschreven wettelijk toepassingsbereik (en dus bijvoorbeeld geen specifieke sensitieve technologie heeft, geen betrekking heeft op een vitaal proces, of de criteria uit de Telecommunicatiewet niet haalt), dan is een verwervingsactiviteit ten aanzien van die onderneming niet meldingplichtig en kan de Minister van Economische Zaken niet ingrijpen. Voor dit uitgangspunt is onder andere gekozen met het oog op de proportionaliteit: de ex ante meldingplicht en de toetsingsbevoegdheid van de Minister moet niet verder gaan dan strikt nodig is. Ook komt het vooraf vastleggen wanneer een transactie meldingsplichtig is de rechtszekerheid ten goede (door het voorkomen van willekeurig of politiek-gedreven ingrijpen in de markt). Ook heeft het kabinet beoogd alleen de meest risicovolle categorieën ondernemingen af te dekken. Met de bestaande wetgeving bestaat dus de mogelijkheid om overnames die de nationale veiligheid kunnen raken te toetsen, indien deze vallen binnen het toepassingsbereik van die wetten. Indien blijkt dat aanvullende sectoren of technologieën een zodanig veiligheidsbelang vertegenwoordigen dat zij onder de Wet Vifo of de Telecommunicatiewet zouden moeten vallen, kan het toepassingsbereik van de wet worden uitgebreid. Het kabinet volgt relevante ontwikkelingen op dit gebied op de voet. Zo werkt het kabinet momenteel aan een uitbreiding van het toepassingsbereik van de Wet Vifo voor enkele aanvullende sensitieve technologieën.

Vraag 14

Kunt u verklaren waarom bedrijven die de vertrouwelijke communicatie voor overheden verzorgen niet zijn aangemerkt als vitale infrastructuur, ook als de organisaties die ze gebruiken wel aangemerkt zijn als belangrijk/vitaal/essentieel?

Zivver is niet als digitale essentiële dienst aangemerkt. De Wet weerbaarheid kritieke entiteiten (Wwke) schrijft ministeries voor om periodiek vitaal beoordelingen uit te voeren, zo ook voor de digitale infrastructuur.

Vraag 15

Biedt de Cyberbeveiligingswet of de Wet weerbaarheid kritieke entiteiten mogelijkheden om niet-Europese overnames van bedrijven als Zivver te voorkomen? Zo nee, vindt u dit wel wenselijk?

De NIS2-richtlijn heeft tot doel om de cyberbeveiliging in de EU verder te versterken en de CER-richtlijn tot doel om de weerbaarheid van essentiële diensten binnen de EU te vergroten. Daartoe bevatten de richtlijnen onder meer verplichtingen voor hieronder vallende entiteiten om passende en evenredige technische, operationele en organisatorische (beveiligings)maatregelen te nemen en om significante incidenten te melden. De NIS2-richtlijn en de CER-richtlijn bevatten geen regels die zien op overnames van bedrijven door niet-Europese partijen. In Nederland wordt de NIS2-richtlijn geïmplementeerd met de Cyberbeveiligingswet en wordt de CER-richtlijn geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Aangezien de NIS2-richtlijn en CER-richtlijn geen regels bevatten over overnames van bedrijven door niet-Europese bedrijven, wordt dit evenmin geregeld in de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
In Nederland worden bepaalde verwervingsactiviteiten getoetst door het kabinet krachtens investeringstoetsingswetgeving zoals de Wet Vifo en de Wet ongewenste zeggenschap telecommunicatie. Deze investeringstoetsen zijn landenneutraal. De toetsende autoriteit (het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken) neemt de identiteit van de verwerver mee in de toetsing.

Vraag 16

Hoe beoordeelt u de betrokkenheid van Israëlische oud-spionnen aan de top van het bedrijf Kiteworks? Is dit voor u een reden om het gebruik van Zivver wel of niet te heroverwegen?

Er is geen aanleiding om op dit moment aan te nemen dat de betrokkenheid van voormalige Israëlische inlichtingenfunctionarissen bij Kiteworks risico’s oplevert voor het gebruik van Zivver binnen de Rijksoverheid. In het rijksbrede cloudbeleid is opgenomen dat indien er een risico afkomstig van statelijke actoren is, de gebruiker van de clouddienst beveiligingsadvies in dient te winnen de AIVD en/of MIVD.12 Indien gebruikers van de clouddienst een verhoogd risico signaleren in verband met statelijke actoren, is dit de aangewezen route om te komen tot een onderbouwd oordeel over eventuele heroverweging van het gebruik van Zivver als digitale dienst.

Vraag 17

Hoe reageert u op de bevindingen van Follow The Money waaruit blijkt dat informatie verstuurd via Zivver wordt teruggekoppeld naar de servers van het bedrijf? Welke gevolgen heeft dit voor de veiligheid en vertrouwelijkheid van deze informatie?

Informatiestromen, zoals de informatiestroom die is beschreven in het artikel op Follow the Money, dienen volgens het rijksbrede cloudbeleid te worden betrokken bij de risicoafweging die verplicht is voorafgaand aan het gebruik van clouddiensten. Zoals ook in het artikel wordt beschreven, kunnen aanvullende lokale veiligheidsinstellingen aangebracht worden, bijvoorbeeld in Outlook of Gmail, om te voorkomen dat gevoelige informatie naar externe servers wordt verzonden. Zivver geeft aan dat vrijwel alle overheidsklanten, zorginstellingen en andere kritieke organisaties de Outlook-integratie om die reden gebruiken.13
Het instellen van dergelijke beveiligingsmaatregelen is daarmee een logische uitkomst van de verplichte risicoafwegingen.

Vraag 18

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?

Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?

Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?

De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?

Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?

Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?

BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

De vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Hoe bestaat het dat het anno 2025, in tijden dat we maximaal weerbaar moeten zijn, mogelijk is om bij een zorgpartij van een half miljoen Nederlanders uiterst gevoelige medische gegevens en persoonsgegevens te stelen?

Bevolkingsonderzoek Nederland (BVO NL) heeft een onafhankelijk onderzoek ingesteld naar de exacte omvang en de oorzaak van deze hack. Ook de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn een onderzoek gestart. Los daarvan markeer ik hierbij het grote belang van adequate technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, in het bijzonder als het gaat om gezondheidsgegevens. Zorgaanbieders zijn daartoe wettelijk verplicht, onder andere op grond van de Algemene verordening gegevensbescherming (AVG). Ik betreur het dan ook ten zeerste dat gezondheidsgegevens zijn bemachtigd bij een hack bij Clinical Diagnostics.

Vraag 2

Wanneer werd het datalek bekend bij de Stichting Bevolkingsonderzoek Nederland en bij het Ministerie van Volksgezondheid, Welzijn en Sport? Kunt u een tijdlijn maken met de belangrijkste gebeurtenissen en wanneer zij ontdekt zijn? Kunt u daarop zeggen wanneer de diefstal plaatsvond, wanneer mensen en de Autoriteit Persoonsgegevens geïnformeerd zijn, wanneer het ministerie/de bewindspersonen geïnformeerd zijn en alle andere relevante gebeurtenissen?

BVO NL is op woensdag 6 augustus door het laboratorium Clinical Diagnostics geïnformeerd over de hack, nadat het laboratorium de hack op 6 juli heeft ontdekt. BVO NL heeft op 6 augustus een melding gemaakt bij de AP en heeft op dezelfde dag het RIVM, de opdrachtgever van BVO NL, geïnformeerd. Het Ministerie van VWS is op donderdag 7 augustus geïnformeerd door het RIVM. BVO NL heeft op zaterdag 9 augustus een melding gedaan bij de IGJ.
Op maandag 11 augustus heeft BVO NL een nieuwsbericht uitgebracht over de hack en is uw Kamer geïnformeerd. Op maandag 11 augustus heeft ook Z-Cert, het expertisecentrum voor cybersecurity in de zorg, bij het Ministerie van VWS melding gemaakt over de hack.
In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
Nadien heeft het laboratorium desgevraagd aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Zoals ik vrijdag 29 augustus en vandaag in aparte brieven aan uw Kamer heb laten weten, blijkt uit dit onderzoek dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack. BVO NL heeft hier op 29 augustus ook een nieuwsbericht over gepubliceerd. Deze deelnemers ontvangen van BVO NL een brief.

Vraag 3

Waarom wordt het lekken van persoonlijke en medische gegevens van een half miljoen Nederlanders pas meer dan vier weken later openbaar gemaakt? Klopt het dat er al eerder een lek bij dit laboratorium was gesignaleerd maar daar niet naar werd gehandeld, er geen consequenties waren?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de AP en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Bent u het ermee eens dat dit het vertrouwen van Nederlanders in het bevolkingsonderzoek, waar al steeds minder in wordt deelgenomen, ernstig ondermijnt?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over de hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ikwil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 5

Hoe kan het dat er met één hack zoveel gegevens van zoveel mensen in één keer buit kunnen worden gemaakt? Waarom worden medische uitslagen in combinatie met burgerservicenummers en adresgegevens opgeslagen? Wordt er in deze laboratoria gewerkt met het gespreid en versleuteld opslaan van een minimaal benodigde hoeveelheid gegevens? Welke concrete inspanningen worden er geleverd om te voldoen aan het beginsel van dataminimalisatie conform artikel 5 AVG?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In algemene zin markeer ik het grote belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens aan de wettelijke vereisten wordt voldaan, waaronder in ieder geval de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest).

Vraag 6

Valt dit lab, één van de grootste van Nederland, onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ)? Zo ja, wanneer heeft de Inspectie voor het laatst dit laboratorium bezocht en wat waren toen de bevindingen?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ is inmiddels een onderzoek gestart bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria.

Vraag 7

Wat zijn de minimumvereisten voor dataveiligheid van Stichting bevolkingsonderzoek? Aan welke standaarden moeten laboratoria voldoen om grootschalig labonderzoek te mogen verrichten?

Wat betreft de eerste vraag geldt dat voor zover BVO NL persoonsgegevens verwerkt ten aanzien waarvan BVO NL geldt als verwerkingsverantwoordelijke, BVO NL zich in ieder geval moet houden aan de AVG. Op grond van de AVG dient BVO NL in dat geval organisatorische en technische maatregelen te treffen ter beveiliging van persoonsgegevens. De AP houdt hierop toezicht. Daarbij betrekt het informatiebeveiligingsnormen als de NEN7510. Die normen gelden als gezaghebbende uitwerking van de algemene beveiligingsnorm uit de AVG. Die sectorspecifieke informatiebeveiligingsnormen zijn voor zorgaanbieders overigens verplicht gesteld in het Besluit elektronische gegevensverwerking door zorgaanbieders.
Wat betreft de tweede vraag geldt dat voor laboratoria wet- en regelgeving op het gebied van kwaliteit van de zorg en dataveiligheid kan gelden. Welke wet- en regelgeving dat precies betreft, hangt af van de concrete omstandigheden (zoals de aard van de werkzaamheden). De schaalgrootte van de labonderzoeken speelt hierbij in principe geen rol.

Vraag 8

Hoe was het gesteld met de datahuishouding en -veiligheid bij dit lab? Beschikte het laboratorium over de NEN 7510 certificering voor databeveiliging? Klopt het dat alle zorgpartijen die met bijzondere persoonsgegevens werken verplicht zijn om aan de NEN7510 richtlijn te voldoen? Voldeed dit lab hieraan? Gaan medische laboratoria onder de NIS-2 wetgeving vallen?

Het antwoord op deze vragen zal voortvloeien uit de verschillenden lopende onderzoeken naar de hack en het datalek. Algemeen geldt, in het kader van goede en veilige zorg, dat zorgaanbieders die persoonsgegevens verwerken in een zorginformatiesysteem, moeten kunnen laten zien dat ze werken volgens de daarvoor geldende informatiebeveiligingsnormen, waaronder de NEN 7510. De IGJ houdt hier toezicht op en de AP, voor zover het gaat om de bescherming van persoonsgegevens.
Er bestaat binnen de NIS2-richtlijn of het wetsvoorstel Cyberbeveilingswet (Cbw), dat de Minister van Justitie en Veiligheid op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer, geen categorie die zich specifiek richt op medische laboratoria. Een medisch laboratorium zou onder de NIS2-richtlijn kunnen vallen indien het bijvoorbeeld handelingen uitvoert die vallen onder de Wkkgz of wanneer het (deels) onderzoek doet naar geneesmiddelen en voor zover zij voldoen aan de eisen in de NIS-2-wetgeving op het gebied van omvang personeelsbestand en omzet. Het hangt dus af van de dienstverlening of een medisch laboratorium onder een van de categorieën van de NIS2-richtlijn of Cbw valt.

Vraag 9

Worden er vandaag nog steeds samples gestuurd vanuit het bevolkingsonderzoek of andere medische diagnostiek naar laboratoria waar deze data niet veilig zijn en worden verwerkt door systemen die niet aan de richtlijnen voldoen?

BVO NL heeft de samenwerking met het laboratorium tot nader order opgeschort. Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 10

Bij hoeveel Eurofins laboratoria speelt dit? Bij hoeveel andere medische laboratoria?

Er zijn bij mij geen signalen bekend dat de informatiebeveiliging bij andere laboratoria niet op orde zou zijn.

Vraag 11

Welke andere zorgpartijen beschikken over de medische en persoonsgegevens van honderdduizenden Nederlanders zonder dat de dataveiligheid op orde is?

Ik heb geen inzicht in de hoeveelheid gezondheidsdata waar de verschillende zorgpartijen over beschikken. De zorg digitaliseert in toenemende mate en dit brengt grote voordelen met zich mee, maar ook risico’s. Zorgpartijen zijn verantwoordelijk voor informatieveiligheid. Zij zijn verplicht te voldoen aan de wettelijke normen voor informatiebeveiliging in de zorg.
Zorginstellingen zijn in de eerste plaats zelf verantwoordelijk om de risico’s te beperken en de impact van incidenten zo klein mogelijk te maken wanneer deze toch plaatsvinden. Dit neemt echter niet weg dat ik me ook inzet op het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, door duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-Cert gespecialiseerde ondersteuning aan zorgaanbieders.

Vraag 12

Op welke termijn kunt u dit in kaart brengen?

Zie antwoord vraag 11.

Vraag 13

Wat bent u van plan om te doen als blijkt dat deze onveilige situatie bij andere zorgpartijen speelt?

Zie antwoord vraag 11.

Vraag 14

Wat verwacht u van de effecten van dit massale datalek voor de veiligheid van Nederlanders en hoe beoordeelt u de risico’s op onder andere identiteitsfraude, chantage of zorgmijden als gevolg hiervan? Hoe worden mensen met gevoelige adresgegevens, zoals penitentiaire inrichtingen, blijf-van-mijn-lijf-huizen en psychiatrische klinieken geholpen?

Hacks waarbij zoveel data worden bemachtigd vergroten het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
BVO NL informeert de getroffen deelnemers van het bevolkingsonderzoek baarmoederhalskanker. In de brief van BVO NL wordt ook gewezen op het risico op fraude. De betrokken (ex-)gedetineerden worden via een informatiebrief van Clinical Diagnostics over de hack geïnformeerd, met daarbij een begeleidende brief van de Dienst Justitiële Inrichtingen (DJI). In deze brieven is onder meer opgenomen wat betrokkenen kunnen doen.

Vraag 15

Kunt u deze vragen los van elkaar, zo snel mogelijk en zeker binnen drie weken beantwoorden?

Daar zet ik mij voor in.

Vraag 1

Heeft u kennis genomen van de Wet Open Overheid (WOO)-verzoeken waaruit blijkt dat Nederland al in 2011 software van Palantir heeft aangeschaft?1

Ja

Vraag 2

Kunt u aangeven a) welke (semi)overheidsorganisaties (in de breedste zin van het woord, dus inclusief bijvoorbeeld de politie, Defensie-onderdelen, de NCTV, de diensten, zorgorganisaties of onderwijsorganisaties) gebruik maken van Palantir en b) om welke softwarepakketten en functionaliteiten van Palantir het precies gaat?

In de beantwoording op de onlangs gestelde Kamervragen door het lid Van Houwelingen heb ik aangegeven dat geen organisatieonderdelen van het Ministerie van Justitie en Veiligheid en/of aan Justitie en Veiligheid gelieerde samenwerkingsverbanden gebruik maken van Palantir software, met uitzondering van de politie en in het verleden de zes veiligheidsregio’s.2 Voor het gebruik bij organisaties buiten het Ministerie van Justitie en Veiligheid verwijs ik naar de beantwoording van andere ministeries op de Kamervragen van het lid Van Houwelingen.

Vraag 3

Kunt u per gebruiker, die hierover wordt beschreven, aangeven:

Voor het gebruik van de producten door de politie in de analyseomgeving «de Raffinaderij» verwijs ik naar de beantwoording op de vragen van het lid Van Houwelingen over het gebruik van Palantir software.3 Ik hecht eraan om te benadrukken dat «de Raffinaderij» geen registratiesysteem is, maar enkel een analyseomgeving waarbinnen alleen politiegegevens worden geanalyseerd.
Het gaat om gegevens die door de politie rechtmatig verkregen zijn.
Over het (kortstondige) gebruik van Palantir software door de zes zuidelijke Veiligheidsregio’s ten behoeve van informatiegestuurde veiligheid is uw Kamer op 21 juni 2021 geïnformeerd.4 Dit gebruik is reeds in 2021 beëindigd en was op geen enkele wijze gelieerd aan de analyseomgeving «de Raffinaderij». Alleen openbare en publiek toegankelijke data zijn door zes Veiligheidsregio’s gebruikt, er zijn hierbij geen persoonsgegevens geanalyseerd.
De politie analyseert alleen politiegegevens. Voor de grondslag voor het gebruik door de politie verwijs ik naar de beantwoording op vraag 10. Betrokkenen kunnen met een beroep op artikel 25 van de Wet Politiegegevens (Wpg) inzage krijgen of er persoonsgegevens over hem/haar/hen worden verwerkt. Dit gaat volgens een standaard proces dat is vermeld op de privacyverklaring die te vinden is op de website van de politie. Een inzageverzoek gaat via de regionale Privacydesk. De Privacydesk geeft echter geen inzage op systeemniveau.

Vraag 4

Indien de voor het beantwoorden van vraag 3 benodigde informatie niet bij u bekend is, kunt u (de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties) de verantwoordelijk bewindspersoon conform artikel 6 Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, verzoeken deze informatie aan de Kamer te verstrekken?

Met de beantwoording van vraag 3 is deze informatie verstrekt.

Vraag 5

Heeft voor ieder gebruik een directe aanbesteding plaatsgevonden? Zo nee, voor welke onderdelen niet en waarom niet? Kunt u garanderen dat bij ieder gebruik een juiste aanbestedingsprocedure is gevolgd? En kunt u aangeven hoeveel geld gemoeid is met de Palantir contracten?

Voor een toelichting op de overeenkomst tussen de zes zuidelijke Veiligheidsregio’s en Palantir voor een pilot binnen het samenwerkingsproject Fieldlab Zuid6 verwijs ik naar de beantwoording die in 2021 hierover aan uw Kamer is gestuurd.5
De verwerving van Palantir software door de politie heeft in 2018 heimelijk plaatsgevonden met een beroep op art. 2.23, lid 1 sub e van de AW 2012. Voor een nadere toelichting op de aanbestedingsprocedure verwijs ik naar de beantwoording op de Kamervragen van het lid Van Houwelingen. De financiële details met betrekking tot het betrokken contract zijn vertrouwelijk en kunnen niet openbaar worden gemaakt.

Vraag 6

Is het juist dat veel gebruik van Palentir in Nederland indirect plaatsvindt, via Europese samenwerkingen of internationale netwerken zoals Europol, Frontex of NAVO? Hoe beoordeelt u de risico’s daarvan? Hoe zit het met de (parlementaire) controle hierop?

Nee. Europol en Interpol maken op dit moment geen gebruik van Palantir software. De software van Palantir wordt binnen de Nederlandse politie enkel gebruikt in de analyseomgeving «de Raffinaderij». Er is dan ook geen sprake van indirect gebruik via Europese samenwerking of internationale netwerken. Informatieproducten afkomstig uit «de Raffinaderij» worden niet gedeeld met partijen buiten de Nederlandse politie. Wel kan het zijn als op basis van een signaal afkomstig uit een informatieproduct vanuit de analyseomgeving «de Raffinaderij» sprake blijkt van hetzij een concrete verdenking van zware en georganiseerde criminaliteit dan wel een hoge kans op aanslagen, dat de politie op basis van dit signaal op casuïstiek niveau contact legt met haar ketenpartners. Het informatieproduct zelf wordt niet gedeeld.
Zoals door de Minister van Defensie gemeld6 wordt binnen de Nederlandse krijgsmacht gebruik gemaakt van de Palantir software in het kader van interoperabiliteit tussen NAVO-partners tijdens militaire inzet.

Vraag 7

Kunt u een lijst geven van indirect gebruik via internationale organisaties waarbij data van Nederlandse burgers geanalyseerd wordt?

Zie de beantwoording op vraag 6.

Vraag 8

Is onderzocht of het risico bestaat dat gegevens van Nederlandse inwoners op een of andere manier lekken naar de ontwikkelaar in de Verenigde Staten, dan wel elders? Indien wel, hoe schat u dit risico in? Indien niet, bent u het met ons eens dat de regering de zorgplicht heeft dit te onderzoeken en op welke wijze gaat u daarin voorzien?

Bij het kortstondige gebruik van Palantir software door de zes Veiligheidsregio’s is geen gebruik gemaakt van persoonsgegevens.
De data binnen «de Raffinaderij» blijft strikt binnen het domein van de politie en wordt op geen enkele manier met de leverancier gedeeld. Politiedata heeft nooit in een publieke cloud van Palantir gestaan, maar altijd bij de politie zelf. De analysesoftware wordt volledig door een eigen team van de politie beheerd en gehost in eigen rekencentra in een private cloud. Indien noodzakelijk is er incidentele ondersteuning mogelijk van gescreende medewerkers van Palantir die enkel onder toezicht en ter plaatse werkzaamheden verrichten. Deze medewerkers hebben geen toegang tot de politiedata.

Vraag 9

Hoe hebben de lessen van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) invloed gehad op het gebruik van Palantir en de waarborgen daaromtrent?

Naar aanleiding van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) heeft de politie deelgenomen aan het JenV-brede verbetertraject Informatiehuishouding op orde, waarbij verbeteringen op het gebied van datavoorziening zijn en worden doorgevoerd. In dit traject zijn geen bevindingen naar voren gekomen wat betreft het gebruik van Palantir software. De waarborgen dat de data alleen toegankelijk is en blijft voor politiefunctionarissen en op eigen dataservers van de politie wordt opgeslagen was reeds in de periode voor POK het geval.

Vraag 10

Is u bekend dat het Duitse Bundesverfassingsgericht al in 2023 heeft bepaald dat het gebruik van Palantir in strijd is met de Duitse Grondwet? Zo ja, hoe is hier te lande daarop dan geacteerd?2

Het grondwettelijk hof in Duitsland heeft in 2023 de wetten van Hessen en Hamburg die de inzet van deze software mogelijk maakte ongrondwettig verklaard. Het betreft een uitspraak over de wetten die over de inzet van de software gaan en niet zozeer over dat het gebruik van de software zelf ook (altijd) ongrondwettelijk zou zijn. De wetten hadden volgens het grondwettelijk hof niet voldoende waarborgen en waren niet voldoende specifiek over in welke gevallen de software ingezet mocht worden. Uit de uitspraak volgt dat dergelijke software op zich niet verboden is, maar dat de wetten op basis waarvan dit mag dan wel voldoende specifiek moeten zijn over in welke gevallen en onder welke voorwaarden dit mag als het gaat om een inbreuk op de privacy / gegevensbeschermingsrechten van burgers.
Dat wetgeving op basis waarvan inbreuk op de privacy van burgers voldoende specifiek, voorzienbaar en proportioneel moet zijn -bijvoorbeeld met waarborgen omkleed- volgt ook uit rechtspraak van bijvoorbeeld het EHRM en het HvJEU. Deze uitgangspunten gelden daarom ook voor Nederland.
De Nederlandse politie heeft op grond van de Wet Politiegegevens (Wpg) deze verwerkingen gedaan. «De Raffinaderij» verwerkt politiegegevens op grond van Wpg artikel 11 lid 1 en 2 door politiegegevens geautomatiseerd te vergelijken ter ondersteuning van de opsporing. De politiegegevens die in aanmerking komen om onder deze grondslag verwerkt te worden zijn uitsluitend politiegegevens als bedoeld in artikel 8, 9 en 10 Wpg. Deze politiegegevens zijn eerder in een andere context rechtmatig verkregen. Gebruikers van «de Raffinaderij» mogen daarbij ten behoeve van dat onderzoek op basis van het Besluit Politiegegevens (Bpg) artikel 2:11 in «de Raffinaderij» door Wpg artikel 8, 9 en 10-registraties in de verwerkingstermijn zoeken. Dit is beperkt tot het autorisatieniveau waarvoor gebruikers zijn geautoriseerd. Daarnaast voorziet artikel 2:11 Bpg ook in het achterwege laten van bepaalde politiegegevens voor gegevensvergelijking indien deze zijn gecodeerd als een vertrouwelijke verwerking. Deze politiegegevens worden dan ook niet verwerkt binnen de Raffinaderij.

Vraag 11

Bent u, in het licht van de controverse die bestaat omtrent dit bedrijf en haar software, bereid de Autoriteit Persoonsgegevens te vragen onderzoek te doen naar het gebruik van Palantir en wilt u de AP daartoe inzage geven in al het gebruik?

De Autoriteit Persoonsgegevens gaat zelf over welke zaken zij in onderzoek nemen. Het staat de Autoriteit Persoonsgegevens vrij om – indien zij dat aangewezen acht – een onderzoek te doen naar het gebruik van Palantir software bij de politie. De Autoriteit Persoonsgegevens heeft de bevoegdheid om daartoe gegevens op te vragen.

Vraag 12

Kunt u deze vragen een voor een en binnen 3 weken beantwoorden?

De vragen zijn zo snel mogelijk beantwoord.