Vraag 1

Bent u bekend met het bericht dat Russische hackers trainen voor aanvallen op kritieke infrastructuur?1

Ja.

Vraag 2

Bent u op de hoogte van softwareprogramma’s en projecten, zoals Scan-V en Crystal-2V, die als doel hebben om cyberaanvallen (op kritieke infrastructuur) te stimuleren? Herkent het u dit verontrustende beeld van Russische cyberoperaties, gericht op onze vitale infrastructuur, zoals spoorwegen, vliegvelden, en elektriciteitsnetwerken? Zo ja, hoe beoordeelt u dit beeld?

Nederland wordt doorlopend geconfronteerd met digitale aanvallen. Dergelijke aanvallen neemt het kabinet uiterst serieus. Staten dienen zich te houden aan het normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte. Rusland heeft een offensief cyberprogramma tegen Nederland. In het Dreigingsbeeld Statelijke Actoren 2 van november 2022 rapporteren AIVD, MIVD en NCTV over Russische dreiging tegen vitale infrastructuur2. Russische cyberactoren ondernemen activiteiten die duiden op spionage en op voorbereidingshandelingen voor verstoring en sabotage.
Nederlandse organisaties in vitale sectoren kunnen ook indirect door ketenafhankelijkheden geraakt worden als gevolg van aanvallen in relatie tot de Russische dreiging.
De AIVD ziet daarnaast dat cyberactoren gebruik maken van commerciële software die ook wordt gebruikt door beveiligingsonderzoekers en cybercriminelen, en niet specifiek te herleiden is, om te voorkomen dat hun aanvallen worden ontdekt.
Daarmee past de berichtgeving over het vermeende gebruik van software van een commercieel bedrijf voor het offensieve cyberprogramma van Rusland in het dreigingsbeeld. Het Nationaal Cyber Security Centrum blijft waakzaam voor veranderingen in het dreigingsbeeld.

Vraag 3

Hoe staat het met de versterkte aanpak vitaal? Acht u de toegezegde stappen en acties afdoende in het kader van de Russische voornemens om cyberaanvallen op onze kritieke infrastructuur uit te voeren? Zo ja, kunt u dit toelichten? Zo nee, welke aanvullende acties acht u noodzakelijk?

Momenteel werkt het kabinet aan een versterkte aanpak voor de bescherming van de vitale infrastructuur (Aanpak vitaal). Hier wordt uw Kamer voor de zomer nader over geïnformeerd. Binnen de aanpak wordt ingezet op meer rechten en plichten voor alle vitale aanbieders en een verankering hiervan in de wet- en regelgeving. De herziene Network and Information Security (NIS2) richtlijn is hier een belangrijk onderdeel van.
De NIS2-richtlijn versterkt de bescherming van bedrijven en andere organisaties binnen de EU door hen te verplichten een hoog niveau van cyberbeveiliging te hebben. De richtlijn is van toepassing op organisaties in sectoren die van maatschappelijk belang zijn, zoals drinkwater en energie. Uit de richtlijn volgt een zorgplicht die deze organisaties verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Ook schrijft de richtlijn voor dat die entiteiten incidenten binnen 24 uur melden bij de toezichthouder. In het geval van een dergelijk incident moet het ook gemeld worden bij het relevante Computer Security Incident Response Team (CSIRT), zoals het Nationaal Cyber Security Centrum, dat vervolgens hulp en bijstand kan leveren. Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. De komende tijd wordt door het kabinet gewerkt aan de implementatie van de NIS2-richtlijn in Nederlandse wet- en regelgeving.
Het belang van het versterken van de digitale weerbaarheid en het beter beschermen van de vitale infrastructuur komt ook terug in de actielijnen van de vorige maand gepubliceerde Veiligheidsstrategie voor het Koninkrijk der Nederlanden3.

Vraag 4

Welke maatregelen neemt u om onze vitale infrastructuur beter te beschermen tegen digitale aanvallen via de toeleveringsketen ook wel «supply chain» cyberaanvallen genoemd?

Het kabinet deelt de zorgen over cyberaanvallen op leveranciersketens, zoals onder andere is uiteengezet in het Cybersecuritybeeld Nederland 2022 (CSBN 2022)4.
Mede daarom zet het kabinet dan ook stevig in op het verhogen van de digitale weerbaarheid van Nederland. In oktober 2022 is de Nederlandse Cybersecuritystrategie gepubliceerd. Een van de doelstellingen hiervan is te zorgen dat organisaties in de vitale infrastructuur goed beschermd zijn tegen digitale risico’s, en hierin hun belang voor de sector en andere organisaties binnen de keten meenemen. In de hiervoor genoemde Aanpak vitaal is hier nadrukkelijk aandacht voor. Dit komt tot uiting in verschillende concrete acties, zoals de implementatie van de NIS2 en uitgebreide voorlichtingscampagnes.
Organisaties in de vitale infrastructuur hebben hierbij ook nadrukkelijk een eigen verantwoordelijkheid om hun digitale weerbaarheid op orde te hebben. Dit komt onder andere tot uitdrukking in de zorgplicht van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) ter implementatie van de Network and Information Security (NIS1)5-richtlijn, op basis waarvan aanbieders van essentiële diensten technische en organisatorische maatregelen moeten nemen om hun netwerk- en informatiesystemen te beveiligen (artikel 7). De NIS2-richtlijn kent ook een dergelijke zorgplicht, waarbij expliciet uit die richtlijn volgt dat de zorgplicht in enkel geval maatregelen omvat ter beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners (artikel 21, eerste lid, onderdeel d, van de NIS2-richtlijn).
De rijksoverheid is daarbij verantwoordelijk voor het creëren van een systeem waarbinnen organisaties de juiste maatregelen kunnen nemen om hun digitale weerbaarheid te vergroten en daarmee hun continuïteit en betrouwbaarheid te borgen.
Om de risico’s van organisaties te beperken is er de afgelopen periode door het Nationaal Cyber Security Centrum en de Nationaal Coördinator Terrorismebestrijding en Veiligheid steeds nadruk gelegd op het belang van cyberweerbaarheid en waakzaamheid. Ook worden actuele dreigingsbeelden regelmatig gedeeld met organisaties in vitale sectoren.
Om voorbereid te zijn op een crisis in het digitale domein is het Landelijk Crisisplan Digitaal opgesteld (LCP-Digitaal). Het LCP-Digitaal is het overkoepelende kader dat overheden en bedrijven gebruiken voor de inrichting van de eigen cybercrisisplannen. In het LCP-Digitaal wordt ook aandacht besteed aan ketenafhankelijkheid in relatie tot digitale crises. Het LCP-Digitaal is op 23 december 2022 met uw Kamer gedeeld.6 Ook wordt er geoefend met ketenafhankelijkheden, bijvoorbeeld in de nationale cybercrisisoefening ISIDOOR.
Concreet adviseert het Nationaal Cyber Security Centrum om de basismaatregelen in acht te nemen die te vinden zijn op www.ncsc.nl. Voorbeelden hiervan zijn het installeren van updates, het regelmatig maken van back-ups, en het versleutelen van gevoelige bedrijfsinformatie. Ook informeert het Nationaal Cyber Security Centrum organisaties binnen de vitale infrastructuur over digitale dreigingen via de toeleveringsketen.

Vraag 5

Kunt u een update geven over de voortgang en de uitkomsten van het overheidsbreed cyberprogramma? In hoeverre is Nederland voorbereid op eventuele cyberaanvallen?

Zie antwoord bij vraag 7.

Vraag 6

Hoe frequent wordt er binnen de vitale sectoren geoefend met het anticiperen op digitale aanvallen op onze vitale infrastructuur? Wordt hierbij ook geoefend op scenario’s van uitval van kritieke diensten? Zo nee, waarom niet?

Op nationaal niveau wordt er circa eens in de twee jaar de grootschalige publiek-private cyberoefening ISIDOOR georganiseerd, waaraan organisaties uit de vitale infrastructuur deelnemen. Tijdens deze cyberoefening worden afspraken, structuren en processen uit het Landelijk Crisisplan Digitaal beoefend. Hierbij wordt ook op scenario’s geoefend van uitval kritieke diensten, met de nadruk op digitale veiligheid. Ook worden er (cross-)sectorale oefeningen gehouden en is onder andere het Nationaal Cyber Security Centrum tijdens verschillende oefeningen actief betrokken. Voor zowel ISIDOOR als (cross-)sectorale cyberoefeningen wordt samengewerkt met andere ministeries.

Vraag 7

Wanneer was de laatste digitale oefening op cyberaanvallen en welke lessen zijn hieruit getrokken? Wat zijn de vervolgstappen om beter voorbereid te zijn op eventuele cyberaanvallen?

Sinds 2019 organiseert het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties jaarlijks in oktober, tijdens de maand van de cybersecurity, een cyberoefening van en voor de overheid. Deze overheidsbrede cyberoefening is aanvullend op wat verschillende bestuurslagen zelf al organiseren. Een voorbeeld hiervan zijn de oefenpakketten van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG)7. Ook tijdens de coronapandemie zijn deze oefeningen georganiseerd en sindsdien zijn zij online te volgen. Vanaf 2022 is er naast een centraal te volgen crisisoefening ook de mogelijkheid om simultaan met de eigen organisatie mee te oefenen. Aan de meest recente oefening van oktober 2022 namen meer dan 70 overheidsinstanties deel aan het simultaan oefenen. Daarnaast volgden nog ruim 450 mensen de livestream van de centrale crisisoefening. Nadere informatie is te vinden op www.weerbaredigitaleoverheid.nl.
Inmiddels zijn ook drie edities van cybercrisisoefening ISIDOOR georganiseerd, dit is een door het Ministerie van Justitie en Veiligheid georganiseerde grootschalige oefening voor zowel publieke als private partijen. De laatste editie, ISIDOOR III, vond plaats in juni 2021. De lessen uit ISIDOOR III zijn gedeeld met uw Kamer8, en zijn meegenomen in het Landelijk Crisisplan Digitaal (LCP-Digitaal). Deze lessen en aanbevelingen zagen onder andere toe op het vergroten van inzicht in rollen en routes in de crisisbeheersing, in zorgvuldigheid en snelheid van informatiedeling en crisisrespons, in het optimaal benutten van capaciteit en expertise en het samen met partners blijven werken aan de voorbereiding op cybercrises. Een nieuwe versie van het plan is eind december 2022 aangeboden aan de Kamer.9
Het LCP-Digitaal vormt de basis voor de volgende editie van ISIDOOR: ISIDOOR IV. Jaarlijks zal worden bezien of het LCP-Digitaal actualisatie behoeft, onder andere aan de hand van de nieuwe geleerde lessen uit incidenten en oefeningen (waaronder ISIDOOR IV) en andere relevante ontwikkelingen.
In februari 2023 vond ook een cross-sectorale digitale oefening plaats, waarin publieke en private organisaties getest hebben hoe goed hun systemen bestand zijn tegen zowel zware als ook slimmere DDoS-aanvallen. Traditionele DDoS-aanvallen zijn aanvallen waarbij een systeem wordt overladen met verzoeken, waardoor deze onbereikbaar wordt. Bij een slimme aanval krijgen de servers andere, zwaardere taken te vervullen, waardoor de capaciteit voor normaal gebruik wordt opgeslokt. De oefening werd georganiseerd tussen leden van de Anti-DDoS-Coalitie. Dit is een publiek-privaat samenwerkingsverband waar onder andere het Nationaal Cyber Security Centrum bij betrokken is

Vraag 8

Bent u het met de stelling eens dat het belangrijk is om regelmatig te oefenen met het bestrijden van cyberaanvallen zodat Nederland voorbereid is op actuele dreigingen? Zo ja, wanneer is de eerstvolgende cross-sectorale cyberoefening? Welke oefeningen staan gepland op de langere termijn? Hoe staat het met structureel organiseren van cross-sectorale cyberoefeningen? Zo nee, waarom niet?

Effectieve crisisbeheersing vergt behalve gezamenlijke voorbereiding ook oefening. Het Ministerie van Justitie en Veiligheid heeft daarom een oefenprogramma ontwikkeld en in gebruik laten nemen. Dit is op 12 juni 2019 met uw Kamer gedeeld10.
In dat programma wordt op drie sporen ingezet: het organiseren van grootschalige oefeningen, deelname van de overheid aan bestaande cyberoefeningen en het ontwikkelen van initiatieven op oefenen in publiek-privaat verband. Deze inzet blijft belangrijk onder de in oktober 2022 gepubliceerde Nederlandse Cybersecuritystrategie, waarin het belang wordt benadrukt van snel en adequaat reageren op cyberincidenten en -crises.
De oefening ISIDOOR vindt eens per twee jaar plaats. De organisatie van ISIDOOR IV is op dit moment al begonnen en in volle gang. De oefening zal naar verwachting eind 2023 plaatsvinden. Voor de meeste (cross-)sectorale oefeningen is geen vaste frequentie. De onder vraag 7 genoemde Anti-DDoS-coalitie beoogt om twee keer per jaar een oefening te organiseren over het omgaan met DDoS-aanvallen. Jaarlijks blijft ook de overheidsbrede cyberoefening plaatsvinden voor medeoverheden, waar ook bedrijven mogen aanhaken.

Vraag 1

Bent u bekend met het artikel «Draagvlak voor hulp Oekraïense vluchtelingen in Slowakije staat onder druk»?1.

Ja.

Vraag 2

Hoe kijkt u naar het bericht dat Slowakije erg kwetsbaar blijkt voor desinformatie vanuit Rusland? Hoe kijkt u hier naar de rol van sociale media in het verspreiden van desinformatie?

De verspreiding van Russische desinformatie wereldwijd is zorgelijk en zeker ook de verspreiding hiervan in EU lidstaten, waaronder Slowakije. Sociale media spelen een grote rol bij het verspreiden van desinformatie. Berichten als dit onderstrepen het belang om in EU-verband gezamenlijk op te trekken in het verhogen van de weerbaarheid tegen desinformatie.

Vraag 3

Welke risico’s ziet u voor aankomende verkiezingen in het najaar in Slowakije en de toenemende verspreiding van desinformatie uit Rusland?

Het is aan de kiesgerechtigde Slowaken om een keus te maken bij de verkiezingen in dit najaar. Wel weten we dat desinformatie invloed kan hebben op de politieke keuzes die mensen maken. Ook in die zin is groeiende verspreiding van desinformatie in Slowakije zorgelijk.

Vraag 4

Welke risico’s ziet u voor het functioneren van de EU als de pro-Russische partij van Robert Fico de verkiezingen wint in Slowakije aankomend najaar?

Mocht de partij van Robert Fico de aanstaande verkiezingen in Slowakije winnen, dan kunnen we verwachten dat dit de besluitvorming binnen de EU ten aanzien van steun aan Oekraïne en inzet jegens Rusland niet vergemakkelijkt. Nederland zal er ook in dat geval alles aan blijven doen EU-eenheid te blijven bewerkstelligen.

Vraag 5

Wat wordt er in EU-verband gedaan om gezamenlijk op te trekken tegen Russische desinformatie in EU-lidstaten? Welke maatregelen worden genomen om de verspreiding van desinformatie tegen te gaan? Bent u het ermee eens dat hier een belangrijke rol is weggelegd voor social media platformen aangezien hun digitale infrastructuur wordt gebruikt door kwaadwillenden om desinformatie te verspreiden? Zo ja, in hoeverre betrekt u social media bedrijven bij de aanpak van desinformatie? Zo nee, waarom niet?

De Europese Unie pakt desinformatie, of «Foreign Information Manipulation and Interference» (FIMI)2, afkomstig vanuit statelijke, of daaraan gelieerde, actoren aan, daar waar dit een risico vormt voor de nationale veiligheid. Voor het tegengaan van FIMI heeft de EU een instrumentarium ontwikkeld dat aangekondigd is in het Europees Democratie Actieplan.3 Hierbij horen nieuwe instrumenten die het mogelijk maken kosten te verhalen op actoren achter beïnvloedingsoperaties, de strategische communicatieactiviteiten van de Europese Dienst voor Extern Optreden (EDEO) te versterken en FIMI inzichtelijk te maken. Verder wordt middels de wet inzake digitale diensten (DSA) een wettelijke basis gecreëerd voor een co-regulerende aanpak van de vernieuwde gedragscode tegen desinformatie. Hiermee spreekt de EU sociale media bedrijven aan op hun verantwoordelijkheid voor het tegengaan van FIMI. Bij het ontwikkelen van eventuele nieuwe instrumenten staat voor het kabinet het waarborgen van fundamentele rechten altijd voorop. Zie voor de aanpak in Nederland de «Rijksbrede strategie effectieve aanpak van desinformatie»4, die uw Kamer op 23 december 2022 toeging.

Vraag 6

Wat is de laatste stand van zaken van de herziening van de code of practice on online disinformation waar social media bedrijven zich aan hebben gecommitteerd in Europa? Heeft deze herziening reeds plaatsgevonden, zo ja wanneer en wat betekent dit concreet voor de aanpak van desinformatie van social media platformen? Zo nee, wanneer vindt deze herziening plaats?

Op 16 juni 2022 is de hernieuwde Praktijkcode tegen desinformatie gepubliceerd. Deze is ondertekend door 34 organisaties. Naast grote online platformen zoals Meta, Twitter en Google, hebben ook kleinere platformen, online advertentiebedrijven en fact-checkers zich aangesloten. Uw Kamer is op 29 november 2022 per brief geïnformeerd over de inhoud van deze praktijkcode en de concrete gevolgen ervan.5

Vraag 7

Welke stappen moeten en kunnen volgens Nederland worden gezet in EU-verband om Russische desinformatie tegen te gaan? Welke rol kan Nederland hierin spelen?

In EU verband wordt gewerkt aan meer coördinatie tussen EU-lidstaten en inzet van EU-instrumenten om gezamenlijk op te trekken tegen de verspreiding van Russische desinformatie. Nederland ondersteunt de FIMI Toolbox, en zet zich in voor de verdere ontwikkeling hiervan, met als doel verschillende EU instrumenten samen te brengen en antwoord te bieden tegen ongewenste buitenlandse inmenging in het informatie domein.

Vraag 8

Meer dan 40% van de Slowaken zou stellen dat Slowakije geen financiële steun aan Oekraïne zou moeten verlenen, zijn vergelijkbare cijfers te zien in andere EU-lidstaten? Zo ja, in welke?

Nederland houdt geen totaaloverzicht bij van steun onder de bevolking in EU lidstaten voor financiële steun aan Oekraïne.

Vraag 9

Hoe monitort u toenemende euroscepsis sinds de start van de oorlog in Oekraïne in Slowakije of in andere Centraal- of Oost-Europese landen?

De ambassades van Nederland in Slowakije en andere Centraal-Europese lidstaten houden de ontwikkelingen in hun respectievelijke landen in de gaten, waaronder hoe er onder de bevolking wordt gedacht over de oorlog in Oekraïne, steun voor de EU en democratische waarden in het algemeen. Hierbij kunnen vele factoren een rol spelen en is het niet eenvoudig de link te leggen tussen de oorlog in Oekraïne en al dan niet toenemende euroscepsis.

Vraag 10

Heeft u de informatie dat er sprake is van toenemende Russische beïnvloeding en verspreiding van desinformatie bij aankomende verkiezingen van andere EU-lidstaten? Zijn er lidstaten die een verhoogd risico lopen op actieve buitenlandse beïnvloeding vanuit Rusland? Zo ja, welke?

Russische beïnvloeding en verspreiding van desinformatie rondom verkiezingen zijn fenomenen die al jaren bekend zijn en waar Nederland, ook in EU-verband, tegen optreedt. Er kan niet zo eenvoudig en eenduidig een lijst gemaakt worden met EU-lidstaten die een verhoogd risico lopen op buitenlandse beïnvloeding vanuit Rusland.

Vraag 1

Bent u bekend met het bericht «NS waarschuwt honderdduizenden klanten over mogelijk lekken van persoonsgegevens»?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Wat is uw reactie op het feit dat de privégegevens van honderdduizenden klanten op deze manier op straat zijn komen te liggen?

Ik betreur dat persoonsgegevens van NS-klanten mogelijk onderdeel zijn van een hack bij een betrokken partij bij reizigerstevredenheidsonderzoeken. De privacy van reizigers die hun medewerking verlenen aan deze onderzoeken, moet beschermd zijn.

Vraag 3

Is inmiddels bekend op welke wijze de gegevens op straat zijn beland? Komt dit door een hack bij de softwareleverancier of door onzorgvuldige beveiliging van de persoonsgegevens?

Marktonderzoeker Blauw is door NS ingeschakeld voor het uitvoeren van verschillende reizigerstevredenheidsonderzoeken. Subverwerker Nebu uit Wormerveer levert het softwareplatform waarop Blauw haar onderzoeken uitvoert. Nebu is, volgens Blauw, gehackt en tijdens die hack is alle data van klanten en onderzoeken gedownload (geëxfiltreerd). Het is echter nog niet zeker welke data precies zijn gelekt en of ook NS-data onderdeel waren van het datalek.

Vraag 4

Het datalek is volgens de berichtgeving niet ontstaan bij NS zelf, maar bij een softwareleverancier van het ingehuurde marktonderzoeksbureau dat klanttevredenheidsonderzoek doet in opdracht van NS. Kunt u aangeven welke afspraken NS maakt met externe partijen, teneinde de veiligheid van klantdata te maximeren?

Om de veiligheid van klantdata te beschermen, sluit NS met externe partijen een verwerkersovereenkomst. Daarin worden ook afspraken gemaakt over het inschakelen van een subverwerker.
Dit heeft NS ook met marktonderzoeksbureau Blauw gedaan. Deze verwerkersovereenkomst is afgesloten conform artikel 28 lid 3 AVG. In deze verwerkersovereenkomst zijn afspraken gemaakt over de verwerking van persoonsgegevens door Blauw en de beveiliging van persoonsgegevens. Ook zijn in deze verwerkersovereenkomst afspraken gemaakt over de inschakeling van een subverwerker door Blauw.

Vraag 5

Wat is de wettelijke grondslag op basis waarvan persoonsgegevens zijn verwerkt door NS, het marktonderzoeksbureau en diens softwareleverancier?

In het Privacystatement op de website van NS2 is beschreven welke grondslag van toepassing is (zie onder «Marktonderzoek en wetenschappelijk onderzoek»). NS hanteert voor het NS panel onderzoek en het reizigersonderzoek de grondslag «toestemming» en voor het contactbelevingsonderzoek en overige klantonderzoeken de grondslag «gerechtvaardigd belang».

Vraag 6

Is er op enig moment een DPIA (data protection impact assessment) uitgevoerd voordat de gegevensverwerking tot stand werd gebracht? Zo nee, waarom niet?

NS heeft mij laten weten dat er een DPIA is uitgevoerd door NS. Deze verwerking is opgenomen in het register van verwerkingen van NS.

Vraag 7

Wist de NS op elk moment wie er van de softwareleverancier inzage had in de persoonsgegevens die werden verwerkt? Zo nee, wat vindt u daarvan?

NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen. Hieraan zijn evenwel specifieke condities verbonden. Bij NS is niet bekend welke medewerkers van Nebu inzage hebben (gehad) in persoonsgegevens.

Vraag 8

Vindt u dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen? Zo ja, waarom? Zo neen, waarom niet?

De Algemene Verordening Gegevensbescherming (AVG) verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven. De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze zorgvuldigheidsnormen is voldaan. Wanneer voor de verwerking een externe partij wordt ingeschakeld, dan moeten diens taken in een overeenkomst worden vastgelegd. De genoemde zorgvuldigheidsnormen zijn ook dan onverkort van toepassing. Het ontbreekt dan ook niet aan regels omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen.

Vraag 9

Wat gaat u doen om te voorkomen dat kritieke data van klanten in de toekomst zonder strenge regels door externe partijen wordt gebruikt?

Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt. De Autoriteit Persoonsgegevens (AP) heeft daarnaast een voorlichtende taak. Het Ministerie van Justitie en Veiligheid zorgt dat de AP beschikt over voldoende financiering voor de uitvoering van alle taken die samenhangen met de AVG, zo ook deze. In het Coalitieakkoord is daarom extra budget voor de AP opgenomen.

Vraag 1

Bent u bekend met het bericht ««Verdachte» Chinese kranen staan ook in Nederlandse havens: zorgen om spionage»?1

Ja.

Vraag 2

Hoe beoordeelt u de in het artikel genoemde zorgen dat China op deze manier gevoelige informatie kan vergaren over militaire transporten of activiteiten in havens kan platleggen?

Het kabinet neemt de in het artikel genoemde zorgen serieus. Het is essentieel dat onze havens hun belangrijke maritiem-logistieke hub-functie voor onze economie en ten behoeve van het faciliteren van militaire transporten onafhankelijk en veilig kunnen uitoefenen. Er wordt onderzocht in hoeverre de in het artikel genoemde zorgen gelden voor de Nederlandse context, zie ook het antwoord op vragen 3, 4 en 5.
In brede zin heeft het kabinet aandacht voor de invloed van China in Nederlandse- en Europese havens. Hierover is uw Kamer eerder geïnformeerd in de Kamerbrief
«Reactie rapport «Navigating an uncertain future»» (Kamerstuk 35 207, nr. 62). Daarbij werkt het kabinet doorlopend aan het verhogen van het bewustzijn bij partijen in de sector over de belangrijkste dreigingen (onder meer vanuit China), spionagedoelwitten- en werkwijzen van statelijke actoren en het verhogen van weerbaarheid. De AIVD waarschuwt regelmatig voor de risico’s voor het gebruik van hard- en software bij de uitwisseling van gevoelige informatie – met name binnen de vitale infrastructuur – wanneer digitale apparatuur afkomstig is uit landen met een offensief cyberprogramma gericht tegen de Nederlandse belangen. De grootste digitale dreiging gaat uit van China, Rusland en in mindere mate van Iran en Noord-Korea.2 Hier wordt ook op ingegaan in de Kamerbrief «Aanpak statelijke dreigingen en aanbieding dreigingsbeeld statelijke actoren 2» (Kamerstuk 30 821, nr. 175) en het AIVD-jaarverslag 2022.

Vraag 3

Is het mogelijk om vanuit de Shanghai Zhenhua Heavy Industries Company Limited (ZPMC)-faciliteiten in China digitale toegang te krijgen tot de kranen, en tot de informatie die zij verwerken, tijdens bijvoorbeeld onderhoud of updates?

Het kabinet vindt het cruciaal dat de fysieke en digitale processen in de haven, waaronder de software op kranen, zo veilig mogelijk zijn ingericht. De havenfaciliteiten (bedrijven die zeeschepen afhandelen) zijn verantwoordelijk voor de beveiliging van computersystemen- en netwerken binnen hun eigen werkgebied.
Of het mogelijk is om vanuit de ZPMC-faciliteiten in China digitale toegang te krijgen tot de kranen, of dat deze op enigerlei wijze verbonden zijn of toegang hebben tot informatie in de Rotterdamse haven, wordt onderzocht in afstemming met het Havenbedrijf Rotterdam. Dit wordt betrokken bij een reeds bestaand interdepartementaal traject waarin aan de hand van een risicoanalyse wordt gekeken naar de te beschermen belangen, dreigingen en weerbaarheid van de Rotterdamse haven, welke risico’s hieruit naar voren komen en hoe hier eventueel vervolg aan gegeven moet worden. Dit traject en onderzoek wordt gecoördineerd vanuit het Ministerie van Infrastructuur en Waterstaat en de Nationaal Coördinator Terrorismebestrijding en Veiligheid, in samenwerking met de Ministeries van Defensie, Economische Zaken en Klimaat en Buitenlandse Zaken. Naar verwachting wordt het onderzoek in het najaar van 2023 afgerond.

Vraag 4

Zijn de ZPMC-kranen in de Rotterdamse haven op enigerlei wijze digitaal verbonden met een servicecentrum, controlecentrum of andere faciliteit van ZPMC, dan wel in Nederland, China of een derde land?

Zie antwoord vraag 3.

Vraag 5

Tot wat voor soort informatie kunnen de ZMPC-faciliteiten in China via de ZMPC-kranen in de Rotterdamse haven toegang krijgen?

Zie antwoord vraag 3.

Vraag 6

Valt het gebruik van de ZPMC-kranen in de Rotterdamse haven onder enige vorm van veiligheidsscreening of toetsing? Zo ja, welke? Zo nee, waarom niet?

Op basis van de Havenbeveiligingswet (Hbw) moeten de risico’s van radio en telecommunicatiesystemen, inclusief computersystemen en netwerken worden meegenomen in de risicobeoordelingen van havenfaciliteiten. In de beveiligingsplannen van de havenfaciliteiten worden de mitigerende maatregelen beschreven om risico’s af te dekken.
De havenmeester van de haven van Rotterdam is als Havenbeveiligingsfunctionaris (Port Security Officer) verantwoordelijk voor de uitvoering en naleving van de Hbw door havenfaciliteiten in de haven. Deze taak voert de havenmeester uit in mandaat van de burgemeester als autoriteit voor havenveiligheid. Vanuit deze verantwoordelijkheid toetst de havenmeester de risicobeoordelingen van de havenfaciliteiten en houdt hij toezicht op de uitvoering van de beveiligingsplannen van de havenfaciliteiten. De Inspectie Leefomgeving en Transport (ILT) houdt tweedelijns toezicht op de uitvoering en naleving van de Hbw door de burgemeester. De beoordeling van deze werkwijze wordt betrokken bij het lopende onderzoek waar in het antwoord op de vragen 3, 4 en 5 naar wordt verwezen.

Vraag 7

Zijn de ZPMC-kranen verbonden met het Chinese logistieke dataplatform Logink, of komt informatie over wat zij doen op enigerlei andere wijze terecht bij Logink?

Het is op dit moment nog niet duidelijk of ZPMC-kranen verbonden zijn met Logink en/of informatie over activiteiten van de kranen terecht kan komen bij Logink. Dit vereist nader onderzoek. Zie antwoord op vraag 3, 4 en 5.

Vraag 8

In hoeverre werkt de Rotterdamse haven samen met Logink, en kunt u schetsen welke data op welke wijze wordt gedeeld?

Het Havenbedrijf Rotterdam heeft geen samenwerking noch data-uitwisseling met Logink. Ook het Port Community Systeem «Portbase» werkt niet samen met Logink en er wordt geen data gedeeld.

Vraag 9

Klopt het dat Logink gratis ter beschikking wordt gesteld, en dat het zo lastig is voor eventuele Westerse alternatieven om succesvol te zijn op bijvoorbeeld de Europese markt?

Voor zover bekend wordt Logink gratis beschikbaar gesteld aan lokale, Chinese partijen in China. Het is met name een supply chain visibility platform voor Chinese klanten, gericht op Chinese handelsstromen.
Om handel en transport te ondersteunen ontwikkelen de meeste landen handelsfacilitatieplatformen die fungeren als centraal punt voor scheepsgerelateerde meldingen (Maritime Single Window) voor handel en transport. Er is een uitgebreid landschap van systemen waarbij voor elk van de platformen veiligheid en integriteit van de systemen hoge prioriteit heeft. In dit landschap is het lastig een groot marktaandeel wereldwijd te bemachtigen. Daarbij is de neutraliteit van de platformen van belang voor de betrokken marktpartijen.
In Nederland wordt het handelsfacilitatieplatform grotendeels gevormd door een samenwerking tussen belangrijke overheidssystemen (zoals de Douane) en de Port Community Systemen (PCS) van de mainports, zoals Portbase voor de havens van Rotterdam en Amsterdam en Cargonaut voor Schiphol. Met de ontwikkeling van de Basis Data Infrastructuur (BDI), een publiek-privaat initiatief, wordt ingezet om de samenwerking tussen deze platformen verder te intensiveren en gebruik verder te stimuleren.

Vraag 10

Deelt u de analyse dat via het gratis ter beschikking stellen van Logink China een dominante positie kan krijgen over datastromen rond internationale handel?

Zie antwoord vraag 9.

Vraag 11

Hoe verhoudt zich deze staatsgesteunde gratis levering van Logink tot de verordening buitenlandse subsidies, en welke mogelijkheden zijn er eventueel om tegen Logink maatregelen te nemen?

De verordening buitenlandse subsidies biedt mogelijkheden om in te grijpen indien er sprake is van overheidssteun uit derde landen aan bedrijven die de concurrentie op de interne markt verstoort. Daarmee draagt de verordening buitenlandse subsidies bij aan de economische veiligheid. De verordening is per 12 januari van dit jaar in werking getreden. De Europese Commissie kan vanaf 12 juli 2023 op basis van de «ex-officio» bevoegdheid ambtshalve onderzoeken starten. De meldplicht bij overnames en aanbestedingen geldt vanaf 12 oktober 2023.
De verordening buitenlandse subsidies bevat drie componenten, waarvan in dit geval mogelijk het ambtshalve onderzoek relevant is. Op basis van deze ambtshalve (ex-officio) bevoegdheid kan de Commissie achteraf subsidies onderzoeken in alle marktsituaties, waar er sprake is van concurrentieverstoring. Dit kan zij doen op basis van signalen uit de markt.
De Commissie is de toezichthouder voor deze verordening en het is dan ook aan haar om te besluiten om over te gaan tot een onderzoek als er sprake is van concurrentieverstoring op de interne markt. De mogelijke concurrentieverstoring op de interne markt vormt de aanleiding voor een dergelijk onderzoek van de Commissie. Mogelijke maatregelen die de Commissie kan opleggen zijn herstelmaatregelen of het aangaan van verbintenissen met ondernemingen op basis waarvan de verstoring verholpen wordt.

Vraag 12

Welke Westerse alternatieven zijn beschikbaar op bijvoorbeeld de Europese Markt, en welke mogelijkheden zijn er eventueel om Westerse alternatieven te stimuleren?

EU-lidstaten hebben over het algemeen het faciliteren van handel op eigen wijze en met eigen platformen ingericht. De meeste Lidstaten met grote handelsstromen in de EU hebben Port Community Systemen (PCS) om transport en logistiek te ondersteunen en data uitwisseling tussen alle partijen in de logistiek en met overheden mogelijk en makkelijk te maken. Op deze wijze kan de logistiek veiliger, efficiënter en duurzamer opereren. In Nederland hebben de mainports daarvoor de platformen Cargonaut (Schiphol) en Portbase (havens van Amsterdam en Rotterdam) ontwikkeld. Portbase is een non-profit organisatie.

Vraag 13

In hoeverre zijn de ZPMC-kranen ook actief in de delen van de Rotterdamse haven die worden gebruikt voor militair transport van Noord-Atlantische Verdragsorganisatie (NAVO)-partners, en zijn deze delen van de haven ook verbonden met Logink?

Havenbedrijf Rotterdam heeft navraag gedaan bij de bedrijven in de haven en bevestigt dat ZPMC-kranen niet actief zijn in delen van de Rotterdamse haven die gewoonlijk worden gebruikt voor militair transport van NAVO-partners. Deze delen zijn ook niet verbonden met Logink.

Vraag 14

In hoeverre zijn de ZMPC-kranen ook actief in de haven van Vlissingen in de delen die worden gebruikt voor militair transport van NAVO-partners?

Havenbedrijf North Sea Port heeft navraag gedaan bij de bedrijven in de haven en bevestigt dat ZPMC-kranen niet actief zijn in de haven van Vlissingen.

Vraag 15

Bent u het eens met de leden van de VVD-fractie dat gevoelige informatie over militair transport van NAVO-partners goed moet worden beschermd?

Ja, daarover ben ik het eens met de VVD-fractie.

Vraag 16

Overweegt u daarom nadere maatregelen te nemen? Zo ja, welke? Zo nee, waarom niet?

Indien het interdepartementale onderzoek uitwijst dat aanvullende maatregelen nodig zijn om informatie over militaire transporten te beschermen, dan zullen deze in overleg met de betreffende havens waar nodig worden toegepast. Daarbij zullen per oktober 2024 twee nieuwe EU-richtlijnen in Nederlandse wetgeving zijn geïmplementeerd die gericht zijn op de verbetering van de digitale en fysieke weerbaarheid van bedrijven en organisaties, respectievelijk de Network and Information Security (NIS2) Directive en de Critical Entities Resilience (CER) Directive. De NIS2 en de CER bieden de nodige wettelijke kaders voor het versterken en waarborgen van de digitale en fysieke weerbaarheid van onze havens en haven-logistieke ketens.
De Europese Commissie heeft daarnaast in maart 2023 aangekondigd de European Maritime Security Strategy (EUMSS) uit 2014 te willen actualiseren. De strategie beoogt de EU maritieme belangen te beschermen tegen dreigingen door moedwillig handelen in het maritieme domein. In de actualisatie is ook specifieke aandacht voor het belang van het mitigeren van risico’s van strategische afhankelijkheden als gevolg van buitenlandse investeringen in EU maritieme logistieke infrastructuur, met name zeehavens. Nederland heeft hier nadrukkelijk aandacht voor gevraagd. Hierover is de Kamer op 21 april 2023 middels een aanbiedingsbrief informatie over nieuwe voorstellen Europese Commissie geïnformeerd.3

Vraag 17

Kunt u deze vragen beantwoorden voorafgaand aan het Commissiedebat over China van 5 april?

De vragen vereisten zorgvuldig onderzoek in samenwerking met de sector en verdere interdepartementale afstemming. Om deze reden kon niet binnen de gebruikelijke termijn geantwoord worden. Op 3 april is met een uitstelbrief aan Uw Kamer uitstel gevraagd voor de beantwoording van de Kamervragen.

Vraag 1

Bent u bekend met de berichten: «Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen», en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland»?1, 2

Ja.

Vraag 2

Is bekend of meer Nederlandse ziekenhuizen of zorginstellingen slachtoffer zijn (geweest), of doelwit zijn van ransomware-aanvallen waarbij patiëntgegevens en gegevens van (zorg)medewerkers zoals foto’s en persoonsinformatie buit zijn gemaakt? Om hoeveel gevallen gaat het? Welke stappen zijn gezet om de schade voor patiënten zo veel mogelijk te beperken?

De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen slachtoffer geweest van ransomware-aanvallen. Uit het dreigingsbeeld cybersecurity van het Computer Emergency Response Team voor de zorg (Z-CERT) blijkt dat er in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen zijn geregistreerd door Z-CERT.3 In het jaar 2021 betrof dit ook vijf geregistreerde ransomware incidenten. In 2023 is er voorlopig sprake van twee genoteerde incidenten.4 Het is mij niet bekend bij hoeveel van deze incidenten er gegevens van patiënten of (zorg-)medewerkers zijn ontvreemd.
Zorgaanbieders die geraakt worden door ransomware kunnen (technische) experts inzetten om de gevolgen van het incident te beperken. Zorgaanbieders die zijn aangesloten bij Z-CERT kunnen hierbij rekenen op ondersteuning door Z-CERT. Het is daarnaast van belang dat zorginstellingen contact opnemen met de betrokken patiënten of medewerkers om hen te informeren over de gevolgen die het incident voor hen heeft, en in overleg met de ICT-leverancier maatregelen treffen ten behoeve van de informatieveiligheid.

Vraag 3

Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden? In hoeverre wordt de zorgsector hierbij ondersteund door Z-CERT? In hoeverre wordt Z-CERT ook actief benaderd en betrokken door de zorgsector zelf wanneer het gaat om bijstand bij cyberaanvallen? Is Z-CERT ook in het verleden betrokken geweest bij cyberaanvallen op Nederlandse ziekenhuizen en andere zorginstellingen? Zo ja, wat was hun rol?

Zorginstellingen nemen maatregelen om de gevolgen van cyberaanvallen te beperken en zo spoedig mogelijk te mitigeren. Deze maatregelen vloeien voort uit hun verantwoordelijkheden en zijn uitgewerkt in wettelijk verplicht gestelde normen voor informatiebeveiliging in de zorg. Dit betreft de NEN7510, 7512 en 7513. Kern hierbij is de NEN 7510 norm, die met name voorschrijft dat zorginstellingen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid. De aanvullende normen NEN 7512 en 7513 zien er daarnaast op toe dat er wordt voldaan aan eisen voor veilige gegevensuitwisseling en logging.
Op dit moment zijn meer dan 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Z-CERT voorziet hun deelnemers van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een zorginstellingen ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Z-CERT heeft dit in het verleden ook gedaan, bijvoorbeeld tijdens de recente DDoS-aanvallen op Nederlandse ziekenhuizen. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen zorginstellingen informatie over incidenten met elkaar delen. Z-CERT monitort daarnaast actief op signalen van incidenten bij haar deelnemers. Ook scant Z-CERT op internet naar kwetsbare systemen bij de deelnemers en informeert deze daarover om zo mogelijke incidenten te voorkomen.
Het Ministerie van VWS ondersteunt het gefaseerd aansluiten van de gehele zorgsector op basis van een risicogebaseerde aansluitstrategie, zodat steeds meer zorginstellingen deelnemer worden van Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector.

Vraag 4

Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?

Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Het Ministerie van VWS zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. In de brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik u hier nader over geïnformeerd.5 In 2019 is het Ministerie van VWS het project informatieveilig gedrag gestart. Via dit project werkt het ministerie aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. De methode is uitgewerkt in een Wegwijzer, waarin manieren zijn opgenomen om informatie veilig gedrag in de zorg te bevorderen. Hierin wordt onder andere ingegaan op welke interventies mogelijk zijn om te voorkomen dat (zorg)medewerkers slachtoffer worden van phishing.
Daarnaast heeft Z-CERT een publicatie over phishing gemaakt waarin maatregelen en een handelingsperspectief beschreven worden.6 Deze publicatie is terug te vinden op website van Z-CERT en is door Z-CERT verspreid onder haar deelnemers. Hierin staan naast bewustwordingsmaatregelen ook technische maatregelen die zorginstellingen kunnen toepassen om beter beschermd te zijn tegen phishing.

Vraag 5

Welke maatregelen neemt Z-CERT om de cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen?

Z-CERT biedt hun deelnemers een breed pakket aan diensten om hun cybersecurity bewustwording en weerbaarheid te verhogen. Zoals ik in mijn antwoord op vraag 3 heb aangegeven gaat het hierbij onder andere om het verspreiden van dreigingsinformatie, adviseren over preventieve maatregelen en het ondersteunen bij het mitigeren van de impact van een cyberaanval. Concreet gaat het bijvoorbeeld om adviezen over hoe te reageren op een ransomwareaanval, en hoe e-mailstandaarden en monitoring te implementeren.7 Z-CERT helpt hun deelnemers daarnaast bij het organiseren van cybercrisisoefeningen, en Z-CERT informeert deelnemers geregeld over cyberbewustwordingsonderwerpen. Op de website van Z-CERT is eveneens een kennisbank te vinden met daarin documentatie die informatie bevat over verschillende thema’s. Het doel van deze publicaties is om het zorgveld cyberweerbaar en cyberbewust te maken. Deze informatie is voor iedereen toegankelijk.

Vraag 6

Hoe hoog wordt het dreigingsniveau van eventuele aanvallen door cybercriminelen op Nederlandse ziekenhuizen en zorginstellingen, maar ook breder dan deze sector, geschat? Hoe beoordeelt u de digitale weerbaarheid van Nederlandse sectoren in vergelijking met de huidige toenemende digitale dreiging waar Nederland nu mee te maken heeft? Welke maatregelen worden op dit moment in Nederland genomen om weerstand te bieden aan deze toenemende dreiging, ook in aanloop naar de implementatie van de NIS2?

In het dreigingsbeeld cybersecurity 2022 geeft Z-CERT per type cyberdreiging voor het zorgveld een risico-inschatting. Zo wordt het dreigingsniveau met betrekking tot de impact van ransomware-aanvallen op Nederlandse ziekenhuizen en zorginstellingen aangemerkt als «hoog».8
In het meest recente Cybersecuritybeeld Nederland staat genoteerd dat er sprake is van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid.9 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het kabinet zich daarom hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse Cybersecuritystrategie (NLCS), zodat deze scheefgroei geadresseerd wordt.10 In het actieplan van de NLCS staan de maatregelen waarmee deze ambities worden gerealiseerd en wie daarvoor verantwoordelijk is.

Vraag 7

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van onder andere Black Cat en Qilin hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Inmiddels zijn acht personen en vier entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen op de sanctielijst van de EU geplaatst. Op de sanctielijst staan onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast kregen personen en entiteiten uit China en Noord-Korea sancties opgelegd. Op dit moment wordt de Cyber Diplomacy Toolbox herzien, met als doel daadkrachtiger op te kunnen treden tegen ontwrichtende cyberoperaties, hier speelt Nederland wederom een actieve rol in. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 8

Hoe gaat u er zorg voor dragen dat de KopieID-app van de rijksoverheid, waarmee identiteitsbewijzen veilig gekopieerd, verstuurd en getraceerd kunnen worden, meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn?

Vanaf juni dit jaar wordt de KopieID-app extra onder de aandacht gebracht. Dat zal gebeuren via social media, advertorials en bij bibliotheken waar de Informatiepunten Digitale Overheid zijn. De KopieID-app zelf zal in juni ook gebruiksvriendelijker zijn dan de huidige app. Zo is de app straks in meer talen te gebruiken en kunnen documenten automatisch worden herkend zodat men niet meer zelf met de vinger onderdelen onzichtbaar hoeft te maken te maken. De app herkent dan ook documenten als de Sédula, de identiteitskaarten die gebruikt worden in het Caribisch deel van het Koninkrijk.

Vraag 9

Hoe kan er zorg voor gedragen worden dat «vervuilde data», zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?

De kopieën van de identiteitsbewijzen in het artikel en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland» waren van werknemers. Die kopieën worden gemaakt als iemand in dienst treedt bij een werkgever. Werkgevers zijn verplicht om deze kopieën, zonder doorgestreepte elementen, te bewaren. Dat moet tot vijf jaar nadat een werknemer weg is bij deze werkgever. Het komt dus voor dat er terecht kopieën worden bewaard van identiteitsbewijzen die inmiddels zijn verlopen. Werkgevers dienen kopieën van oud-werknemers niet onnodig lang te bewaren. Of en hoeveel kopieën onnodig worden bewaard, is onbekend.11

Vraag 10

Ziet u mogelijkheden om, in het kader van de toenemende internationale cyberdreiging, aanvullende maatregelen te nemen op de korte termijn om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten? Zo ja, welke concrete maatregelen bent u bereid te treffen? Zo nee, waarom niet?

Zoals in het antwoord op vraag 6 is aangegeven staan in het actieplan van de NLCS alle acties die het kabinet uit zal voeren om de algehele digitale weerbaarheid van de maatschappij te versterken. Hierin vindt u dus ook welke concrete maatregelen op korte termijn getroffen (zullen) worden. Een voorbeeld van belangrijke maatregelen die de digitale weerbaarheid op korte termijn zullen vergroten is het bieden van meer zicht op cyberincidenten, -dreigingen en -risico’s aan organisaties door meer en efficiëntere informatie-uitwisseling. Daarnaast wordt er dit jaar geoefend met het Landelijk Crisisplan Digitaal middels de nationale oefening ISIDOOR.
Het actieplan 2022–2023 van de NLCS is het startpunt. Het actieplan wordt jaarlijks geactualiseerd, waardoor adequaat ingespeeld kan worden op de snelle ontwikkeling van het cybersecurity domein en bijgestuurd kan worden als hier aanleiding toe is. De komende jaren geeft het kabinet samen met medeoverheden, bedrijfsleven en wetenschap invulling aan de noodzakelijke vervolgstappen richting een digitaal veilig Nederland.

Vraag 11

Herinnert u zich de eerdere schriftelijke vragen over de Pro-Russische DDoS-aanval op Nederlandse ziekenhuizen? Kunt u toezeggen deze en bovenstaande schriftelijke vragen te beantwoorden vóór het aanstaande commissiedebat Cybercrime d.d. 30 maart 2023?3

Ja.

Vraag 1

Bent u bekend met het bericht dat de Nederlandse Zorgautoriteit (NZa) verplicht gaat stellen dat bepaalde patiëntgegevens met haar gedeeld moeten worden?1

Ja, ik ben bekend met het bericht.

Vraag 2

Wat is de wettelijke grondslag voor de verplichting voor behandelaren om vanaf 1 juli verplicht gegevens over hun patiënten met de NZa te delen?

Ik wil in de eerste plaats opmerken dat de NZa informatie uitvraagt bij zorgaanbieders om te zorgen voor een toegankelijke en betaalbare geestelijke gezondheidszorg (ggz) in Nederland. Dit doet zij als zelfstandig bestuursorgaan (ZBO), waarbij zij primair zelf gaat over de invulling van haar rol als regulator en toezichthouder en in dit kader de mogelijkheid hebben om de hiertoe benodigde informatie te vergaren en verwerken. Daarbij moet de NZa vanzelfsprekend voldoen aan de privacy- wet- en regelgeving. De kaders voor uitvraag van gegevens en verwerking door de NZa liggen in de Wet marktordening gezondheidszorg (Wmg) en Algemene verordening gegevensbescherming (AVG).
Op grond van de Wmg kan de NZa regels stellen over het verstrekken van gegevens en inlichtingen. De NZa neemt hierbij onder meer de Regeling categorieën persoonsgegevens Wmg in acht. Voor de ggz en forensische zorg (fz) heeft de NZa in de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) voorschriften gegeven op het gebied van registratie, administratie, declaratie en informatie. In deze Regeling heeft de NZa ook de informatieverplichting opgenomen over de éénmalige aanlevering zorgvraagtypering.
De Autoriteit Persoonsgegevens (AP) heeft getoetst of de uitvraag en verwerking van data voldoet aan de hand van de vereisten die krachtens het Handvest van de Grondrechten van de Europese Unie en de AVG (moeten) worden gesteld aan een regeling (zoals die van de NZa) die voorzien in een inmenging in het recht op bescherming van persoonsgegevens. De AP geeft, kort gezegd, aan dat de wijze waarop de NZa met dataverzameling in het kader van de doorontwikkeling van de zorgvraagtypering in de ggz omgaat voldoet aan de gestelde wettelijke vereisten. Zie hiervoor ook mijn brief aan uw Kamer van 22 februari 2023.2 De AP geeft in haar (eind-)oordeel van 14 december 2022 (z2022–05490) ook aan dat de bevoegdheid van de NZa om een wettelijke verplichting op te nemen, die mede ziet op de doorbreking van de geheimhoudingsplicht voldoende verankerd ligt in de systematiek van de Wmg voor verwerking van persoonsgegevens.3

Vraag 3

Is bekend bij cliënten en patiënten wie de verstrekte gegevens in kan zien? Is het gerechtvaardigd dat deze personen de bepaalde gegevens van patiënten mogen bekijken? Zal er gebruik worden gemaakt van logging om bij te houden wie welke gegevens heeft bekeken?

Het is niet altijd bekend bij cliënten en patiënten welke gegevens met wie worden gedeeld. De NZa werkt daarom, samen met de koepel van patiëntenverenigingen MIND, aan een informatiefolder om cliënten en patiënten te informeren. Zo kunnen cliënten en patiënten beter kiezen of zij de informatie willen delen. De AP heeft geoordeeld dat het inrichten van de informatieverplichting zorgvraagtypering rechtmatig is.
Wanneer de zorgvraagtyperingsgegevens bij de NZa zijn aangeleverd worden deze beveiligd opgeslagen. Deze informatie is niet te herleiden tot individuele patiënten. Slechts een beperkt aantal medewerkers van de NZa zal het recht op toegang tot de gegevens krijgen op een strikte basis van noodzakelijkheid voor het verwerken van de gegevens. De NZa houdt via logging bij wie de gegevens benadert en wanneer.

Vraag 4

Kunt u aangeven waarom de NZa deze specifieke informatie uit de scorelijst nodig heeft? In hoeverre geven deze gegevens een indicatie voor toekomstige zorgvraagstukken?

Zoals bij het antwoord op vraag 2 aangegeven, vraagt de NZa informatie uit bij zorgaanbieders om te zorgen voor een toegankelijke en betaalbare ggz in Nederland. Het zorgprestatiemodel is in combinatie met de zorgvraagtypering een belangrijk middel om de wachtlijsten in de ggz te verminderen zodat mensen passende en tijdig zorg krijgen. Voor de doorontwikkeling van de zorgvraagtypering is gedetailleerde informatie nodig. Zorgvraagtypering geeft inzicht in zorgvraagzwaarte van patiëntengroepen. Hierdoor kunnen passende prijsafspraken worden gemaakt tussen zorgaanbieder en zorgverzekeraar en kunnen patiënten met een complexe zorgvraag kostendekkend worden behandeld. Ook kunnen personeel en middelen beter worden gepland. Zorgvraagtypering draagt op deze wijze bij aan de behandeling van patiënten met ernstige psychische aandoeningen en daarmee aan goed toegankelijke zorg voor deze patiënten. De NZa werkt de komende jaren aan een verbetering van de zorgvraagtypering in samenwerking met partijen in de ggz. In dit kader vraagt de NZa eenmalig gedetailleerde gegevens uit over zorgzwaarte en behandelinzet om een beter beeld te krijgen welke zorg voor welke groep patiënten passend is.
De NZa heeft mij laten weten vanaf 2024 de gegevensuitvraag sterk terug te brengen. Vanaf dat moment kan worden volstaan met een monitorings-uitvraag, eventueel aangevuld met uitvragen om specifieke hypotheses te toetsen, aldus de NZa.

Vraag 5

Wat is uw reactie op de stelling van de Autoriteit Persoonsgegevens dat het wenselijk zou zijn om een duidelijkere wettelijke grondslag te bieden voor deze verplichte gegevensverwerking met daarbij de noodzaak van de gegevensuitwisseling?

De AP heeft in haar brief van 14 december 2022 aan de NZa aangegeven dat de wijze waarop de NZa met dataverzameling in het kader van de doorontwikkeling van de zorgvraagtypering in de ggz omgaat voldoet aan de gestelde wettelijke vereisten. Daarnaast geeft de AP nog verschillende voorwaarden mee. Zo geeft de AP aan dat de gegevens slechts eenmalig over één jaar mogen worden uitgevraagd, waardoor betere afbakening in de tijd plaatsvindt. Voor volgende jaren zal opnieuw zorgvuldig moeten worden bezien of een nieuwe uitvraag nodig is en vervolgens welke gegevens en welke omvang noodzakelijk zijn. Mocht de NZa op een later moment opnieuw gegevens nodig hebben voor zorgvraagtypering, dan moet daarvoor eerst een nieuwe wettelijke regeling komen met een onderbouwing van de noodzaak en moet die nieuwe regeling eerst worden voorgelegd aan de AP. Daarnaast heeft de AP de NZa gevraagd in de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) vast te leggen dat de gegevens alleen voor het verder ontwikkelen van zorgvraagtypering gebruikt zullen worden en dat geen koppeling gemaakt zal worden met andere bronnen. De NZa heeft daar de regeling op aangepast, in lijn met de uitkomst van de toets op rechtmatigheid van de AP.

Vraag 6

Op welk metaniveau worden de gegevens gedeeld? Kunnen er specifieke persoonsprofielen gekoppeld worden aan de gedeelde gegevens? Hoe kunnen de gegevens meer geanonimiseerd worden om dit te voorkomen?

Voor de beoogde doelen van zorgvraagtypering bij het verhelpen van grote problemen in de ggz en fz is het nodig op het niveau van het individu te weten hoe de relatie is tussen de scorelijst en het zorgvraagtype en de daaropvolgende behandelinzet. De NZa heeft vastgelegd dat zij geen koppeling met andere bronnen maakt. Deze gegevens zijn zonder koppeling met andere databronnen niet te herleiden tot een persoon. De gegevens die worden uitgevraagd, worden alleen door de NZa geanalyseerd en worden niet gedeeld.
In aanvulling op bovenstaande heeft de NZa ook juridische maatregelen genomen. In de regelgeving heeft de NZa daarom opgenomen dat er geen koppeling gemaakt wordt met andere gegevensbronnen.

Vraag 7

Op welke manier wordt, of is de belofte van de NZa om de verschillende informatiestromen niet te koppelen en zo herleidbaarheid te voorkomen bestendigd?

De garantie dat de NZa de gegevens met scorelijsten van zorgvraagtypering niet zal koppelen aan databronnen is vastgelegd in dezelfde regeling waarin de informatieverplichting is opgenomen, de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a).

Vraag 8

Kunt u aangeven of na 1 juli een patiënt of cliënt bij de NZa en/of betreffende behandelaren een verzoek kan doen op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg voor een overzicht, waarin is opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en/of heeft ingezien? Zo ja, hoe wordt dit recht aan de patiënt/cliënt kenbaar gemaakt? Zo nee, waarom niet?

De NZa weet niet welke gegevens bij welk individu horen. Daarom kan een patiënt niet bij de NZa opvragen wie wanneer bepaalde informatie heeft ingezien. De patiënt kan wel bij de zorgaanbieder navragen of en wanneer de gegevens zijn gedeeld met de NZa.

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan»?1

Ja.

Vraag 2

Is bekend of ook ziekenhuizen in andere landen te maken hebben (gehad) met DDoS-aanvallen? Is bekend of hierbij patiëntgegevens of continuïteit van zorg in gevaar is gebracht?

Dat klopt. Andere landen hebben bevestigd dat ziekenhuizen getroffen zijn door DDoS-aanvallen. Wij hebben geen volledig beeld van de gevolgen in andere landen van deze DDoS-aanvallen.

Vraag 3

Wat is de (potentiële) schade die Killnet, en mogelijk andere hackerscollectieven, aan hebben kunnen richten aan de zorginfrastructuur in Nederland? Hoe zien de effecten van dit soort veiligheidsrisico’s eruit voor patiënten en zorginstellingen? Zijn zorgorganisaties of ziekenhuizen of websites onbereikbaar geweest? Kunt u meer vertellen over de modus operandi van de aanvallen? Welke lessen worden hieruit getrokken?

De Russische groep Killnet gebruikt DDoS-aanvallen voornamelijk om de dagelijkse dienstverlening van de beoogde slachtoffers te frustreren. Deze aanvallen passen in het huidige digitale dreigingsbeeld. Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. De aanvallen hebben vooral geleid tot het beperkt beschikbaar zijn van de websites van ziekenhuizen. Ziekenhuizen zijn via andere kanalen wel bereikbaar gebleven.
De geleerde les is in hoofdlijnen dat cybersecurity een continu proces is dat geborgd dient te worden binnen de bedrijfsvoering van organisaties en ook periodiek dient te worden geëvalueerd: welke dreigingen zijn er, welke belangen zijn relevant, tot welke risico’s leidt dat en welke maatregelen moeten er genomen worden om te komen tot een passend niveau van weerbaarheid. Een DDoS-aanval is een scenario dat daarin kan worden meegenomen.

Vraag 4

Kunt u een stand van zaken geven over het lopende proces om de ziekenhuissector als vitale sector te identificeren zoals aangegeven in het commissiedebat Online veiligheid en cybersecurity en zoals aangegeven in het debat over de Wet elektronische gegevensuitwisseling in de zorg?

De Minister van Volksgezondheid, Welzijn en Sport zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.

Vraag 5

Bestaat er een «scrubbing center» voor de zorg en de nu al aangewezen vitale infrastructuren/sectoren, waarin dataverkeer wordt opgeschoond en geanalyseerd, en kwaadaardig dataverkeer zoals DDoS wordt verwijderd? Zo nee, wat vindt u van een dergelijke «veiligheidsklep» voor deze infrastructuren/sectoren?

Er zijn leveranciers waar deze maatregel («scrubbing straat») in diverse vormen als dienst kan worden afgenomen. Diverse Nederlandse ziekenhuizen maken hier ook gebruik van. Er bestaat echter geen wasstraat specifiek voor de zorg en de nu al aangewezen vitale infrastructuur/sectoren. Behalve een wasstraat («scrubbing straat») zijn er nog andere maatregelen die genomen kunnen worden op het niveau van applicatie/diensten, netwerk en servers. Organisaties besluiten individueel welke maatregelen voor hen nodig zijn om DDoS-aanvallen af te weren. Of een wasstraat een noodzakelijke maatregel is, dient iedere organisatie voor zichzelf af te wegen op basis van het risicoprofiel en de overige maatregelen die er al zijn genomen. Ook is het goed mogelijk dat internetproviders reeds scrubbing diensten hebben opgenomen in hun dienstverlening, waarover de organisatie zelf afspraken kan maken over hoe en wanneer dergelijke technologie wordt geactiveerd.

Vraag 6

Het Ministerie van Volksgezondheid, Welzijn en Sport wil de zorg bewust maken van cyberveiligheid door onder andere de diensten van expertisecentrum Z-Cert uit te breiden naar de gehele zorgsector, waarom zijn diensten van Z-Cert nu alleen van toepassing op ziekenhuizen en de geestelijke gezondheidszorg (GGZ) en niet bijvoorbeeld op de Geestelijke Gezondheidsdiensten (GGD’en)? Welke termijn heeft u voor ogen om de diensten voor de gehele zorgsector beschikbaar te maken? In hoeverre gaat de inwerkingtreding van de NIS2 deze situatie veranderen?2

Zoals eerder aan uw Kamer gecommuniceerd4 kiezen het Ministerie van VWS en Z-CERT ervoor om de verschillende sub-sectoren in het zorgveld aan te sluiten volgens een risicogebaseerde aansluitstrategie. Concreet betekent dit dat de sub-sectoren waarin de risico’s op cyberincidenten en de bijbehorende gevolgen het grootst zijn als eerste worden aangesloten bij Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Ook de GGD’en zijn via de koepelorganisatie aangesloten. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Voor de zomer zal de Minister van VWS de Kamer informeren over de implementatie van de nieuwe Europese Netwerk en Informatiebeveiligingsrichtlijn (NIB2) en zal hij ingaan op wat dit voor de zorgsector betekent.

Vraag 7

Bent u bereid actief te communiceren dat zorginstellingen zich aan kunnen sluiten bij Z-Cert en hoe wordt gestimuleerd dat straks de gehele zorgsector zich aansluit, aangezien in de beantwoording van eerdere schriftelijke vragen is aangegeven dat aangesloten zorginstellingen bij ICT-incidenten kunnen rekenen op de hulp van Z-Cert?3

Zie antwoord vraag 6.

Vraag 8

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van Killnet hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Onze eerste prioriteit lag bij het mitigeren van deze aanvallen en de getroffen systemen weer online te krijgen. Daarna kan er een onderzoek worden verricht naar de mogelijke dader(s) en kan bezien worden of sancties of strafrechtelijke vervolging tot de mogelijkheden behoren. Nederland zal hierbij zo mogelijk optrekken met de EU en afzonderlijke lidstaten, omdat een reactie sterker is als deze in coalitie-verband wordt vormgegeven.
Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Op dit moment wordt de Toolbox herzien, hier nemen we een actieve rol in. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 1

Bent u bekend met het artikel «ChatGPT glipt langs docenten: «Ik gebruik het om snel huiswerk te maken»»1?

Ja, wij zijn bekend met dit bericht.

Vraag 2

Deelt u de mening dat kunstmatige intelligentie als systeemtechnologie een ingrijpend effect heeft en gaat hebben op het onderwijs?

Ja, wij delen de mening dat artificiële intelligentie (AI) als systeemtechnologie belangrijke gevolgen op het onderwijs kan hebben.

Vraag 3

Welke kansen en risico's voor scholen ziet u door het toegankelijker en geavanceerder worden van kunstmatige intelligentie? Hoe gaat u ervoor zorgen dat de kansen om het onderwijs door middel van kunstmatige intelligentie te verrijken optimaal worden benut, terwijl de risico’s en valkuilen adequaat worden getackeld?

De opkomst van AI is een gegeven en heeft impact op de maatschappij en het onderwijs. AI kan het onderwijs verbeteren door het leren motiverender en meer op maat te maken en docenten te ondersteunen. Tegelijkertijd zijn er risico’s en kan de inzet van AI bijvoorbeeld door biases leiden tot grotere verschillen tussen groepen leerlingen en studenten waardoor groepen leerlingen en studenten onterecht benadeeld kunnen worden.2 De ontwikkeling van AI zal een aanpassing vragen van docenten en leerlingen en studenten om goed met intelligente technologieën in het onderwijs om te gaan.
De sleutel ligt vooral bij de didactische aanpak in de klas, bijvoorbeeld door leerlingen niet te beoordelen op het eindproduct maar op het schrijfproces of door opdrachten in de klas te laten maken met pen en papier. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.
Aanvullend faciliteren wij een verantwoorde ontwikkeling van AI in het onderwijs, door het benutten van kansen en met oog voor de risico’s. Met behulp van het Nationaal Groeifonds investeren wij substantieel in deze ontwikkelingen tot 2035. Zo is er voor de komende tien jaar € 80 miljoen toegekend aan het Nationaal Onderwijslab AI (NOLAI) in het funderend onderwijs. Leraren en scholen in het funderend onderwijs kunnen deelnemen aan co-creatie projecten waarin zij samen met wetenschappers en leermiddelenmakers werken aan een goede inzet van intelligente technologieën in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren.

Vraag 4

Zijn schoolbesturen en leraren voldoende op de hoogte van de risico's van kunstmatige intelligentie voor het onderwijs?

Het is belangrijk dat schoolbesturen en leraren naast de kansen ook voldoende op de hoogte zijn van de risico’s van AI voor het onderwijs. Van onderwijsinstellingen vraagt de ontwikkeling van AI om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden. Ook hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over kunstmatige intelligentie vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.

Vraag 5

Op welke manier passen scholen zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en leerlingen hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Zie het antwoord op vraag 3.
Aanvullend is het belangrijk dat scholieren, leraren en de maatschappij in gesprek blijven over het gebruik van AI in de klas. Dit vraagt ook iets van docenten op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid.

Vraag 6

Wordt er al onderzoek gedaan naar de manier waarop kunstmatige intelligentie het onderwijs gaat veranderen? Zo ja, welk onderzoek? Zo nee, bent u bereid dit in gang te zetten?

Ja, binnen het Nationaal Onderwijslab AI is tot 2035 voorzien in een wetenschappelijk onderzoeksprogramma waarbij in een breed perspectief gekeken wordt naar de kansen en risico’s van intelligente technologieën in het onderwijs. Deze breedte levert een unieke samenwerking tussen wetenschappers om de pedagogisch-didactische, sociaal-maatschappelijke en ethische aspecten van AI in onderwijs in kaart te brengen.
Vorig jaar zijn het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad verschenen. De Onderwijsraad wijst op het belang van een actieve rol voor zowel leraren en docenten als schoolleiders, bestuurders en de overheid bij de inzet van intelligente technologie. Schoolleiders en bestuurders hebben een belangrijke rol in het borgen dat leerlingen, studenten, leraren en docenten digitaal geletterd zijn en intelligente technologie zinvol en verantwoord inzetten. Voor de overheid ziet de Onderwijsraad een faciliterende rol door kaders te scheppen, algemene leerdoelen te formuleren voor digitale geletterdheid en te stimuleren dat er samen met de beroepsgroep toepassingen van intelligente technologie worden ontwikkeld.

Vraag 7

Bent u bekend met hat artikel «ChatGPT te lijf met pen en papier»2?

Ja, wij zijn bekend met dit bericht.

Vraag 8

Op welke manier passen onderwijsinstellingen in het mbo, hbo en wo zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en studenten hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Mbo-, hbo- en wo-instellingen zetten AI al in voor bijvoorbeeld het optimaliseren van onderwijsprocessen en het vindbaar maken van leermaterialen. Met de komst van ChatGPT kunnen ook studenten en docenten gebruik maken van dergelijke technologie, om bijvoorbeeld het leerproces te verbeteren. Ten slotte zijn er gevallen bekend dat studenten ChatGPT gebruiken om fraude te plegen.
Docenten en opleidingen zijn als eerste aan zet om in te spelen op de toepassing van ChatGPT, alsook andere vormen van generatieve AI. Zoals aangegeven in de beantwoording op vraag 3, kunnen docenten de onderwijsvorm aanpassen, waardoor de inzet van ChatGPT minder gevolgen heeft op het leerproces. Docenten worden hierbij ondersteund door Kennisnet en SURF, die hun kennis delen in de vorm van webinars en artikelen.
Voor de opleidingen geldt dat zij moeten inspelen op maatschappelijke en technologische ontwikkelingen. Doordat opleidingen de opleidingscurricula steeds vernieuwen, kunnen studenten binnen de opleidingen de benodigde en relevante (AI-) vaardigheden verwerven.
OCW ziet haar rol vooral als verbinder en facilitator. Met het Nationaal Groeifondsprogramma Digitaliseringsimpuls Onderwijs, investeert het kabinet in digitalisering in het mbo, hbo en wo. Onderdeel van het netgenoemde programma zijn de Centers for Teaching and Learning (CTL), die ervoor zorgt dat de nationale ICT-voorzieningen en kennis beschikbaar is voor docenten en lerenden, op een manier die past bij de eigen context, structuur en cultuur van de opleiding en instelling. Hierbij is ook aandacht voor technologieën zoals AI. Deze CTL dragen dus bij aan kennisdeling waardoor docenten ondersteund worden in hun werk.
Daarnaast biedt OCW een eenmalige subsidie aan de werkgroep Onderwijs van de Nederlandse AI Coalitie (NL AIC). Met deze subsidie wordt gewerkt aan concrete AI-pilots die bijdragen aan beter onderwijs voor leerlingen en studenten en meer ondersteuning voor docenten.

Vraag 9

Is voldoende expertise over kunstmatige intelligentie aanwezig op het ministerie en breder binnen de rijksoverheid? Zo ja, op welke manieren ondersteunt u scholen en andere onderwijspartijen? Zo nee, hoe gaat u dat in de (nabije) toekomst alsnog doen?

Binnen de rijksoverheid is expertise aanwezig om de genoemde ondersteuning aan scholen te faciliteren. Zoals aangegeven in de kabinetsreactie op het WRR-rapport «Opgave AI: de nieuwe systeemtechnologie» van 7 oktober 2022 wordt de komende jaren verder geïnvesteerd in kennisontwikkeling voor management en medewerkers op het gebied van kunstmatige intelligentie. Op dit moment is voor Rijksambtenaren een up-to-date aanbod aan opleidingen op het gebied van kunstmatige intelligentie beschikbaar, zowel voor beginners als voor gevorderden. De Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO) geeft in 2023 extra aandacht aan dit aanbod en biedt ook de mogelijkheid AI-opleidingen op maat te ontwikkelen, passend bij de context van de verschillende onderdelen van de rijksoverheid.
Voor de wijze waarop het Ministerie van OCW het onderwijs ondersteunt, verwijzen wij u graag naar de beantwoording van de vragen 3, 4, 5, 6 en 8.

Vraag 10

Hoe zorgt u ervoor dat u onderwijsinstellingen in het gehele onderwijs voldoende kunt ondersteunen als het gaat om omgang met kunstmatige intelligentie?

Zie antwoord vraag 9.

Vraag 11

Deelt u de mening dat de kennis in de samenleving, en dus ook in het onderwijs over AI moet worden vergroot, zoals ook de WRR adviseert en dat de nationale AI cursus hier een mooi instrument voor kan zijn? Zo nee, waarom niet? Zo ja, hoeveel mensen hebben de gratis AI cursus gedaan en wat kan er nog gebeuren om deze meer bekendheid te geven?3

Ja, het is van groot belang dat de kennis over AI in de samenleving en in het onderwijs wordt vergroot. Dat wordt op verschillende manieren gedaan, zoals het ontwikkelen van verantwoorde AI-innovaties in het primair en voortgezet onderwijs door het Nationaal Onderwijslab AI (NOLAI).
Ook de nationale AI cursus draagt bij aan bewustwording en kennisoverdracht bij burgers en professionals te vergroten. Daarvoor hebben zich tot nu toe 364.000 mensen aangemeld.
Daarnaast zijn er ook sectorspecifieke AI cursussen via de Nederlandse AI Coalitie gekomen voor o.a. zorg, energie en onderwijs, met een bereik van 50.000 mensen tot nu toe. Door de komst van ChatGPT is er een grote stijging in deelnemers van de AI cursus voor het onderwijs geweest. De komende tijd wordt de AI cursusaanpak doorontwikkeld en wordt ingezet op bredere bekendheid, o.a. via de inzet van de Nederlandse AI Coalitie en haar partners, zowel online als via events.

Vraag 12

Bent u bereid in gesprek te gaan met de Nederlandse AI-coalitie over kansen en risico’s van kunstmatige intelligentie voor het onderwijs?

Ja, we zijn reeds in gesprek met de NLAIC. Zoals aangegeven in de beantwoording van vraag 8 subsidieert OCW de werkgroep Onderwijs van de NLAIC. Ook zijn de ministeries van OCW en van EZK en deze werkgroep nauw betrokken bij de realisatie van het nieuwe innovatielab NOLAI. Het kabinet investeert € 80 mln uit het Groeifonds in NOLAI om samen met onderwijspartijen op AI gebaseerde lesmaterialen voor het onderwijs te ontwikkelen, die verantwoord en veilig zijn.

Vraag 1

Bent u bekend met het bericht «Jongeren vaker betrokken bij fraude en cybercrime, politie maakt zich zorgen»1?

Ja.

Vraag 2

Hoe verklaart u dat jongeren steeds vaker betrokken zijn bij fraude en cybercrime?

Voor zover bekend blijkt niet uit het huidige inzicht dat jongeren steeds vaker betrokken zijn bij online fraude en cybercrime in 2022. Tegen het einde van het eerste kwartaal van 2023 komt het OM met een overzicht dat specifiek ziet op het aantal cybercrimezaken dat in 2022 is afgedaan, volgend uit de afspraken uit de Veiligheidsagenda. Ik vind het belangrijk om meer inzicht te vergaren in de rol van jongeren in criminaliteit. Daarom voert de politie in opdracht van mijn ministerie een onderzoek uit naar de daders achter online fraude, waaronder geldezeldelicten.

Vraag 3

Op welke manier probeert u het besef te creëren bij jonge daders en hun ouders dat ze echte slachtoffers treffen, hetgeen nu vaak lijkt te ontbreken?

De overheid organiseert of stimuleert verschillende initiatieven om het besef van online gedrag bij jongeren en hun ouders in het digitale domein te vergroten. Hiervan wordt een aantal hieronder toegelicht.
Begin oktober 2022 is «Mijn Cyberrijbewijs» gelanceerd, een gratis lesprogramma voor groep 7 en 8 van het basisonderwijs. Mijn Cyberrijbewijs gebruikt vijf lessen om jonge mensen bewust te maken van de eigenschappen en risico’s van het internet. Het materiaal is breed beschikbaar via de website of via educatieve platforms zoals LessonUp en Gynzy. Bij Mijn Cyberrijbewijs is het, naast het uitzetten van de interventie binnen het onderwijs, een optie om de lessen door vrijwilligers te laten geven.
De politie maakt met de mobiele game Framed leerlingen bewuster van strafbare gedragingen in de online wereld. Leerlingen kunnen vanuit hun eigen leefwereld ervaren welke ernstige gevolgen door online gedrag kunnen worden veroorzaakt. Bij de afronding van het spel verkrijgt de leerling een fictief strafblad. De campagne Framed is het derde (school)jaar ingegaan. Inmiddels heeft meer dan de helft van alle middelbare scholen zich aangemeld voor het gratis lespakket Framed en hebben ruim 135.000 leerlingen Framed gespeeld.
Halt geeft voorlichting in het voortgezet onderwijs over de risico’s en gevolgen van online fraude en cybercrime. In de lessen maakt de Halt-medewerker leerlingen bewust van de risico’s van online fraude en cybercriminaliteit. Daarnaast krijgen leerlingen handelingsperspectieven aangereikt die moeten helpen bij het herkennen en voorkomen van online fraude en cybercrime. De module bevat de volgende onderwerpen: geldezels, identiteitsfraude, aan- en verkoopfraude, hulpvraagfraude, phishing en hacken.
Via de politie is de interventie re_B00Tcmp ontwikkeld. Re_B00Tcmp maakt jongeren die affiniteit met IT hebben weerbaar tegen het ontwikkelen van een criminele cybercarrière. Jongeren en hun ouders worden geïnformeerd over wat wel en niet mag op het internet. Ook leren jongeren hoe zij hun IT-skills op een positieve manier kunnen inzetten en krijgen carrièreadvies aangeboden.
Daarnaast is er HackShield, dat een module «online grenzen» heeft, waarin jongeren leren hoe zij cybercrime kunnen herkennen en hoe zij kunnen voorkomen dat ze zelf dader of slachtoffer hiervan worden.
In 2020 is de City Deal Lokale Weerbaarheid Cybercrime van start gegaan met als doel om gemeenten en lokale samenwerkingsverbanden of partijen aan te sporen in de (preventieve) aanpak van cybercriminaliteit. Ook de initiatieven re_B00Tcmp en HackShield zijn vanuit de City Deal gestimuleerd. Succesvolle pilots vanuit de City Deal worden verspreid via de regionale samenwerkingsverbanden openbare orde en veiligheid en in het kader van de preventieve aanpak van (georganiseerde en ondermijnende) jeugdcriminaliteit (Preventie met gezag).

Vraag 4

Worden ouders meegenomen bij de aanpak om cybercrime bij jongeren terug te dringen? Zo ja, op welke manier? Zo nee, waarom niet?

Ja. In verschillende interventies wordt aandacht besteed aan de rol die ouders kunnen spelen in het voorkomen van criminaliteit van hun kinderen. Zo is er binnen Mijn Cyberrijbewijs een begeleidende ouderbrief en praatplaat ontwikkeld. Deze ouderbrief en praatplaat helpen ouders een gesprek met hun kinderen over hun online gedrag te voeren.
Binnen de Halt-interventie is het een standaardwerkwijze om ouders te betrekken. Halt heeft een module over online fraude en cybercrime, bedoeld voor de ouders. De Halt-medewerker attendeert de ouders op welke gedraging online strafbaar is en geeft hen handvatten voor het aangaan van een gesprek met hun kinderen. Ook is er standaard aandacht voor een vorm van excuus/herstel en, indien van toepassing, schadebemiddeling met het slachtoffer. In de interventie re_B00Tcmp worden ouders voorgelicht over cybercrime en de grenzen die online gelden.

Vraag 5

Worden ouders risicoaansprakelijk gesteld voor de financiële schade die de slachtoffers door toedoen van de strafbare handelingen van hun kinderen lopen. Zo ja, hoe vaak gebeurt dit per jaar?

Ouders van kinderen tot en met 15 jaar zijn aansprakelijk, als er schade is als gevolg van een strafbaar feit dat hun kind heeft gepleegd (artikel 6: 169 Burgerlijk Wetboek). Ouders van kinderen vanaf 16 jaar zijn niet aansprakelijk voor de schade die is veroorzaakt door hun kind. Ouders die aansprakelijk zijn voor de schade die is veroorzaakt door hun kind, kunnen in de regel een beroep doen op een aansprakelijkheidsverzekering indien aanwezig. Ik beschik niet over cijfers hoe vaak en in welke mate ouders in dergelijke gevallen daadwerkelijk aansprakelijk worden gesteld voor schade veroorzaakt door hun kind, of hoe vaak verzekeraars in deze gevallen schade uitkeren. Navraag bij het Verbond van Verzekeraars wijst uit dat ook het Verbond geen gegevens bijhoudt over ingediende claims door ouders die aansprakelijk zijn gesteld voor schade veroorzaakt door hun kind.

Vraag 6

Wat zijn de knelpunten bij het vaststellen van risicoaansprakelijkheid van ouders voor financiële schade die hun kinderen aan slachtoffers hebben toegebracht en welke maatregelen zijn er mogelijk om deze knelpunten op te lossen?

Er zijn mij geen specifieke knelpunten bekend bij het vaststellen van risicoaansprakelijkheid van ouders.

Vraag 7

Op welke manier zijn gemeenten nu druk bezig om te kijken hoe ze kunnen bijdragen om cybercrime bij jongeren terug te dringen?

Gemeenten worden actief aangemoedigd om cybercrime bij jongeren terug te dringen. Dit gebeurt voornamelijk via de City Deal Lokale Weerbaarheid en Cybercrime.
Verschillende succesvolle initiatieven worden in 2023 vanuit de City Deal actief aangeboden aan gemeenten: re_B00Tcmp, HackShield en een interventie tegen geldezels. Dit gebeurt voornamelijk via de regionale samenwerkingsverbanden openbare orde en veiligheid. Deze samenwerkingsverbanden ontvangen vanuit de City Deal Lokale Weerbaarheid Cybercrime de middelen om gemeenten aan te moedigen en te faciliteren in de lokale aanpak van cybercrime door jongeren. Ten eerste worden gemeenten aangemoedigd om op lokaal niveau projecten in dit kader te initiëren. Daarnaast wordt ingezet op het borgen van de aanpak cybercrime in de lokale veiligheidsplannen van de gemeenten.
Tot slot is voor de periode 2022–2025 vanuit het programma Preventie met gezag jaarlijks 1 miljoen euro beschikbaar voor de doelgroep jongeren en digitale criminaliteit. In deze periode worden Mijn Cyberrijbewijs, de projecten en opgedane kennis uit de City Deal verder naar gemeenten verspreid.

Vraag 8

Wat gaat u eraan doen om de cybersecuritygame «Hackshield» zo snel mogelijk uit te rollen in alle 344 gemeenten?

Zoals te lezen bij de beantwoording van vraag 3, zet het ministerie breed in op het versterken van digitale weerbaarheid van jongeren. De rijksoverheid draagt bij aan de naamsbekendheid en verdere uitrol van HackShield via de City Deal en via het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).
Het komende jaar worden gemeenten door HackShield, in samenwerking met het CCV en de regionale samenwerkingsverbanden openbare orde en veiligheid, actief benaderd om een abonnement af te sluiten. Hierbij wordt de koppeling gezocht met themaweken, zoals de week van het geld, de week van de mediawijsheid en de week van de veiligheid. Met een abonnement kunnen gemeenten onder andere een campagne tot stand brengen en middels deze campagne het aantal spelers verhogen. Ook wordt HackShield genoemd in de «Cybersnackbox» van het CCV. Deze is aan alle gemeenten gestuurd en bevat een handreiking waarmee gemeenten op laagdrempelige wijze aan de slag kunnen met het thema cyberveiligheid en een aantal concrete en succesvolle cyberprojecten.
Momenteel hebben 138 gemeenten een abonnement bij HackShield. Een abonnement is niet noodzakelijk om HackShield te kunnen spelen. Het spel is gratis beschikbaar voor alle kinderen in Nederland. Inmiddels is het spel door 150.000 kinderen gespeeld.

Vraag 9

In hoeverre wordt op scholen aandacht besteed aan cybercrime? Lopen er pilots op scholen om cybercrime onder jongeren terug te dringen? Zo ja, op welke wijze is dit vormgegeven? Zo nee, waarom niet?

Zie de antwoorden op de vragen 3 en 4.

Vraag 10

In hoeverre wordt Hack_Right nu ingezet? Wat zijn hiervan tot dusver de resultaten? Zijn er verbetermogelijkheden hoe Hack_Right beter ingezet kan worden? Zo ja, wat zijn deze verbetermogelijkheden?

Hack_Right is een interventie voor first offenders (tussen 12–30 jaar) van cybercrimedelicten en kan nu worden ingezet als Halt(+) afdoening, als werkstraf bij de Raad voor de Kinderbescherming of als bijzondere voorwaarde met (jeugd)reclasseringtoezicht. Hack_Right kan ook worden ingezet naast een andere (taak)straf of interventie. Hack_Right kan dus zowel strafrechtelijk als buitenstrafrechtelijk (Halt) worden opgelegd.
Jongeren en jongvolwassenen kunnen deelnemen aan Hack_Right als ze voldoen aan de volgende (inclusie)criteria:
Hack_Right wordt nu nog zeer beperkt ingezet. Hier zijn meerdere redenen voor, zoals prioritering in opsporing en vervolging van dit type zaken, kennis over Hack_Right bij betrokken organisaties of dat de jongeren die een cyberdelict hebben gepleegd niet aan alle (inclusie)criteria voldoen. Voor de jaren 2022–2024 is een subsidie toegekend aan de uitvoeringspartners (Reclassering Nederland, Raad voor de Kinderbescherming en Halt) om Hack_Right te borgen binnen de justitiële processen. Hierbij zijn naast de uitvoeringspartners ook het OM en de politie betrokken. Aanvullend op de aandacht voor bovenstaande twee punten zijn er verbetermogelijkheden die verkend worden, waaronder het eerder inzetten van Hack_Right en het, daar waar aannemelijk effectief, verbreden van de inclusiecriteria.

Vraag 11

Hoeveel jonge daders van cybercrime zijn er sinds 2018 opgepakt?

In de politieregistraties zijn in de periode 2018 tot en met 22 november 2022 464 minderjarige verdachten van cybercrime geregistreerd. Het gaat hier om minderjarige verdachten die zijn aangehouden en/of zijn gehoord en/of in verzekering zijn gesteld.

Vraag 12

In hoeveel gevallen was er sprake van «dat tientallen tot honderden aangiften naar twee (enkele) daders leiden»?

Deze gegevens worden niet als zodanig geregistreerd. Wel is de ervaring van politie en OM dat in het gros van de zaken op het gebied van cybercriminaliteit en gedigitaliseerde criminaliteit waarbij de focus financieel gewin is, er sprake kan zijn van tientallen tot honderden slachtoffers.

Vraag 13

In hoeveel gevallen zijn kwetsbare geldezels door de «grote vissen» gedwongen om strafbare feiten te plegen?

Deze gegevens worden niet als zodanig geregistreerd. Meer in het algemeen geldt dat een belangrijke drijfveer voor jongeren dikwijls financieel gewin is. Daarbij is het soms lastig om helder te krijgen of sprake is van dwang door derden. Bij de afdoening van deze zogenoemde geldezelzaken is er vanuit politie en OM in het bijzonder aandacht voor de kwetsbare positie waarin sommige van deze jongeren zich bevinden en wordt hiermee ook rekening gehouden.

Vraag 14

Indien er sprake is van dwang is, worden de «grote vissen» in die gevallen dan vervolgd voor criminele uitbuiting?

Voor zover dwang door derden kan worden bewezen, volgt uit artikel 273f van het Wetboek van Strafrecht dat het mogelijk is deze personen te vervolgen voor mensenhandel als er bewijsbaar sprake is van criminele uitbuiting. Artikel 273f van het Wetboek van Strafrecht wordt aangepast om de mogelijkheden tot vervolging van uitbuiting uit te breiden.

Vraag 15

Welke maatregelen worden er vanuit het programma Preventie met Gezag getroffen, die specifiek zien op het voorkomen van cybercriminaliteit onder jongeren?

Vanuit de brede preventieaanpak van (georganiseerde en ondermijnende) jeugdcriminaliteit wordt onder de noemer «Preventie met gezag» de komende jaren fors en structureel geïnvesteerd in criminaliteitspreventie. Cybercriminaliteit maakt hier deel van uit. In samenwerking met de City Deal Lokale Weerbaarheid Cybercrime worden de kansrijke projecten HackShield, re_B00Tcmp en een interventie tegen geldezels verspreid in de deelnemende gemeenten. Vanuit de City Deal worden gemeenten die toetreden tot «Preventie met gezag» actief ondersteund met zowel het in kaart brengen van de lokale problematiek rondom cybercriminaliteit door jongeren als de implementatie van deze projecten. Ook projecten die buiten de City Deal Lokale Weerbaarheid Cybercrime vallen, zoals Mijn Cyberrijbewijs, worden actief aangeboden aan de gemeenten binnen Preventie met gezag. Daarnaast wordt binnen het programma Preventie met gezag vanuit Halt ingezet op voorlichtingen, klassendialogen en Halt-spreekuren en preventieve gesprekken op scholen.

Vraag 16

Bent u het ermee eens dat naast goede projecten zoals Hackshield, Framed en (B)adwords, het ook belangrijk is dat wanneer jongeren preventief zijn geïnformeerd over de gevaren en gevolgen van cybercrime, ze ook gekoppeld kunnen worden aan initiatieven, zoals een MKB-cybercampus, waar jongeren worden opgeleid tot een specialist op cybersafety en cybersecurity? Zo ja, op welke manier gaat u dit vormgeven? Zo nee, waarom niet?

Ik ben het met u eens dat het belangrijk is om positieve alternatieven aan te dragen, omdat dit de kans op gewenst gedrag vergroot en dus bijdraagt aan zowel preventie van cybercrime als het behoud van ICT-talent voor de samenleving. Vanuit deze gedachte werkt een landelijk netwerk van cybersecuritybedrijven en afdelingen mee aan Hack_Right. Ook dragen dergelijke bedrijven bij aan de door de politie ontwikkelde en uitgevoerde re_B00TCMPs, waarin jongeren leren welke kansen en risico’s de online wereld met zich mee brengt. De doelgroep van deze interventies is jongeren die zowel potentie hebben op het ontwikkelen van een ICT-carrière als een criminele carrière, en hun ouders.

Vraag 17

Bent u het ermee eens dat een complete en gezamenlijke aanpak met scholen, ouders, gemeenten, politie en OM nodig is om cybercrime onder jongeren aan te pakken? Zo ja, op welke manier gaan deze actoren dit gezamenlijk vormgeven? Zo nee, waarom niet?

Ja. Daarom ben ik ook erg blij dat er vanuit Preventie met gezag uitgebreid aandacht is voor de integrale aanpak van cybercrime onder jongeren.

Vraag 1

Bent u bekend met het bericht «Chipmaker Nexperia koopt Delftse start-up»?1

Ja.

Vraag 2

Was u vooraf bekend met deze overname? Zo ja, wanneer en op welke wijze bent u ingelicht?

In het kader van de aflossing van eerdere verstrekte innovatiekredieten door de Rijksdienst voor Ondernemend Nederland is mijn ministerie op 17 augustus 2022 geïnformeerd over de intentie tot het aangaan van een mogelijke acquisitietransactie en op 11 oktober 2022 ingelicht over de op handen zijnde overname.

Vraag 3

Hoe beoordeelt u deze overname van een veelbelovende Nederlandse startup in de chipsector door Nexperia, een bedrijf dat in Chinese handen is, mede vanuit het perspectief van de Wet Veiligheidstoets investeringen, fusies en overnames (hierna: Wet Veiligheidstoets)?

Het kabinet heeft uiteenlopende, landenneutrale instrumenten om bij te dragen aan de borging van de nationale veiligheid. In de Kamerbrief borging investeringsklimaat, langetermijn waardecreatie en nationale veiligheid van 8 juli 2022 bent u hierover eerder geïnformeerd.
De Wet veiligheidstoets investeringen, fusies en overnames is aangenomen, maar nog niet in werking getreden. Na inwerkingtreding zal bij dergelijke overnames een meldplicht gelden bij het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken en Klimaat. Vanwege het ontbreken van een wettelijke basis, heb ik op dit moment nog geen onderzoeken kunnen doen op grond van deze wet en heeft er dus geen beoordeling plaatsgevonden van de overname van Nowi.
De overname van Nowi heeft desalniettemin mijn aandacht. De overname valt binnen de termijn van de terugwerkende kracht van de Wet Vifo. Na inwerkingtreding van deze wet zal ik onderzoeken of de overname van Nowi onder de reikwijdte van de Wet Vifo valt en een beoordeling mogelijk is. Dit wordt bepaald door het antwoord op de vraag of Nowi wel of niet gebruik maakt van sensitieve technologie zoals gedefinieerd in de Wet Vifo.2

Vraag 4

Vindt er vanuit deze wet nog een beoordeling van de overname van Nowi plaats, of heeft deze toets al plaatsgevonden? Zo nee, waarom niet, aangezien de Wet Veiligheidstoets terugwerkende kracht heeft?

Zie antwoord vraag 3.

Vraag 5

Kunt u, als er een beoordeling heeft plaatsgevonden, nader ingaan op de conclusies van deze beoordeling?

Zie antwoord vraag 3.

Vraag 6

Is er reeds voldoende capaciteit om op basis van de Wet Veiligheidstoets controles uit te voeren op overnames, zoals die van Nowi door Nexperia? Zo nee, wat gaat u eraan doen deze capaciteit op orde te brengen?

Ja.

Vraag 7

Biedt de Wet Veiligheidstoets voldoende handvatten om dusdanige overnames te beoordelen? Zo nee, wat gaat u eraan doen dusdanige overnames beter te laten toetsen?

De Wet Vifo biedt, zodra deze in werking is getreden, voldoende handvatten om overnames die betrekking hebben op vitale aanbieders of ondernemingen die over sensitieve technologie beschikken, te toetsen op risico’s voor de nationale veiligheid. De categorie sensitieve technologie omvat goederen voor tweeërlei gebruik en militaire goederen en daarnaast kunnen er bij algemene maatregel van bestuur technologieën worden toegevoegd.

Vraag 8

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot de European Chips Act?

De EU Chips Act speelt een belangrijke rol in het stimuleren van de Europese halfgeleiderindustrie en het vergroten van de Europese weerbaarheid. Investeren in de Europese waardeketen en het aantrekkelijk maken en behouden van het Europese investeringsklimaat is van groot belang. In de EU Chips Act is er o.a. ook aandacht voor de financiering van startups en scale-ups via het nog op te richten EU Chip Fund.
Het kabinet steunt de aanpak binnen de EU Chips Act en heeft daarom op 1 december 2022 ingestemd met de algemene oriëntatie. Hoewel de EU Chips Act zich richt op het versterken van Europa, is de halfgeleiderwaardeketen sterk mondiaal georganiseerd en daarom voor een groot deel afhankelijk van vrije handel en goede internationale samenwerking. Ook dit heeft aandacht in de EU Chips Act.
De EU Chips Act is geen instrument om investeringen of overnames te toetsen. Hiervoor bestaat andere wetgeving, zoals de Verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (EU/2019/452) en de Wet veiligheidstoets investeringen, fusies en overnames. Beschermende maatregelen zijn belangrijke instrumenten voor deze industrie.

Vraag 9

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van het Verenigd Koninkrijk om Nexperia juist te dwingen 86 procent van de grootste microchip fabriek te verkopen (op basis van een overheidsonderzoek naar de aankoop van Nexperia van deze fabriek)?

Het kabinet heeft kennisgenomen van de besluiten van het Verenigd Koninkrijk en Duitsland om respectievelijk de overname van 86% van de aandelen in Newport Wafer Fab met terugwerkende kracht terug te draaien en de overname van Elmos te blokkeren. Het is niet aan het kabinet om in te gaan op de beweegredenen van het Verenigd Koninkrijk of Duitsland, aangezien het in beide gevallende inzet van nationale wetgeving betreft. Net als het Verenigd Koninkrijk en Duitsland, zal het kabinet eigen maatregelen treffen in geval van risico’s voor de nationale veiligheid bij investeringen, fusies en overnames.
Toetsingsbesluiten genomen door Europese lidstaten en bondgenoten kunnen impact op Nederland hebben. Gegeven de relatief jonge investeringstoetsingswetgeving staan we in contact met lidstaten en bondgenoten om ook te leren van elkaars opgedane ervaringen en gemaakte afwegingen.

Vraag 10

Heeft u contact gehad met de regering van het Verenigd Koninkrijk over hun besluit om Nexperia tot gedeeltelijke verkoop van Britse onderdelen te dwingen? Zo ja, waarom zijn de Britse beweegredenen wel of niet relevant voor – of van toepassing op Nederland om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met het Verenigd Koninkrijk?

Zie antwoord vraag 9.

Vraag 11

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van Duitsland dat het Chinese Sai Microelectronics niet Elmos, een Duitse producent van halfgeleiders, mag overnemen?

Zie antwoord vraag 9.

Vraag 12

Heeft u contact gehad met de Duitse regering over hun besluit om deze verkoop te blokkeren? Zo ja, waarom zijn de Duitse beweegredenen wel of niet relevant voor – of van toepassing op Nederland – om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met de Duitse regering?

Zie antwoord vraag 9.

Vraag 1

Herinnert u zich uw antwoorden op de schriftelijke vragen van 12 september jl. over het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen»?1

Ja, wij herinneren ons deze antwoorden.

Vraag 2

Kunt u concreet aangeven hoe de aanwijzing van het proces van vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur als vitaal proces zich verhoudt tot de aanwezigheid van Chinese camera’s in treintoestellen, gegeven dat de Chinese overheid een offensieve cyberstrategie gericht tegen Nederland voert? Hoe beoordeelt u daarmee de aanwezigheid van Chinese camera’s binnen een Nederlandse vitale sector, kijkend naar de veiligheidsrisico’s waar onder andere de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) al eerder voor gewaarschuwd heeft? Kunt u dit toelichten?

Het proces van vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur is aangewezen als vitaal proces. In dit proces zijn vitale aanbieders op basis van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) verplicht tot het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen (zorgplicht). Daarnaast dienen zij inzicht te hebben in de risico’s die hun dienstverlening kunnen raken. Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het nemen van maatregelen tegen de risico’s voor de nationale veiligheid. De Inspectie Leefomgeving en Transport houdt binnen de spoorsector toezicht op de manier waarop Aanbieders van Essentiele Diensten (AED’s) invulling geven aan deze zorgplicht.
Ook dienen nationale veiligheidsoverwegingen te worden meegewogen bij het inkopen van producten en diensten. Hiervoor zijn er instrumenten ontwikkeld die organisaties, waaronder vitale aanbieders, helpen bij het nemen van passende maatregelen. Vitale aanbieders zijn zelf verantwoordelijk voor de toepassing van deze instrumenten en het meewegen van nationale veiligheidsrisico’s. Hierbij kan het Rijk gevraagd en ongevraagd advies en ondersteuning bieden.
Dat een bepaald product of dienst, in dit geval camera’s, binnen een vitale sector afkomstig is van een Chinese aanbieder is niet per definitie onwenselijk. Uitgangspunt bij het beoordelen van risico’s is dat altijd een afweging plaatsvindt op de hierboven genoemde punten. Zoals ook eerder aan uw Kamer gemeld2, is het daarbij van belang na te gaan of de partij die de dienst of het product levert banden heeft met of onder controle staat van landen met een offensief inlichtingenprogramma of specifieke verplichtende wetgeving kent. Daarnaast is van belang te onderzoeken waar de partij toegang toe kan verkrijgen via de dienst of het product en of er beheersmaatregelen mogelijk en realiseerbaar zijn.
Op een zeer zorgvuldige en case-by-case-basis dienen deze risico’s te worden onderzocht.
In algemene zin is het dus mogelijk om binnen vitale sectoren apparatuur uit China te gebruiken, als dit zorgvuldig wordt afgewogen, er voldoende rekening wordt gehouden met de risico’s en eventuele noodzakelijke maatregelen worden genomen om mogelijke risico’s te beheersen.

Vraag 3

Gegeven dat bij de aanschaf en implementatie van gevoelige apparatuur rekening wordt gehouden met eventuele risico’s in relatie tot de leverancier, waaronder in het bijzonder het hebben van een offensief cyberprogramma gericht tegen Nederland en gegeven het feit dat de leverancier in kwestie daadwerkelijk over een offensief cyberprogramma beschikt, in hoeverre zijn bovenstaande omstandigheden geïntegreerd in het meewegen van de nationale veiligheidsrisico’s door de NS? Kunt u de overwegingen hierbij toelichten?

Zoals ook geschetst in het antwoord op vraag 2 van de schriftelijke vragen van 12 september jl. over het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen?», heeft NS laten weten dat zij diverse maatregelen heeft genomen zodat (statelijke) actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen. Dat geldt niet alleen voor de Chinese camera’s, maar voor álle camera’s.
Het gaat onder andere om de volgende maatregelen:
NS heeft mij laten weten dat zij menen dat door het toepassen van risicobeperkende maatregelen de risico’s beheersbaar zijn. Daarnaast heeft NS aangegeven gebruik te maken van de adviezen van de rijksoverheid, zoals ook geschetst in antwoord op vraag 2. Hierop houdt de toezichthouder toezicht.

Vraag 4

In hoeverre acht u de mitigerende maatregelen die door de NS zijn genomen zoals vastgesteld op 24 oktober jl. toereikend? Kunt u dit toelichten? Zo nee, waarom niet?

Vitale aanbieders, zoals de NS, zijn zelf verantwoordelijk voor de toepassing van de instrumenten die de rijksoverheid aanbiedt en het meewegen van nationale veiligheidsrisico’s (zoals genoemd in antwoord op vraag 2). NS heeft laten weten dat zij een risicoanalyse heeft doorlopen waarbij cyberrisico’s zijn meegewogen. Naar aanleiding daarvan heeft NS diverse maatregelen genomen om de kans op/gevolgen van deze risico’s te beheersen (zie ook antwoord op vraag 3).

Vraag 5

Bent u het ermee eens dat het wenselijk kan zijn voor de nationale veiligheid om het Nationaal Cyber Security Centrum (NCSC) advies te laten geven over individuele producten en diensten wanneer deze worden afgenomen door aanbieders werkzaam binnen een vitale sector? Zo ja, bent u bereid om het NCSC onderzoek te laten doen naar de camera’s van Chinese makelij die de NS in bezit heeft? Zo nee, waarom niet?

Vitale aanbieders, zoals de NS, zijn zelf verantwoordelijk voor de toepassing van instrumenten die de rijksoverheid aanbiedt en het meewegen van nationale veiligheidsrisico’s (zie ook antwoord op vraag 2). Organisaties zoals NS hebben eigen expertise in huis en weten zelf het beste hoe bepaalde producten en diensten worden toegepast, waar de te beschermen belangen en risico’s zitten en welke maatregelen mogelijk zijn om risico’s te verminderen. Het NCSC geeft geen advies over individuele producten of diensten, maar adviseert vitale aanbieders om risicomanagement te organiseren.

Vraag 1

Bent u bekend met het bericht «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers»?1

Ja, daarmee ben ik bekend.

Vraag 2

Kunt u een schatting geven hoeveel Nederlanders momenteel gebruik maken van TikTok? Hoeveel van deze gebruikers zijn kinderen?

In januari 2022 waren er ongeveer drie miljoen Nederlandse gebruikers van TikTok.2 De minimumleeftijd voor het gebruik van TikTok, volgens het beleid van TikTok, is 13 jaar. Bij TikTok is nagevraagd hoeveel van de gebruikers in Nederland minderjarig zijn. Hierbij heeft TikTok aangegeven dat zij deze informatie niet openbaar kunnen maken, omdat het voor TikTok bedrijfsgevoelige informatie betreft. Het is moeilijk met zekerheid vast te stellen hoeveel van de Nederlandse gebruikers minderjarig zijn. Hierbij speelt een rol dat de juistheid van de door gebruikers opgegeven leeftijd door TikTok niet wordt geverifieerd. Minderjarigen kunnen zich daarom als meerderjarigen voordoen. Uit onderzoek van de Britse (telecom) toezichthouder Office of Communications (Ofcom) bleek vorige maand dat één op de drie Britse kinderen een sociale media-account voor volwassenen heeft.3 Naar alle verwachting zijn er ook in Nederland kinderen die een account voor een volwassene hebben.

Vraag 3

Welke medewerkers hebben toegang tot de verzamelde informatie? Klopt het dat een deel van de medewerkers van TikTok een dubbelrol hebben bij de Chinese Communistische Partij en dat dus de Chinese overheid toegang krijgt tot al deze persoonlijke informatie?

Op dit moment weten we niet welke medewerkers van TikTok toegang hebben tot welke gegevens. TikTok is benaderd om hier meer informatie over te geven, maar TikTok heeft aangegeven hier geen antwoord op te kunnen geven. Uiteraard zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG) worden doorgegeven aan de Chinese overheid.
De voorwaarden waaronder persoonsgegevens vanuit de EU naar derde landen kunnen worden doorgegeven liggen vast in de AVG. Doorgifte van persoonsgegevens naar derde landen, waaronder China, dient plaats te vinden volgens hoofdstuk V van de AVG. Of er bij TikTok sprake is van een onrechtmatige doorgifte, is niet aan mij of dit kabinet om vast te stellen, maar aan de Autoriteit Persoonsgegevens (AP) of diens collega in de lidstaat waar TikTok haar hoofdzetel heeft.
Momenteel doet de Ierse toezichthouder (DPC) als leidende autoriteit van de EU onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het betreft een tweetal onderzoeken. Het eerste onderzoek richt zich op de verwerking van persoonsgegevens van minderjarige gebruikers in de context van de platforminstellingen van het TikTok-platform met betrekking tot accounts van gebruikers jonger dan 18 jaar en leeftijdsverificatiemaatregelen. Het onderzoek gaat ook na of TikTok heeft voldaan aan de transparantieverplichtingen van de AVG in het kader van de verwerking van persoonsgegevens van gebruikers jonger dan 18 jaar. Het tweede onderzoek richt zich op de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de AVG voor deze overdrachten.
De DPC is beide onderzoeken gestart in september 2021. De DPC heeft haar ontwerpbesluit in het eerste onderzoek begin september 2022 voorgelegd aan de toezichthouders – waaronder de AP – in de andere lidstaten. Dit maakt deel uit van het proces op grond van artikel 60 van de AVG. Voor het tweede onderzoek waar het gaat om de doorgifte naar derde landen heeft de Minister voor Rechtsbescherming de AP gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek.

Vraag 4

Kunt u toelichten om wat voor een data het hier gaat? Gaat het hier om persoonsgegevens, persoonlijke voorkeuren of psychologische profielen?

Het is mij niet bekend welke gegevens op welke manier verwerkt worden en welke TikTok-medewerkers toegang hebben tot welke gegevens. TikTok geeft in zijn privacybeleid aan welke gegevens worden verzameld. In zijn beleid schrijft TikTok dat gegevens onder drie categorieën wordt verzameld: (1) informatie die de gebruiker verstrekt, (2) automatisch verzamelde informatie en (3) informatie uit andere bronnen.
Het gaat hier o.a. om profielinformatie, gebruikerscontent en informatie uit directe berichten van gebruikers, maar ook om locatiegegevens van de gebruikers, technische gegevens met betrekking tot het apparaat van de gebruiker, gebruikers informatie en cookies. Ook wordt in gevallen door adverteerders op TikTok informatie over gebruikers gedeeld met TikTok.4

Vraag 5

Acht u het wenselijk dat de Chinese overheid toegang heeft tot dit soort informatie, met name ook over kinderen?

Zoals ik in antwoord op vraag 3 schreef, zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de AVG worden doorgegeven aan de Chinese overheid. Binnenkort ga ik met TikTok in gesprek in het kader van een serie gesprekken met verschillende grote tech-bedrijven. In dat gesprek zullen de hierboven genoemde uitgangspunten bij TikTok onder de aandacht worden gebracht.

Vraag 6

Bent u bereid om TikTok per direct op te roepen geen gegevens van Europese gebruikers opgeslagen binnen de Europese Unie met China te delen?

Zoals gemeld in antwoord op vraag 3 kan doorgifte van persoonsgegevens in derde landen rechtmatig plaatsvinden, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Op 18 juni 2021 heeft het Europees Comité voor Gegevensbescherming (EDPB) richtsnoeren vastgesteld die beogen bedrijven en organisaties handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG.
Ik vind het onacceptabel indien gegevens van Nederlandse burgers onrechtmatig worden gedeeld met de Chinese overheid. Binnenkort spreek ik met TikTok in het kader van een serie gesprekken met verschillende grote tech-bedrijven. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven.

Vraag 7

Welke stappen acht u noodzakelijk richting TikTok in Nederland en de Europese Unie zolang persoonlijke gegevens terecht komen in handen van de Chinese overheid?

Het is in de eerste plaats aan de onafhankelijke toezichthouder om onderzoek te doen naar rechtmatigheid van de verwerking van persoonsgegevens, en om daar vervolgens tegen op te treden. In het stelsel van de AVG zijn geen bevoegdheden toegekend aan het kabinet. Daarbij wil ik graag opmerken dat de toezichthouder binnen de AVG een breed scala aan bevoegdheden heeft tot het nemen van corrigerende maatregelen mocht zij dat nodig achten. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van betrokkene voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er ook een geldboete worden opgelegd en de toezichthouder kan ook een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten.
Zoals gezegd in het antwoord op vraag 3, voert de DPC momenteel onderzoek uit naar of de doorgifte van persoonsgegevens naar derde landen – waaronder China – voldoet aan de AVG-vereisten voor deze doorgifte. Daarnaast heeft de AP vorig jaar een boete van 750.000 euro aan TikTok opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers van TikTok kregen bij het installeren en gebruiken van de app was in het Engels en daardoor niet goed te begrijpen door jonge kinderen. Door de privacyverklaring niet in het Nederlands aan te bieden, legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Tijdens het onderzoek door de AP heeft TikTok zich gevestigd in Ierland en de AP was vanaf dat moment alleen nog bevoegd om te oordelen over de privacyverklaring van TikTok, omdat de overtreding was beëindigd.
Wat betreft de inzet van TikTok voor overheidscommunicatie kan ik u melden dat de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken (AZ) sinds september adviseert om de inzet van TikTok voor de rijksoverheid op te schorten vanwege zorgen over gegevensbescherming.

Vraag 8

Welke stappen worden er op dit moment binnen de Europese Unie gezet om de juridische kaders ten aanzien van adequate beveiliging van data-transfers wereldwijd te verduidelijken en uit te breiden om te voorkomen dat buitenlandse inlichtingendiensten toegang krijgen tot persoonsgegevens van Europese gebruikers?

Binnen de EU zijn bepalingen uit de AVG t.a.v. adequate beveiliging van data-transfer verduidelijkt via richtsnoeren van de EDPB (zie ook antwoord op vraag 6).5 Deze richtsnoeren beogen organisaties handvatten te bieden voor veiligheidsmaatregelen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG. Zo worden in deze richtsnoeren praktische voorbeelden gegeven van hoe veiligheidsmaatregelen getroffen kunnen worden. In deze richtlijnen staat bijvoorbeeld hoe gegevens gepseudonimiseerd kunnen worden doorgegeven en hoe gegevens versleuteld kunnen worden om deze te beschermen tegen toegang voor overheidsinstanties van het derde land.

Vraag 9

Welke stappen zet u richting de Europese Commissie om hier aandacht voor te vragen en actie op te ondernemen?

Zie het antwoord op vraag 10.

Vraag 10

Hoe geeft u uitvoering aan de afspraak uit het coalitieakkoord dat we kinderen beschermen door ze het recht te geven niet gevolgd te worden en geen dataprofielen te krijgen?

Wat betreft het recht van kinderen om niet gevolgd te worden en geen dataprofiel te krijgen is Europese wetgeving van belang. In het gegevensbeschermingsrecht hebben kinderen het recht op specifieke bescherming, met name bij het gebruik van hun persoonsgegevens voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). Deze bescherming zal versterkt worden door de Digital Services Act (DSA) die in 2024 in werking treedt. Het wordt dan voor zeer grote platforms zoals TikTok verboden om data van minderjarigen te verzamelen voor het profileren voor marketingdoeleinden
De Europese Commissie heeft in de geactualiseerde Better Internet For Kids (BIK+) strategie aangekondigd een EU gedragscode voor leeftijdsgeschikt ontwerpen te gaan publiceren. Deze gedragscode moet er aan bijdragen dat de verplichtingen neergelegd in de DSA en AVG worden nageleefd om zo te voorkomen dat kinderen gevolgd worden en dataprofielen krijgen. Wij zijn nauw betrokken bij deze Europese ontwikkelingen en maken ons er hard voor om de bescherming van kinderen in de digitale wereld verder te versterken.

Vraag 11

Kunt u deze vragen nog voor het begrotingsdebat Digitale Zaken op 14 november 2022 afzonderlijk beantwoorden?2

Ja.

Vraag 1

Bent u bekend met het bericht «Gestreste ondernemer is makkelijke prooi: trap niet in fraudeval»1?

Ja.

Vraag 2

Herkent u de trend dat fraudeurs steeds geraffineerder te werk gaan waardoor ondernemers eerder slachtoffer zijn van phishing of gijzelsoftware? Zo ja, op welke manier worden ondernemers voorgelicht over deze steeds geraffineerdere manier van werken van fraudeurs?

Ja. Uit het in opdracht van het Ministerie van Economische Zaken en Klimaat uitgevoerde cybersecurity onderzoek Alert Online 2022 blijkt dat 56% van de onderzochte organisaties in de 12 maanden voor het onderzoek met phishing te maken heeft gehad. Dergelijke mails zijn een veel gebruikte methode om diverse vormen van criminaliteit te plegen, waaronder online fraude2 en computervredebreuk. Ransomware (ook wel gijzelsoftware genoemd) betreft een specifieke vorm van cybercrime.3 Uit het cybersecurity onderzoek Alert Online 2022 blijkt dat ongeveer 1% van de organisaties met ransomware te maken kreeg. Kleinere organisaties blijken er vaker last van te hebben dan grotere. Van de kleine organisaties betrof het 2,4%.4
Het Ministerie van Economische Zaken en Klimaat (EZK) heeft het Digital Trust Center (hierna ook: DTC) opgericht met als taak het digitaal weerbaarder maken van ondernemers tegen toenemende cyberdreigingen. Het DTC deelt via de website, social media kanalen en de DTC Community de voor ondernemers relevante algemene informatie over cyberdreigingen en kwetsbaarheden. Bedrijfsspecifieke dreigingsinformatie wordt – proactief ongevraagd en in specifieke gevallen gevraagd – gedeeld met individuele bedrijven. U bent hierover geïnformeerd in de brief van 27 juni 2022 met betrekking tot de voortgang van de informatiedienst van het DTC.5 Op deze manier kunnen bedrijven snel actie ondernemen om een cyberaanval te voorkomen of de schade te beperken.
Ook verspreidt het Digital Trust Center via de DTC Community dreigingsinformatie vanuit het Nationaal Cyber Security Centrum (hierna ook: NCSC), zijnde onderdeel van het Ministerie van Justitie en Veiligheid, en biedt het DTC via dit kanaal aangesloten bedrijven de mogelijkheid om, in een besloten omgeving, actuele en relevante informatie met elkaar uit te wisselen. Voorbeelden hiervan zijn vragen, discussies of onderzoeken over phishing en/of ransomware.
Tenslotte biedt het Digital Trust Center naast de phishing-quiz die op de website van het DTC staat, veel laagdrempelige informatie over onder andere phishing. Met een verscheidenheid aan tools en content op de website en social media kanalen van het DTC worden ondernemers geïnformeerd over het herkennen van phishing.
Het Ministerie van Justitie en Veiligheid is coördinator van de integrale aanpak online fraude en de integrale aanpak cybercrime. Voorts is in beide aanpakken aandacht voor de voorlichting van ondernemers over phishing. In het kader van de integrale aanpak online fraude loopt de verkenning naar welke wijze het bedrijfsleven het beste voorgelicht en ondersteund kan worden om slachtofferschap te voorkomen.
In de Kamerbrief naar aanleiding van de moties van de leden Ephraim en Hermans van 6 juli 20226 bent u geïnformeerd over de activiteiten om cybercrime in het midden- en kleinbedrijf tegen te gaan. In de Kamerbrief over de integrale aanpak van cybercrime van 4 november 20227 is een overzicht van activiteiten van de aanpak van cybercrime opgenomen. Het informeren van ondernemers over maatregelen die zij kunnen nemen om geen slachtoffer te worden en schade te beperken, maakt daar deel van uit. Het betreft onder meer een campagne voor het stimuleren van multi-factorauthenticatie, de City Deal Lokale Weerbaarheid Cybercrime waarin gemeenten worden ondersteund door het Ministerie van Justitie en Veiligheid, om preventieve maatregelen te stimuleren, de factsheet Ransomware waarmee het NCSC en het DTC een overzicht geven van de verschillende soorten ransomware en maatregelen die organisaties kunnen nemen om een aanval te voorkomen, en het Incidentresponsplan ransomware van het NCSC met praktische handvatten om bij een ransomwareaanval adequaat te reageren.

Vraag 3

In hoeverre hebben ondernemers aangifte gedaan van phishing? Is hier sprake van een stijgende of dalende trend? Welke mogelijkheden ziet u om de aangiftebereidheid onder ondernemers te verhogen?

Aangiften van bedrijven worden vaak gedaan door een persoon en het bedrijf wordt niet altijd genoemd in de registratie. Hierdoor is het moeilijk vast te stellen hoe vaak ondernemers aangifte doen van phishing. Uit de aangiftecijfers van 2022 blijkt dat 2,5% van de aangiften van phishing is gedaan door een ondernemer. Er is sinds juni 2022 een stijgende trend te zien in het aantal aangiften van phishing door ondernemers. De reden hiervoor is onbekend. In het algemeen wordt een ieder aangespoord om aangifte te doen van een strafbaar feit. Het is mogelijk om digitaal aangifte te doen voor meerdere vormen van online criminaliteit waaronder phishing. Met deze optie wordt de drempel om aangifte te doen verlaagd.

Vraag 4

Bent u het ermee eens dat het niet altijd makkelijk is om in te schatten of je met een bonafide bedrijf of persoon zaken doet en contact hebt? Zo ja, welke rol zou de overheid hierin kunnen spelen? Zo nee, waarom niet?

Ja. Fraudeurs en cybercriminelen maken namelijk gebruik van social engineering, een techniek waarbij misbruik wordt gemaakt van de menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
Het Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat, publiceert adviezen, handelingsperspectieven en tools om de kennis bij ondernemers te verhogen, bijvoorbeeld door voorbeelden te geven van phishingmails. Het Ministerie van Justitie en Veiligheid en het Ministerie van Algemene Zaken verkennen welke interventies kunnen worden ingezet om veilig gedrag te bevorderen.
Meerdere partijen waarschuwen daarnaast voor verschillende vormen van online fraude en zetten gerichte campagnes daartoe in. Bijvoorbeeld door de Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, tezamen met de Autoriteit Consument en Markt, de politie, het Europees Consumenten Centrum en de Consumentenbond waarschuwen het publiek rond Black Friday, Sinterklaas en Kerst voor nepwebshop en aan- en verkoopfraude met de campagne «Eerst Checken, dan bestellen».
Ook de Nederlandse Vereniging van Banken waarschuwt voor social engineering in de campagne «zo werkt een fraudeur». In deze campagne wordt de werkwijze van de fraudeurs uiteengezet, zodat men deze vormen van fraude snel kan herkennen.
Ten slotte heeft Slachtofferhulp Nederland in november een nieuwe campagne gelanceerd «online oplichting is een serieuze misdaad». Slachtoffers worden daarin opgeroepen hulp te zoeken bij Slachtofferhulp Nederland.

Vraag 5

Bent u het ermee eens dat de ondersteuning van gedupeerde ondernemers van phishing verbeterd moet worden? Zo ja, hoe gaat u dat doen? Zo nee, waarom niet?

Slachtoffer worden van phishing kan voor ondernemingen zeer ernstige gevolgen hebben. Daarom is het van groot belang dat ondernemers in eerste instantie zelf investeren in de eigen digitale veiligheid. Daarnaast is het mogelijk je te verzekeren bij een verzekeraar tegen schade als gevolg van cyberincidenten. Bij een cyberincident kan bovendien ondersteuning worden geboden door cybersecuritybedrijven. Met deze maatregelen kan een onderneming zelf de mogelijke schade voorkómen of beperken.
Er zijn verschillende instanties die ondernemers daarbij ondersteunen, zowel bij het voorkomen van schade als het oplossen daarvan. De Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, kan adviseren en doorverwijzen naar instanties die specifiek verder kunnen ondersteunen. Ook kunnen gedupeerde ondernemers aangifte doen bij de politie. Daarnaast biedt Slachtofferhulp Nederland de individuele slachtoffers van phishing ondersteuning en emotionele hulp.

Vraag 6

Bent u het ermee eens dat er ook voor de telecomsector een rol weggelegd is om frauduleuze telefoontjes en misbruik van nummers tegen te gaan? Zo ja, bent u bereid hierover met de sector in gesprek te gaan en te kijken waar aanvullende maatregelen mogelijk zijn en de Kamer hierover te informeren?

Ja. Hierover is de Minister van Economische Zaken en Klimaat, samen met de Autoriteit Consument en Markt, reeds in overleg met de sector. Dit overleg vindt plaats mede in het kader van een wetsvoorstel voor aanscherping van het spoofingverbod, een beperking van het gebruik van Nederlandse nummers vanuit het buitenland en flankerende maatregelen. Bij de aanpak door de telecomsector wordt aangesloten bij de integrale aanpak van online fraude. Hierover is uw Kamer geïnformeerd met de brief van 8 juli 2022.8

Vraag 7

Herkent u het beeld dat de vele campagnes en trainingen onvoldoende effect lijken te hebben en dat het essentieel is om van jongs af aan bewust te zijn van gevaren van de online wereld en bent u bereid om online oplichting een prominente plek te geven in de pilot cyberrijbewijs voor basisscholen? Zo nee, waarom niet? Zo ja, kunt u de Kamer hierover informeren?

Het effect van de combinatie van bewustwordingsmaatregelen is lastig te meten. Wel blijkt uit onder meer het Cybersecurity onderzoek Alert Online 2022 dat bewustwording nog nadere aandacht behoeft. Zo komt uit dit onderzoek naar voren dat een derde van de medewerkers van bedrijven hun kennis over online veiligheid als (zeer) slecht tot matig inschat.
Het project Mijn cyberrijbewijs is in samenwerking met FutureNL en het Ministerie van Justitie en Veiligheid ontwikkeld. Dit project maakt deel uit van de inspanningen om bewustwording te vergroten bij de jeugd. Begin oktober is de interventie Mijn Cyberrijbewijs gelanceerd: een gratis lesprogramma voor groep 7 en 8 van het primair onderwijs. Online oplichting krijgt hierin als fenomeen, een prominente plek. Naast kennis over schadelijke fenomenen geeft de verkenning «Online Ontspoord»9 van het Rathenau Instituut aanknopingspunten om digitale weerbaarheid onder van doelgroep verder te ontwikkelen. In dit onderzoek zijn 18 mechanisme in kaart gebracht die ervoor zorgen dat online gedrag sneller ontspoort dan in het fysieke domein. Mijn Cyberrijbewijs maakt jonge mensen bewust van deze mechanismes en de online risico’s.
Het ECP Platform voor de Informatiesamenleving vormt daarnaast samen met het expertisecentrum voor Online Kindermisbruik en het Netwerk Mediawijsheid Safer Internet Center voor kinderen een nationale invulling van de Europese strategie voor een beter internet voor kinderen. In het netwerk kijken overheid, bedrijfsleven en maatschappelijke organisaties hoe kinderen en jongeren op een veilige manier de digitale wereld kunnen betreden, bijvoorbeeld met lespakketten voor scholen of speciale uitgaven van de Donald Duck, de zogenaamde Digiducks.

Vraag 8

Welke belemmeringen ervaart de Fraudehelpdesk om ondernemers en burgers zo goed mogelijk te kunnen informeren over malafide personen, websites en bedrijven? Bent u bereid deze weg te nemen? Zo nee, waarom niet?

Bij de Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, kunnen slachtoffers melding maken van fraude en oplichting. De Fraudehelpdesk biedt voorlichting en verwijst slachtoffers zo nodig door voor hulp en het doen van aangifte. De Fraudehelpdesk wil voor een goed onderbouwd advies aan melders gegevens kunnen verwerken, zoals telefoonnummers, sms en mogelijk malafide links. De Fraudehelpdesk heeft hiervoor een vergunning aangevraagd, maar de Autoriteit Persoonsgegevens (AP) heeft de aanvraag afgewezen. De Fraudehelpdesk heeft hiertegen beroep ingesteld. Dit is nog onder de rechter.
Het is belangrijk dat relevante gegevens gedeeld kunnen worden, bijvoorbeeld over modus operandi. Zoals aangegeven in de brief van 8 juli jl. verkent het Ministerie van Justitie en Veiligheid o.a. met meldpunten, waaronder de Fraudehelpdesk, hoe we dit binnen de kaders van de AVG vorm kunnen geven.

Vraag 9

Bent u het ermee eens dat landen als België een zeer interessante aanpak hebben in het voorkomen van phishing door informatie over malafide websites snel binnen te halen en te verspreiden en daarmee slachtoffers te voorkomen? Zo nee, waarom niet? Zo ja, kunt u de Kamer informeren hoe u lessen gaat trekken van andere landen en daarmee Nederlanders een stukje veiliger houdt?

Ja. Zoals gemeld in de bijlage bij de Kamerbrief over de integrale aanpak van cybercrime van 4 november jl. verkent het Ministerie van Justitie en Veiligheid, tezamen met het NCSC of een «anti-phishing-schild» naar Belgisch voorbeeld ook in Nederland kan worden opgezet. Daarmee zou het mogelijk worden criminele links in berichten te melden om deze vervolgens onschadelijk te maken, dan wel van een waarschuwing te voorzien. Dit zou het slachtofferschap van phishing en daaropvolgende delicten kunnen tegengaan.

Vraag 1

Bent u bekend met het artikel «Tech-icoon Eline Leijten: elke klik van onze kinderen wordt geregistreerd»?1

Ja.

Vraag 2

Hoe duidt u de tekst uit het artikel «Elke klik van onze kinderen wordt ergens geregistreerd. Zelfs op school worden hun activiteiten opgeslagen. Hun digitale profielen kunnen commercieel worden uitgebuit. Dan krijgen ze gepersonaliseerde advertenties en berichten»?

Scholen slaan gegevens op van leerlingen noodzakelijk voor het volgen van hun ontwikkelingsproces. Dat gaat met name om leerresultaten, maar in voorkomende gevallen ook over verrichte activiteiten. Om een veilige leeromgeving te kunnen garanderen is het belangrijk dat deze gegevens in het onderwijs blijven en niet voor andere doeleinden worden gebruikt. De Algemene verordening gegevensbescherming (AVG) verbiedt commercieel gebruik van digitale profielen van leerlingen. Schoolbesturen zijn als «verwerkingsverantwoordelijke» zelf verantwoordelijk voor de naleving daarvan en moeten afspraken maken met leveranciers van die producten waarin gegevens van leerlingen worden verwerkt. Om hen daarbij te ondersteunen hebben de PO-Raad en VO-raad samen met leveranciers het «Convenant digitale onderwijsmiddelen en privacy» (hierna: Privacyconvenant) opgesteld waarin is afgesproken dat leerlinggegevens nooit gebruikt mogen worden voor reclamedoeleinden. Meer dan 400 aanbieders van digitaal lesmateriaal hebben het Privacyconvenant ondertekend. Deze afspraken worden ook actief gecontroleerd door convenantpartijen (PO-Raad, VO-raad, MBO Raad en brancheverenigingen van leveranciers). De organisaties SIVON en SURF voeren daarnaast met scholen en instellingen centrale Data Protection Impact Assessments (DPIA’s) uit op digitale producten die veel worden gebruikt in het onderwijs. Een DPIA is het instrument om privacy risico’s van een product in kaart te brengen. Op basis van deze DPIA’s zijn er specifieke afspraken gemaakt om de privacy van leerlingen optimaal te beschermen. Schoolbesturen die de aanbevelingen uit de DPIA’s opvolgen en hun taak als verwerkingsverantwoordelijke juist invullen, borgen zo dat data van leerlingen veilig zijn en in het onderwijs blijven. Bij zorgen over privacy kunnen mensen zich melden bij de Autoriteit Persoonsgegevens, die houdt hier toezicht op.

Vraag 3

Wat vindt u ervan dat kinderen in digitale bubbels en echokamers terecht komen, waardoor hun gedachtengoed wordt beïnvloed en mogelijk verstoord? Hoe ziet u de taak van leraren om kinderen voor te lichten en toe te rusten, zodat zij op een veilige en vrije manier hun weg kunnen vinden in de online wereld? Op welke manier krijgt «omgaan met echo kamers en filterbubbels» een plek in het onderwijs, bijvoorbeeld bij «Mediawijsheid»? Deelt u de mening dat het onderwijs een rol heeft om kinderen te onderwijzen in de kansen en risico’s van het internet, bijvoorbeeld bij zaken zoals informatievergadering en cyberpesten? Zo ja, hoe ziet u die rol?

Ik vind het onwenselijk dat kinderen in digitale bubbels en echokamers terechtkomen. De digitale omgeving wordt steeds groter voor kinderen en volwassenen. En goed kunnen navigeren in deze digitale wereld, waarin ook rekening gehouden moet worden met de mogelijke beïnvloeding van kinderen, is onmisbaar in de samenleving. Het is belangrijk dat álle leerlingen goed onderwezen worden in digitale vaardigheden en de kansen en risico’s in de digitale wereld. Dat betekent onder andere dat kinderen goed moeten weten hoe zij informatie moeten kunnen vinden, beoordelen en verwerken, maar ook dat zij weten hoe zij zich moeten gedragen op bijvoorbeeld social media, hoe zij zich kunnen weren tegen cyberpesten en dat zij media bewust, kritisch en actief kunnen inzetten.
In het funderend onderwijs wordt hier de basis voor gelegd, daarom is de SLO (Stichting Leerplan Ontwikkeling) dit schooljaar gestart met de ontwikkeling van de kerndoelen voor onder andere digitale geletterdheid. Deze kerndoelen worden verankerd in het curriculum waarmee scholen verplicht worden hier onderwijs in te verzorgen. De invulling van deze kerndoelen voor digitale geletterdheid, en ook de invulling van thema’s als mediawijsheid, worden in de komende maanden verder vormgegeven.
In aanloop naar de kerndoelen voor digitale geletterdheid wordt vanaf 2023 middels een ondersteuningsstructuur de mogelijkheid aan scholen geboden om aan de slag te gaan met digitale geletterdheid. Dit is in aanvulling op het bestaande ondersteuningsaanbod en passend bij de behoeften in het onderwijsveld. Zo zijn bijvoorbeeld al verschillende lesmethoden ontwikkeld over mediawijsheid en online veiligheid door netwerkpartners binnen het Netwerk Mediawijsheid, zoals Mijn Cyberrijbewijs, Online Masters, Nationaal Media Paspoort, InternetHelden en HackShield in de klas. Voor het aankaarten van filterbubbels kunnen scholen onder andere gebruik maken van de website Isdatechtzo.nl, een initiatief van Netwerk Mediawijsheid in samenwerking met Beeld en Geluid Den Haag en ECP.
Ten slotte hebben de scholen op basis van de aangescherpte burgerschapsopdracht de plicht om de sociale en maatschappelijke competenties van leerlingen te ontwikkelen om hen zo in te staat stellen deel uit te maken van en bij te dragen aan de pluriforme, democratische Nederlandse samenleving. Daarnaast moeten zij hen onder meer kennis over en respect voor verschillen in godsdienst, levensovertuiging, politieke gezindheid, afkomst, geslacht, handicap of seksuele gerichtheid bijbrengen. Daarmee worden actief burgerschap en de sociale cohesie bevorderd, wat een tegenwicht biedt tegen onder andere cyberpesten, maar ook bubbels en echokamers.

Vraag 4

Welke stappen neemt u om scholen te vragen aandacht te besteden aan online veiligheid van kinderen? Kunt u de Kamer hiervan op de hoogte houden, ook ten aanzien van het tijdspad?

Zoals in het antwoord op vraag 3 is toegelicht, worden er in het funderend onderwijs voor digitale geletterdheid kerndoelen ontwikkeld, die verankerd worden in het curriculum. Vanaf 2023 wordt in aanloop van deze kerndoelen een ondersteuningsstructuur opgezet. De Kamer zal over het verdere proces van digitale geletterdheid vanuit het masterplan basisvaardigheden eind 2022 verder geïnformeerd worden.

Vraag 5

Wat is de status van de ambitie uit het regeerakkoord waarin staat dat kinderen worden beschermd tegen niet-passende «online» reclame en kindermarketing en waarin kinderen het recht krijgen om niet gevolgd te worden en geen dataprofielen te krijgen? Zo ja, welke stappen gaan er op nationaal en Europees niveau gezet worden om deze ambitie te verwezenlijken?

De Nederlandse overheid heeft maar beperkt invloed op dit speelveld en een groot deel van kindermarketing vindt online plaats. Aan deze ambitie wordt in Europees verband invulling gegeven. De in juli 2022 aangenomen Europese Verordening inzake digitale diensten (DSA) bevat een verbod op het gebruik van data van minderjarigen voor gerichte reclame. Daarnaast schrijft de Europese audiovisuele mediadienstenrichtlijn voor dat videoplatformdiensten zoals YouTube en TikTok transparant moeten zijn over reclame en maatregelen moeten treffen tegen niet-passende content voor minderjarigen. Voor de publieke omroep geldt overigens een verbod op reclame rondom kinderprogrammering. In de Kinder- en Jeugdreclamecode van de Stichting Reclame Code zijn verdere eisen met betrekking tot reclame gericht op kinderen en jongeren opgenomen.

Vraag 1

Bent u bekend met het bericht «Ruim 900 Nederlandse bedrijven in handen van Chinezen: «Risico op spionage»»?1

Ja.

Vraag 2

Herkent u de zorgen en signalen uit dit artikel en, zo ja, hoe apprecieert u deze?

Buitenlandse investeringen en internationale samenwerking zijn belangrijke pijlers voor het verdienvermogen van de Nederlandse economie. Het levert een belangrijke bijdrage aan de Nederlandse innovatiepositie, concurrentievermogen en welvaart. Tegelijkertijd zien we dat heimelijke en niet-heimelijke middelen, waaronder spionage, door statelijke actoren in het economische domein worden ingezet. Hierbij kunnen andere motieven spelen dan strikt financieel-economische, waardoor onder meer onze nationale veiligheidsbelangen kunnen worden geschaad.2 Het kabinet neemt gepaste maatregelen om Nederland weerbaar te maken tegen de dreiging van statelijke actoren. Zo wordt er onder andere gewerkt aan de invoering van de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo), het Wetsvoorstel uitbreiding strafbaarheid spionage en kennisveiligheidsbeleid. Sinds 2020 is ook de Wet ongewenste zeggenschap telecommunicatie (Wozt) in werking. Het kabinet zet ook in op meer algemene maatregelen ter versterking van digitale weerbaarheid, zoals in de telecomsector is gedaan middels het Besluit veiligheid en integriteit telecommunicatie en de daaruit volgende beschikkingen en een ministeriële regeling. Daarnaast kijken we nauwlettender naar risicovolle strategische afhankelijkheden, van Rusland, van China en van andere derde landen, en het mitigeren van risico’s voor onze nationale veiligheid die daaruit voortvloeien.

Vraag 3

Was de Nederlandse staat al bekend met het feit dat dit aantal Nederlandse bedrijven in Chinese handen is?

De meest recente cijfers (CBS: Nederland Handelsblad 20223) laten zien dat het aantal Chinese multinationals in Nederland tussen 2018 en 2022 met 45 bedrijven afnam naar 510. Een andere bron is het Ultimate Beneficial Owner (UBO) register van de Kamer van Koophandel. Deze informatie is beschikbaar via openbare bronnen.
Bovendien hoeven dergelijke gegevens niet direct iets te zeggen over risico’s voor nationale veiligheid. Afhankelijkheid van derde landen is een gegeven in Nederland. De aanwezigheid van Chinese bedrijven is dat ook en niet per definitie onwenselijk. Het wordt onwenselijk als de aanwezigheid van de buitenlandse partijen onze belangen schaadt, indien de continuïteit van vitale processen, de integriteit en exclusiviteit van informatie en kennis wordt aangetast en/of risicovolle strategische afhankelijkheden ontstaan. Om ons daar weerbaar tegen te maken neemt het kabinet in het kader van het tegengaan van de dreiging tegen statelijke actoren gepaste maatregelen, zoals ook genoemd onder het antwoord op vraag 2.
De rijksoverheid houdt middels de inlichtingen- en veiligheidsdiensten zicht op actuele dreigingen. De diensten hebben onder meer tot wettelijke taak onderzoek te verrichten naar (de inlichtingenactiviteiten van) andere landen. Ook hebben zij tot taak maatregelen ter bescherming van o.a. de nationale veiligheid te bevorderen, waaronder de vitale sectoren. In dat kader onderhouden de diensten nauwe contacten met relevante onderdelen van het Nederlandse bedrijfsleven.

Vraag 4

Zo nee, wat is de reden dat dit niet wordt bijgehouden en deelt u de mening dat actueel inzicht in de Chinese aanwezigheid in Nederland van belang is voor de nationale veiligheid, mede gezien de conclusie van de Algemene Inlichtingen- en Veiligheidsdienst eerder dit jaar dat China op dit moment de grootste bedreiging voor de economische veiligheid in Nederland is?

Zie antwoord vraag 3.

Vraag 5

Hoeveel bedrijven in Nederland hebben een aanmerkelijke Chinese minderheidsaandeelhouder, in de orde van grootte van vijf tot 50 procent van de eigendom? Als hier geen zicht op is, waarom niet?

Het kabinet houdt geen actief overzicht bij van eigendomsstructuren van bedrijven – ook omdat aandelenbelangen continu van eigenaar veranderen – en kan indien nodig gebruikmaken van reeds beschikbare data. Openbare bronnen, zoals het hierboven genoemde CBS, waar aandeelhouderschap van bedrijven wordt bijgehouden hebben meestal enkel data waarbij het aandelenpercentage 50% of hoger is. Er zijn daarnaast ook private partijen die dergelijke aandeelhoudersstructuren bijhouden.

Vraag 6

Deelt u de mening dat het onwenselijk is dat in de haven van Rotterdam meerdere strategische bedrijven in Chinese handen zijn, gezien de vitale functie van de Rotterdamse haven in onze economie en samenleving? Zo ja, kunt u dit toelichten? Zo nee, waarom niet?

Ik ben met u van mening dat het essentieel is dat de Rotterdamse haven haar belangrijke maritiem-logistieke functie voor onze economie onafhankelijk en veilig kan blijven uitoefenen. Het mitigeren van risico’s als gevolg van risicovolle strategische afhankelijkheden en het tegengaan van ongewenste kennisoverdracht is binnen alle vitale processen een aandachtspunt. Een scenario-onderzoek – in opdracht van het interdepartementale Kennisnetwerk China – dat recentelijk is uitgevoerd toont aan dat Chinese actoren reeds zeer invloedrijk zijn in het internationale maritiem-logistieke domein en dat China-gerelateerde goederenstromen een grote rol in de Nederlandse maritiem-logistieke hub-functie spelen. Het zowel behouden van deze prominente hub-functie als het beschermen van strategische bewegingsruimte staat daarmee onder druk. Dit vraagt om een zorgvuldige afweging tussen economisch belang, open strategische autonomie en nationale veiligheid. Het is daarbij belangrijk om te blijven bezien of het instrumentarium dat voorhanden is om risico’s te voorkomen of te verminderen, afdoende is. Afstemming met onze buurlanden en de Europese Commissie is daarbij tevens essentieel. Het kabinet onderzoekt daarom momenteel – samen met deze partijen – in hoeverre reeds bestaand instrumentarium een antwoord kan bieden en hoe dit, indien nodig, aangepast kan worden.

Vraag 7

Welke mogelijkheden biedt de Wet veiligheidstoets, investeringen, fusies en overnames om toezicht te houden op de huidige Nederlandse bedrijven in Chinese handen?

De Wet Vifo is landenneutraal en is gericht op het toetsen van verwervingsactiviteiten, ongeacht waar de investeerder vandaan komt. Dit om onder meer omzeilingsconstructies en afhankelijkheden van anderen te voorkomen. Inwerkingtreding van de wet is voorzien in het eerste kwartaal 2023. Artikel 58 van de wet biedt de tijdelijke mogelijkheid om verwervingsactiviteiten in vitale aanbieders en/of bedrijven die actief zijn op sensitieve technologie, die hebben plaatsgevonden voorafgaand aan de inwerkingtreding, maar na 8 september 2020, alsnog aan een toets te onderwerpen. Dit kan indien er een redelijk vermoeden is ontstaan dat deze verwervingsactiviteiten een risico voor de nationale veiligheid zouden kunnen vormen. De Wet Vifo biedt geen mogelijkheid om toezicht te houden op verwervingsactiviteiten die voor 8 september 2020 hebben plaatsgevonden en/of niet onder het toepassingsbereik van de wet vallen. Het toezicht van de Wet Vifo is uiteraard ook na inwerkingtreding van toepassing op verwervingsactiviteiten in huidige Nederlandse bedrijven die onder het toepassingsbereik vallen. Hierbij zal naar verwachting steeds beter inzicht ontstaan over investeringen uit specifieke landen die onder de wet vallen.

Vraag 8

Vindt u dat er momenteel voldoende mogelijkheden zijn om zicht te houden op ongewenste investeringen en overnames en deze tegen te gaan? Als dit niet het geval is, deelt u dan de mening dat dit een lacune in de huidige wetgeving betreft? Zo ja, hoe bent u voornemens deze lacune te dichten? Bijvoorbeeld door de Wet veiligheidstoets, investeringen, fusies en overnames uit te breiden?

Het kabinet beschikt over een uitgebreid stelsel van investeringstoetsingen. Dit stelsel bestaat naast de Wet Vifo ook uit sectorale investeringstoetsen op het gebied van telecommunicatie, gas en elektriciteit. Daarnaast is een sectorspecifiek wetsvoorstel voor de defensie-gerelateerde industrie in voorbereiding. De Wet Vifo fungeert hierin als vangnet voor vitale processen. Daarnaast heeft de Wet Vifo betrekking op bedrijven die actief zijn op het gebied van sensitieve technologie. Momenteel wordt gewerkt aan een algemene maatregel van bestuur om het toepassingsbereik van de Wet Vifo te verfijnen. Deze algemene maatregel van bestuur zal volgens amendement-Van Strien4 worden voorgehangen in uw Kamer.
Daarnaast investeert het kabinet in meer kennisopbouw over investeringen en overnames in Nederland, zoals het onderzoek naar de invloed van Chinese actoren in het internationale maritiem-logistieke domein.

Vraag 9

Welke mogelijkheden ziet u om, in het licht van de ontwikkelingen in de de afgelopen tijd, waarbij bepaalde landen evident een kwalijke rol spelen, van een «landenneutraal» beleid richting een meer landenspecifiek en proactief beleid te gaan? Deelt u de mening dat betreffende statelijke dreigingen dermate structureel, grootschalig, vergaand en moeilijk te bestrijden zijn dat de bewijslast moet worden omgekeerd, zodat proactief en schaalbaar gehandeld kan worden? Welke mogelijkheden ziet u om een dergelijk effectief beleid op te tuigen?

De kracht van de Nederlandse economie is haar open karakter, waarbij het principe is dat buitenlandse activiteiten in beginsel welkom zijn. Ook is Nederland een groot voorstander van het op regels gebaseerde multilaterale handelssysteem en de WTO, waar het non-discriminatiebeginsel fundamenteel is. Dit heeft een goede reden: Nederland wil immers ook dat andere landen niet tegen ons discrimineren. Landenneutrale wetgeving respecteert tevens het verbod op discriminatie zoals neergelegd in artikel 14 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Daarnaast is het van belang dat instrumentarium toepasbaar blijft op veranderende dreigingen en geopolitieke ontwikkelingen en omzeilingsconstructies voorkomen kunnen worden.
Om deze redenen geeft het kabinet de voorkeur aan een landenneutraal wettelijk instrumentarium; maar waar nodig worden binnen die kaders of in de toepassing gerichte(re) maatregelen getroffen om de dreiging van bepaalde statelijke actoren te verminderen, statelijke actoren te ontmoedigen of de weerbaarheid van Nederland te vergroten. Daarvoor is een samenhangende en diverse set aan maatregelen en instrumenten nodig die Nederland in staat stelt zich hiertegen te verweren. In de Kamerbrief tegengaan statelijke dreigingen is nader ingegaan op de aanpak rondom het tegengaan van statelijke dreigingen5. Op korte termijn zal uw Kamer nader worden geïnformeerd over de aanpak van statelijke dreigingen.

Vraag 10

Hoeveel van de in het artikel genoemde 900 bedrijven zijn direct actief in of voeren werkzaamheden uit gerelateerd aan de vitale sectoren of sensitieve technologie?

Departementen wijzen onder hun beleidsverantwoordelijkheid organisaties aan als vitale aanbieders wanneer deze partij essentieel is voor de continuïteit en weerbaarheid van een vitaal proces. Hierdoor heeft het kabinet goed zicht op de organisaties binnen de vitale sectoren en worden er passende weerbaarheidsmaatregelen getroffen.
Het kabinet heeft geen alomvattende lijst van bedrijven die direct actief zijn in of werkzaamheden uitvoeren gerelateerd aan sensitieve technologieën. Wel heeft het kabinet zicht op de export van goederen en technologie met een dual-use karakter die voorkomen op de bijlagen van de EU Dual-Use Verordening (EUR2.021/821) naar buiten de Europese Unie. Daarnaast is er ook zicht op de totale export van goederen en technologie die voorkomen op de Gemeenschappelijke EU-Lijst van Militaire Goederen. Relevante bedrijven zijn bekend bij de douane en het Ministerie van Buitenlandse Zaken. Bedrijven hebben, na inwerkingtreding, ook een meldplicht bij het Bureau Toetsing Investeringen in het kader van de Wet Vifo. Daarnaast is er uiteraard veel contact met bedrijven, wat ook bijdraagt aan zicht op deze categorieën bedrijven.
Tegelijkertijd is het voor het kabinet niet mogelijk en vanwege de impact op het vestigings- en ondernemersklimaat ook niet wenselijk om bij ieder bedrijf te komen controleren wat zij precies doen, mits zij zich aan de bestaande wet- en regelgeving houden.

Vraag 11

Welke instrumenten heeft de overheid op dit moment om te monitoren of sensitieve kennis en technologie niet via deze 900 bedrijven weglekt naar China? Zijn dat er voldoende? Zo niet, waar ontbreekt het momenteel aan en welke mogelijkheden ziet u om dit te verhelpen?

Het kabinet zet zich actief in om Nederland weerbaar te maken tegen de dreiging vanuit statelijke actoren.6 Hiervoor beschikken we over een breed palet aan instrumenten om ongewenste kennis- en technologieoverdracht tegen te gaan. Naast de al genoemde instrumenten als exportcontrole en investeringstoetsing, zijn dat onder meer de uitbreiding strafbaarstelling spionage, het aanwijzen van vertrouwensposities, maatregelen op veilige inkoop en kennisveiligheidsmaatregelen. Over dit bredere bestuurlijke en juridische instrumentarium is uw Kamer geïnformeerd per brief op 8 juli 2022 (Kamerstuk 32 637 / 30 821, nr. 501).

Vraag 12

Hoeveel van deze 900 bedrijven zijn tevens erkend referent bij de Immigratie- en Naturalisatiedienst?

Zonder uitspraken te doen over de status van de bedrijven op de lijst van RTL en Follow the Money, hebben van de 903 bedrijven op deze lijst, inclusief hun dochters (1.369), 243 bedrijven de erkend referentstatus. Dit is openbare informatie, aangezien alle bedrijven met een erkend referentstatus te vinden zijn in het openbaar register erkende referenten.
De kennismigrantenregeling, en daarbij de erkend referentsystematiek, is in het leven geroepen om de Nederlandse kenniseconomie te stimuleren en hoogopgeleide medewerkers van buiten de EU aan te trekken en te behouden. Alleen bedrijven die de status van erkend referent hebben kunnen vreemdelingen via de kennismigrantenregeling naar Nederland halen. Misbruik wordt zo veel mogelijk voorkomen, onderkend en aangepakt. In dit verband is het nuttig om te benadrukken dat momenteel in een interdepartementaal traject in brede zin wordt onderzocht hoe ongewenste kennis- en technologieoverdracht naar statelijke actoren zich onder meer verhoudt tot het erkend referentschap en hoe mogelijke ongewenste overdracht kan worden tegengegaan. Hierover wordt uw Kamer binnenkort verder geïnformeerd in de Kamerbrief Aanpak statelijke dreigingen en aanbieding dreigingsbeeld statelijke actoren 2.

Vraag 13

Hoeveel van deze 900 bedrijven ontvangen tevens staatssteun in eigen land, in directe dan wel in indirecte vorm, door bijvoorbeeld te profiteren van een onevenredig afgeschermde thuismarkt?

Als bedrijven staatssteun ontvangen is er niet zonder meer sprake van oneerlijke concurrentie. Ook binnen de EU ontvangen bedrijven staatssteun. Binnen de EU is staatssteun echter aan strikte regels gebonden om te voorkomen dat het gelijk speelveld verstoord wordt. Als bedrijven uit derde landen subsidie ontvangen hoeven zij zich niet aan de Europese staatssteunregels te houden. Dit kan als gevolg hebben dat zij een sterke positie op de Europese interne markt opbouwen en zelfs de concurrentie kunnen verstoren. Op die manier is het dus mogelijk dat er dan sprake is van oneerlijke concurrentie bij subsidies uit derde landen, maar dit is lastig algemeen te stellen omdat veel afhangt van de specifieke omstandigheden van het geval. Om verstoring van de concurrentie op de interne markt door staatsgesteunde bedrijven uit derde landen tegen te gaan is recent de verordening buitenlandse subsidies aangenomen.

Vraag 14

Deelt u de mening dat, als deze bedrijven staatssteun ontvangen, dit een oneerlijke vorm van concurrentie is?

Vraag 15

Per wanneer verwacht u dat het mogelijk is om op basis van het instrument buitenlandse subsidies van de Europese Unie maatregelen te nemen om deze oneerlijke situatie recht te trekken? Bent u bereid zich in te zetten voor het zo spoedig mogelijk daadwerkelijk toepassen van dit instrument op Chinese bedrijven die via staatssteun zorgen voor een ongelijk speelveld?

De Verordening buitenlandse subsidies zal het mogelijk maken op te treden indien er op de Europese interne markt overnames worden gedaan waarbij sprake is van verstorende subsidies uit derde landen of als bedrijven die deze subsidies ontvangen inschrijven op aanbestedingen. Daarnaast is het voor de Europese Commissie ook mogelijk om op eigen initiatief alle andere marktsituaties te onderzoeken en een ad hoc-aanmelding te vragen voor kleinere concentraties en openbare aanbestedingen, als zij vermoedt dat er sprake kan zijn van een verstorende buitenlandse subsidie.
Ik ben blij dat de onderhandelingen over dit belangrijke instrument recent zijn afgerond. Wanneer de verordening precies in werking treedt, is nu nog onduidelijk, maar de verwachting is vanaf het derde kwartaal van 2023.
Nederland heeft zich vanaf het begin ingezet voor dit instrument. Nu is het belangrijk dat de Commissie de verordening snel na inwerkingtreding gaat toepassen en waar nodig zal het kabinet dit bij de Commissie onder de aandacht brengen.

Vraag 1

Bent u bekend met het bericht «Internet kan tientallen euro’s goedkoper in Nederland»?1

Ja.

Vraag 2

Herkent u de suggestie die het artikel wekt, dat de prijzen in Nederland voor toegang tot het internet veel hoger zijn dan in andere relevante landen met vergelijkbare open en kennisintensieve economieën? Zo ja, hoe heeft deze prijs zich de afgelopen jaren ontwikkeld? Zo nee, waarom niet?

Uit internationaal vergelijkende onderzoeken blijkt dat de prijzen voor internettoegang in Nederland relatief hoog zijn.2 Uit de Europese Digital Economy and Society Index (DESI) komt naar voren dat het prijsniveau in Nederland zich de afgelopen jaren richting het EU-gemiddelde beweegt maar daar nog altijd boven ligt. In de tabel is de breedbandprijsindex van de top 4 van landen in de DESI weergegeven (hogere prijzen vertalen zich in een lagere score op deze indicator).
Prijsindex breedband (score 0–100)
DESI 2020
DESI 2021
DESI 2022
Finland
DESI: 1
connectiviteit: 8
75
74
79
Denemarken
DESI: 2
connectiviteit: 1
61
60
58
Nederland
DESI: 3
connectiviteit: 2
56
61
68
Zweden
DESI: 4
connectiviteit: 9
65
69
76
EU
64
69
73

Vraag 3

Hoe verhouden deze prijzen voor toegang tot het internet zich tot de zin in het coalitieakkoord: «Nederland wordt het digitale knooppunt van Europa en krijgt robuust, supersnel en veilig internet in alle delen van het land»?

Deze ambitie in het coalitieakkoord richt zich – naast het behouden en verder versterken van de positie van Nederland als digitaal knooppunt in Europa – in de eerste plaats op de beschikbaarheid van snel internet in alle delen van het land, inclusief de resterende buitengebieden waar nu nog niet overal snel internet is uitgerold.3 Uiteraard moet snel internet niet alleen beschikbaar zijn in de zin dat de infrastructuur aanwezig is, maar moet het afnemen van internettoegangsdiensten ook beschikbaar zijn tegen een redelijke prijs, oftewel betaalbaar zijn. Hoge prijzen leiden ertoe dat consumenten, ondanks de zeer hoge beschikbaarheid van snel internet in Nederland, relatief lage snelheden afnemen. Meer dan 99% van de huishoudens in Nederland kan beschikken over een vaste verbinding van tenminste 100 Megabit per seconde (Mbps), maar slechts 54% van de huishoudens neemt dit af als abonnementsnelheid.4 Nederland scoort in de DESI-index de tiende plaats op het percentage huishoudens dat tenminste 100 Mbps afneemt.

Vraag 4

Herkent u het beeld, zoals geschetst in het artikel, dat toetreding tot de internetmarkt belemmerend kan zijn voor nieuwe partijen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Op grond van de Europese Telecomcode (richtlijn (EU) 2018/1972) is het aan de onafhankelijke markttoezichthouder, in Nederland de ACM, om een oordeel te vellen over de concurrentie op de internetmarkt. In het besluit van de ACM van 25 augustus jl.5 concludeert de ACM dat de internetmarkt zich kenmerkt als oligopolie en dat de prijzen voor internettoegang in Nederland relatief hoog zijn. Daarom heeft de ACM toezeggingen van KPN en Glaspoort inzake verbeterde toegangstarieven en -voorwaarden bindend verklaard in dit besluit. De ACM werkt momenteel aan een nieuwe marktanalyse.6 In de marktanalyse zal de ACM rekening houden met de verbeterde toegangstarieven en -voorwaarden waar KPN en Glaspoort aan gebonden zijn op grond van het besluit van 25 augustus.

Vraag 5

Erkent u dat het van belang is dat de Autoriteit Consument & Markt (ACM) snel de onderzoeksresultaten van de marktanalyse publiceert op basis waarvan de openstelling kan worden bewerkstelligd? Wanneer verwacht u de resultaten?

Ja, waarbij zorgvuldigheid voorop staat. De ACM heeft mij laten weten dat deze grondige marktanalyse meer tijd vergt dan in augustus was voorzien en niet meer voor het einde van het jaar zal worden gepubliceerd. De ACM streeft ernaar de marktanalyse zo spoedig mogelijk te publiceren voor consultatie.

Vraag 6

Deelt u de mening dat het wenselijk is dat het internet door een gezonde en open markt betaalbaar, toegankelijk en aantrekkelijk is, zodat iedereen meegenomen kan worden in de digitaliserende samenleving? Zo ja, wat gaat u hieraan doen? Zo nee, waarom niet?

Ja. Het is mijn rol om te zorgen voor goede wettelijke kaders die de ACM in staat stellen de rol als onafhankelijk markttoezichthouder goed te kunnen vervullen. Nederland heeft zich bij de Europese onderhandelingen over de Telecomcode (richtlijn (EU) 2018/1972) met succes ingezet voor een goed reguleringsinstrumentarium voor de ACM en een voortvarende implementatie daarvan in de Telecommunicatiewet.7 Het is aan de ACM als onafhankelijk markttoezichthouder om te bepalen welke regulering zij passend acht om de concurrentie op de internetmarkt te waarborgen, en vervolgens aan de rechter om de ACM-besluiten te toetsen. Ik volg dit nauwlettend gezien het grote belang van goede concurrentie, betaalbaarheid en keuzevrijheid op de Nederlandse internetmarkt.

Vraag 7

Bent u bereid om met een voorstel te komen, mede op basis van het onderzoek van de ACM, om barrières en belemmeringen weg te nemen zodat de markt toegankelijker wordt voor toetreders en consumenten hiervan kunnen profiteren? Zo ja, wanneer kan de Kamer dit voorstel ontvangen? Zo nee, waarom niet?

Deze voorstellen heeft uw Kamer eerder ontvangen in de vorm van de twee wetsvoorstellen waarmee de Europese Telecomcode is geïmplementeerd in de Telecommunicatiewet8 en die beiden als hamerstuk door uw Kamer zijn aangenomen. Hiermee is onder andere een nieuw instrument voor toegangsregulering geïmplementeerd waar Nederland zich in Europa sterk voor heeft gemaakt en zijn overstapdrempels om te wisselen van internetaanbieder verder verlaagd. Het toepassen van het reguleringsinstrumentarium geschiedt op grond van de Telecomcode door de ACM als onafhankelijk markttoezichthouder.

Vraag 1

Bent u bekend met het bericht «De meest gehate sites ter wereld, in de lucht via Flevoland»1?

Ja, wij hebben kennisgenomen van dit bericht.

Vraag 2

Klopt het bericht dat het Russische hostingbedrijf «VDSina» direct, dan wel indirect, illegale websites online kon/kan hosten via Nederlandse datacenters van bedrijven als Serverius? Zo ja, hoe beoordeelt u dit?

In Nederland zijn het aanzetten tot haat en geweld en het vervaardigen en verspreiden van kinderporno strafbaar. Dat geldt ook op het internet. Internet-tussenpersonen zijn gehouden op te treden indien zij weten dat er illegaal materiaal op hun servers of platformen staat. Daar spreken wij hen ook op aan. Gelukkig werkt het grootste gedeelte van de internetbedrijven goed mee om illegale content snel te verwijderen. Desondanks kan nooit helemaal worden voorkomen dat hun klanten illegaal materiaal opslaan of online zetten. Voor de aanpak van illegale online content is samenwerking met de internetsector cruciaal.
Het is niet eenvoudig om het opslaan of online plaatsen van illegale content aan te pakken. Het is bij wet verboden om aan internettussenpersonen een algehele monitoringsverplichting op te leggen. Veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Zij kunnen de ruimte bijvoorbeeld gebruiken om hun eigen website in te richten. Datacentra hebben daarom niet altijd zicht op wie aan het eind van de keten precies gebruik maken van hun diensten en welke content er wordt gehost. Wel zijn zij gehouden te acteren indien ze er weet van krijgen dat de content die ze hosten illegaal is. In dit specifieke geval is dat ook gebeurd en is de content niet meer bereikbaar via een Nederlandse server.
De inzet op het bestrijden van illegale content is er in eerste instantie op gericht om deze content zo snel mogelijk te verwijderen danwel ontoegankelijk te maken. Illegaal online materiaal kan worden gemeld en verwijderd via de afspraken in het kader van de zelfregulering van de internetsector (Notice and Take Down). Is er sprake van kinderpornografisch materiaal, dan is er binnenkort ook de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (ATKM), die een bestuursrechtelijk verwijderbevel kan uitvaardigen en een last onder dwangsom of bestuurlijke boete kan opleggen indien de content niet wordt verwijderd.

Vraag 3

Klopt het dat websites met rechts-extremistische en neonazistische content, zoals als 8kun en Daily Stormer, in heel weinig landen hun websites online kunnen zetten maar dat hiervoor wel mogelijkheden zijn in Nederland? Zo ja, hoe beoordeelt u dit?

Nee, dat klopt niet. Ook in Nederland kan actie worden ondernomen tegen illegale content die aanzet tot discriminatie, haat en geweld, zoals bedoeld in artikel 137d Sr. In Nederland geldt voor wat betreft de aansprakelijkheid van datacentra de Richtlijn Elektronische Handel zoals geïmplementeerd in artikel 6:196c BW en artikel 54a Sr jo artikel 125p Sv. Die richtlijn, die vanaf begin 2024 wordt vervangen door de Digital Services Act (DSA), geldt ook in andere lidstaten van de Europese Unie. Wel kunnen de mogelijkheden om actie te ondernemen en de daarop toepasselijke regelgeving in landen verschillen.
Zoals ook aangegeven in het antwoord op vraag 2, is de inzet op het bestrijden van illegale content er in eerste instantie op gericht om deze content zo snel mogelijk te verwijderen danwel ontoegankelijk te maken. Illegaal online materiaal kan worden gemeld en verwijderd via de afspraken in het kader van de zelfregulering van de internetsector (Notice and Take Down). Is er sprake van kinderpornografisch materiaal, dan is er binnenkort ook de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (ATKM), die een bestuursrechtelijk verwijderbevel kan uitvaardigen en een last onder dwangsom of bestuurlijke boete kan opleggen indien de content niet wordt verwijderd.

Vraag 4

Bent u het ermee eens dat het zeer problematisch is wanneer rechts-extremistische en illegale content online staan via Nederlandse digitale infrastructuur? Zo ja, op welke manieren pakt u dit aan?

Ja die mening delen wij. Nederland is koploper in de aanpak van online seksueel kindermisbruik en zet zich in voor een Europese aanpak daarvan. Ook met betrekking tot de oprichting van de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) loopt Nederland voorop in het bestrijden van strafbare online content. In Nederland wordt al een aantal jaren succesvol samengewerkt tussen de internetsector en overheid op het gebied van illegale content. Overheid en internetsector richten zich daarbij op het zo snel mogelijk offline halen van de aangetroffen illegale content. Een hostingprovider moet acteren als hij er weet van krijgt dat de online content die hij host een illegaal karakter heeft. Het beleid richt zich daarom op het notificeren en doen verwijderen van illegale (dat wil zeggen strafbare of anderszins onrechtmatige) content. Bij het tegengaan van strafbare content (terroristisch of kinderpornografisch materiaal en hate speech) heeft de overheid een actieve rol in de opsporing en vervolging. Bij onrechtmatige (maar niet strafbare) content – content die schade toebrengt aan individuen, zoals privacy-schendingen – is die rol vooral faciliterend, bijvoorbeeld door het subsidiëren van een meldpunt. Via zo’n meldpunt wordt strafbare en onrechtmatige content onder de aandacht gebracht van een internettussenpersoon, die op grond van bestaande wet- en regelgeving gehouden is daarop te acteren. Ongewenste (maar niet onrechtmatige) content (zoals de meeste vormen van desinformatie) wordt niet verwijderd. Wel zijn er andere instrumenten om hierop te reageren (o.a. fact checking, counterspeech, verwijzen naar officiële websites, aanpassen (zoek)algoritmes, etc.).

Vraag 5

Welke instrumenten heeft de overheid om in te grijpen wanneer illegale content het wereldwijde web in wordt geslingerd via Nederlandse bedrijven? Worden desbetreffende instrumenten daadwerkelijk ingezet? Zijn er bijvoorbeeld verzoeken gedaan aan Serverius om de dienstverlening aan VDSina en daarmee 8kun en Daily Storm stop te zetten? Zo ja, door wie zijn die verzoeken gedaan en wat was hiervan het resultaat? Zo nee, waarom niet?

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv kan de officier van justitie met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is ter beëindiging van een strafbaar feit. Dit is geregeld in artikel 125p Sv. Onrechtmatige content kan ontoegankelijk worden gemaakt na een bevel daartoe van de civiele rechter.
Zoals reeds bekend bij uw Kamer, heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. De Raad van State heeft op 4 mei jl. geadviseerd over het wetsvoorstel bestuursrechtelijke aanpak online kinderpornografisch materiaal. Dit advies wordt nu verwerkt, zodat het wetsvoorstel daarna op korte termijn aan de Kamer kan worden aangeboden. Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader. Zoals de naam al zegt, zal de ATKM zich alleen richten op terroristisch en kinderpornografisch materiaal, en blijft online hate speech zoals verspreid via Daily Stormer en 8kun buiten de reikwijdte van deze Autoriteit. Online hate speech kan worden gemeld bij het Meldpunt Internet Discriminatie (MiND). Dit meldpunt wordt door de sector beschouwd als een trusted flagger, waardoor meldingen vanuit dit meldpunt richting de sector in vrijwel alle gevallen leiden tot het verwijderen of ontoegankelijk maken van de gewraakte content.
De inzet bij de bestrijding van illegale content gaat voor een belangrijk deel uit van zelfregulering door de internetsector. De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is er al in 2008 een Notice-and-Takedown (NTD) gedragscode overeengekomen tussen overheden, internetaanbieders, hostingbedrijven, en andere tussenpersonen.2 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten. Tenslotte zijn ook in EU-verband afspraken gemaakt, zoals de Code of conduct on countering illegal hate speech uit 2016.
De Digital Service Act (DSA) biedt in vergelijking met de Richtlijn Elektronische Handel een meer gepreciseerd kader waarbinnen hostingbedrijven een beroep kunnen doen op uitsluiting van aansprakelijkheid met betrekking tot de informatie die zij hosten. Ook bevat de DSA onderdelen die de bestrijding van illegale content in de toekomst verder kunnen verbeteren. Om hier optimaal uitvoering aan te geven en gebruik van te maken zal de huidige NTD gedragscode de komende tijd vanuit een publiek-private samenwerking nog eens tegen het licht worden gehouden. Bij de onderhandelingen over de DSA heeft Nederland er overigens voor gepleit om aanvullend op dit alles een zorgplicht voor hostingbedrijven op te nemen. Dit voorstel kreeg helaas onvoldoende steun bij andere Lidstaten.3
Aanvullend subsidieert de overheid een aantal meldpunten om illegale content onder de aandacht te brengen van platformen, providers en hosters. Deze meldpunten hebben veelal de status van trusted flagger, en hebben daarmee ook het vertrouwen van de sector. Content die zij als «illegaal» betitelen wordt in dat kader in de meeste gevallen ook daadwerkelijk ontoegankelijk gemaakt. Het kabinet zet de komende jaren in op het verder optimaliseren van opvolging van meldingen van deze meldpunten en zal daarbij ook bezien voor welke andere vormen van illegale content een meldvoorziening dient te worden ingericht.

Vraag 6

Klopt het dat 8kun en Daily Stormer niet meer via Nederlandse bedrijven online staan? Zo ja, kunt u dit bevestigen en toelichten? Zo nee, waarom niet?

Ja, dat klopt. Op het moment dat de tussenpersoon die de content had ondergebracht bij de Nederlandse hoster werd geïnformeerd dat deze websites via zijn servers online werden gezet, is de content verwijderd door deze tussenpersoon. Het Nederlandse datacenter Serverius heeft hiervoor zelf geen actie hoeven te ondernemen.

Vraag 7

Welke invloed gaat de Digital Services Act hebben op het ingrijpen bij dit soort praktijken? Is Nederland al klaar voor de komst van de Digital Services Act wat betreft het voorkomen dat websites als 8kun en Daily Stormer via Nederland online kunnen worden gezet? Zo ja, in welke genomen maatregelen is dit zichtbaar? Zo nee, welke stappen moeten nog genomen worden?

De DSA is een volgende stap in de richting om verplichtingen en verantwoordelijkheden van internettussenpersonen én de overheid voor de bestrijding van illegale content aan te scherpen. Zoals onder meer de verplichting voor tussenpersonen om een contactpersoon te hebben voor overheden zodat er snel kan worden opgetreden tegen illegale content. Wanneer websites illegale content bevatten, kunnen deze instrumenten worden benut. De verplichtingen uit de DSA worden op 17 februari 2024 van kracht. De komende tijd wordt gewerkt aan de voorbereiding daarvan in Nederland.

Vraag 8

Is de Minister het ermee eens dat het zeer wenselijke is om zo snel mogelijk de structuren en processen in orde te hebben om de Digital Services Act uit te kunnen voeren? Zo nee, waarom niet?

Ja. Dit vereist allereerst keuzes over de organisatie van het toezicht, zodat de toekomstig toezichthouder(s) zich kunnen voorbereiden op hun taken, en de noodzakelijke uitvoeringswetgeving tot stand kan worden gebracht. In het verslag houdende vragen en antwoorden op de begrotingsstaten van de Ministeries van EZK, JenV en BZK die zien op digitale zaken is hier meer informatie over gegeven. In het bijzonder in de antwoorden op vragen 58 t/m 61, 162, 184 t/m 186.
Uitgangspunt voor een succesvolle uitvoering is ook een samenwerking tussen internetsector en overheid die is gebaseerd op wederzijds begrip, vertrouwen en op het wederzijds belang om illegale content te bestrijden. De eerdere zelfreguleringsafspraken uit de genoemde NTD gedragscode illustreren dat dit mogelijk is en dat er bij een groot deel van de internetsector bereidheid bestaat om haar verantwoordelijkheid te nemen in de bestrijding van illegale content online.

Vraag 9

Is de Minister het ermee eens dat het onwenselijk is dat Nederlandse bedrijven zaken doen met partijen die berucht zijn om het faciliteren van botnets? Zo nee, waarom niet?

Ja, dat vinden wij onwenselijk. Internettussenpersonen die ervan op de hoogte worden gebracht dat de content die zij hosten illegaal is, dienen op grond daarvan te acteren om niet aansprakelijkheid gesteld te kunnen worden. Dat geldt niet alleen voor kinderporno, maar ook voor andere illegale content zoals evident racistische of haatzaaiende teksten.

Vraag 10

Wat heeft tot nu toe de inventarisatie van het Nationaal Cyber Security Centrum (NCSC) samen met het Digital Trust Center (DTC) en de Anti-Abuse Network coalitie opgeleverd? Zijn er concrete aanbevelingen of maatregelen op tafel gekomen om meer informatie te delen over kwetsbaarheden? Zo nee, wat is de laatste stand van zaken van de inventarisatie?

Het Anti-Abuse Netwerk (AAN-coalitie) is een samenwerkingsverband waarvan zowel het Digital Trust Center (DTC), het Ministerie van EZK als de politie deelnemer zijn en waarbij het Nationaal Cyber Security Centrum (NCSC), het Ministerie van Justitie en Veiligheid en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) als agenda lid zijn aangesloten. Daarnaast nemen onderzoeksinstellingen en private organisaties deel aan de coalitie. Het AAN werkt aan een veilige en betrouwbare online infrastructuur. De inventarisatie van het AAN heeft knelpunten en randvoorwaarden opgeleverd welke mede als input hebben gediend voor de Nederlandse Cybersecuritystrategie (NLCS) welke eerder met uw Kamer is gedeeld. De AAN-coalitie heeft de uitkomsten van haar inventarisatie verwerkt in de «Metrokaart en knelpunten «Technisch Abuse»»4 uit december 2020 waarnaar wordt verwezen in het Cyclotron rapport. Dit rapport is eerder als bijlage bij de brief5 over de NLCS met uw Kamer gedeeld. Op dit moment zijn er bijeenkomsten van de AAN-coalitie en zijn de deelnemers actief betrokken bij de actieplannen die worden uitgewerkt naar aanleiding van de NLCS.

Vraag 11

Hoe ziet u het spanningsveld tussen vrij ondernemen met daarbij het vrij verhuren van serverruimte aan (onbekende) partijen en het misbruik maken van de Nederlandse digitale infrastructuur waarbij websites met illegale en rechts-extremistische content online kunnen worden gezet?

In veel gevallen gaat het ondernemerschap goed samen met verantwoordelijk gedrag richting de samenleving. In het geval van de hostingsector blijkt dat onder meer bij bedrijven die zich vrijwillig houden aan de Gedragscode Abusebestrijding en de NTD gedragscode.
Het verhuren van serverruimte aan partijen die daar vervolgens illegale content plaatsen maakt een hosting service provider (HSP) nog geen kwaadwillende actor. Daarvan is pas sprake als evident is dat zij niet slechts slachtoffer zijn van misbruik van hun faciliteiten maar bewust illegale content faciliteren. Zo heeft het Gerechtshof in Den Haag recentelijk bepaald dat een telecommunicatiedienstprovider die zich ervan bewust is dat zijn klanten crimineel gedrag vertonen en/of criminele content aanwezig hebben dan wel verspreiden, en deze klanten daarbij desalniettemin faciliteert, mogelijk strafrechtelijk aansprakelijk kan worden gehouden, ook als de Officier van Justitie niet vooraf een verwijderbevel heeft afgegeven. Of daar sprake van is, dient per geval te worden beoordeeld.

Vraag 1

Bent u bekend met het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen»?1

Ja, wij zijn bekend met het bericht.

Vraag 2

Klopt het bericht dat de NS duizenden nieuwe Chinese camera’s heeft besteld? Zo ja, hoe beoordeelt u dit?

De camera's vormen onderdeel van een Europese aanbesteding voor de modernisering van de materieelserie VIRM2/3 en een Europese aanbesteding van de nieuwbouw van de materieelserie ICNG. Deze aanbestedingen zijn gegund aan Europese treinfabrikanten, die op hun beurt voor een deel van deze levering gebruik maken van Chinese onderleveranciers.
NS heeft bij de Staatssecretaris van IenW aangegeven dat zij diverse maatregelen heeft getroffen zodat (statelijke) actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen. Eén van de maatregelen is dat deze camera’s zich bevinden in een afgesloten en beveiligd (intern) netwerk dat niet is gekoppeld aan het internet. Dit betekent volgens NS dat niemand van buitenaf bij de inhoud of besturing van de camera’s kan komen. Daarnaast heeft NS bij de Staatssecretaris aangegeven gebruik te maken van de adviezen van de rijksoverheid, zie ook het antwoord op vraag 7.

Vraag 3

Op welke plekken heeft de NS momenteel Chinese camera’s hangen en op welke plekken komen de Chinese camera’s nog te hangen? Hoeveel Chinese camera’s hangen er op dit moment binnen treinen en op en rondom stations?

NS heeft geen camera’s van Chinese makelij op stations. Momenteel gebruikt NS camera’s van Chinese makelij alleen in een aantal type treinen. Na modernisering bevat de materieelserie VIRM 2/3 camera’s van Chinese makelij evenals de (nieuwe) materieelserie ICNG.

Vraag 4

Welke eisen gaat u opnemen in de nieuwe Hoofdrailnetconcessie ten aanzien van het gebruik van Chinese camera’s op stations en in treinen?

In het Programma van Eisen vraagt de Staatssecretaris van IenW de beoogd concessiehouder, een rol te spelen op het gebied van terrorismebestrijding, o.a. door het beschikbaar hebben van cameratoezicht in de trein. De Staatssecretaris van IenW vindt het belangrijk om de beoogd concessiehouder vrij te laten in de bedrijfsvoering, opdat zij haar kennis en expertise optimaal kan benutten. Er is daarom gekozen voor outputsturing waar het kan en inputsturing waar ik dat nodig acht met het oog op de maatschappelijke meerwaarde. Het meegeven van specificaties voor het type te gebruiken camera’s past daar niet in. Ook hanteert NS nu ook al de adviezen van de rijksoverheid, zie ook het antwoord op vraag 7.

Vraag 5

Bent u ervan op de hoogte dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) vervoer van personen en goederen over (hoofd)spoorweginfrastructuur aanmerkt als vitale infrastructuur? Zo ja, hoe weegt u de aanschaf van producten en diensten van landen met een offensieve cyberstrategie gericht tegen Nederland in de vitale infrastructuur?

Ja. Voor het identificeren van vitale processen zijn de betrokken Ministers van vakdepartementen verantwoordelijk. Het proces vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur is door de Minister van Infrastructuur en Waterstaat aangemerkt als een vitaal proces2. Dit betekent dat aanbieders van een dienst binnen dit proces kunnen worden aangemerkt als vitale aanbieder en aanbieder van een essentiële dienst (AED), waarmee ze onder het regime van de Wet bescherming netwerk- en informatiesystemen (Wbni) vallen. Zie ook het antwoord op vraag 7.

Vraag 6

Deelt u de mening dat het zeer onwenselijk is dat de NS camera’s inzet en aankoopt die worden gemaakt door Chinese techbedrijven die deels in handen zijn van de Chinese staat? Zo ja, in hoeverre zit het kabinet strak op de aanbestedingen uit landen met een offensief cyberprogramma (onder andere China) bij organisaties waar de overheid aandelen in heeft? Zo nee, waarom niet?

Ten aanzien van de inkoop van producten en diensten is het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen. Ter ondersteuning van dit beleid zijn er instrumenten voor de rijksoverheid, medeoverheden en vitale aanbieders ontwikkeld die organisaties handvatten bieden bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s, waarbij het Rijk gevraagd en ongevraagd advies en ondersteuning kan bieden.
Zo wordt bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden met eventuele risico’s in relatie tot de leverancier (zoals een offensief cyberprogramma gericht tegen Nederland), en met risico’s die zich kunnen voordoen het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Daarbij kunnen als mitigerende maatregelen bijvoorbeeld strenge eisen worden gesteld door de opdrachtgever aan de (informatie)beveiliging van producten en diensten. Zie ook het antwoord op vraag 7.

Vraag 7

Geeft de rijksoverheid adviezen aan derde belanghebbenden die deel uitmaken van de door de NCTV gekwalificeerde vitale infrastructuur over de aanschaf van camera’s? Zo ja, hoe zou de aanschaf van de Chinese camera’s door de NS passen in het advies van de rijksoverheid? Zo nee, waarom niet?

Vitale aanbieders zijn onder meer op basis van wetgeving, waaronder de Wbni, verplicht tot het treffen van passende maatregelen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Ook dienen zij inzicht te hebben in de risico’s die hun dienstverlening ten aanzien van het vitale proces kunnen raken.
Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het treffen van de juiste maatregelen. Sectorale toezichthouders houden toezicht op de wijze waarop vitale aanbieders invulling geven aan deze zorgplicht.
Ten aanzien van de inkoop van producten en diensten is het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen. Ter ondersteuning van dit beleid zijn er instrumenten voor de rijksoverheid, medeoverheden en vitale aanbieders ontwikkeld die organisaties handvatten bieden bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s, waarbij het Rijk gevraagd en ongevraagd advies en ondersteuning kan bieden.
Zo wordt bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden met eventuele risico’s in relatie tot de leverancier (zoals een offensief cyberprogramma gericht tegen Nederland), en met risico’s die zich kunnen voordoen in het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Daarbij kunnen als mitigerende maatregelen bijvoorbeeld strenge eisen worden gesteld door de opdrachtgever aan de (informatie)beveiliging van producten en diensten.
NS heeft bij de verwerving van de camera’s, in lijn met dit beleid, nationale veiligheidsrisico’s meegewogen aan de hand van het genoemde instrumentarium en hiertoe nadere maatregelen getroffen zoals toegelicht in het antwoord op vraag 2.

Vraag 8

Klopt het bericht dat het Nationaal Cyber Security Centrum (NCSC) nog geen negatief advies heeft gegeven over de merken Dahua en Hikvision? Zo ja, waarom is er tot op heden nog geen negatief advies gegeven? Zo nee, wat is hiervoor nodig?

Het NCSC geeft geen advies over individuele producten of diensten. Het NCSC raadt organisaties aan om risicomanagement te implementeren in hun organisatie en dit ook toe te passen bij het aanschaffen van producten en diensten. De risico’s die verbonden zijn aan bepaalde producten of diensten zijn erg afhankelijk van hoe een product of dienst wordt ingezet bij een individuele organisatie. Om daar duidelijkheid over te krijgen adviseert het NCSC om een specifieke risicoanalyse uit te voeren. Hiermee kan op basis van dreigingen, de te beschermen belangen, nationale veiligheidsoverwegingen en mogelijke maatregelen een risicoafweging worden gemaakt. Daardoor kan een passend pakket aan weerbaarheidsmaatregelen geïmplementeerd worden. Vitale aanbieders zijn hier zelf verantwoordelijk voor.

Vraag 9

Bent u het ermee eens dat het onacceptabel is dat miljoenen Nederlanders worden gefilmd door omstreden Chinese camera’s waarvan niet duidelijk is wat er met deze beelden wordt gedaan? Zo ja, welke stappen bent u bereid te zetten om ervoor te zorgen dat deze Chinese camera’s er niet komen?

De toepassing van camera’s in de openbare ruimte en op stations hebben een rol in het borgen van veiligheid voor het publiek dat daar aanwezig is. Zoals ook aangegeven in het antwoord op vraag 2 heeft NS diverse maatregelen getroffen zodat statelijke actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen.
Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie3 «Nederland-China: Een nieuwe balans» staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Op grond van de Algemene Verordening Gegevensbescherming (AVG) gelden er regels voor de verwerking van persoonsgegevens, zo ook wanneer de verwerking plaatsvindt door middel van camerabeelden. Het is aan de verwerkingsverantwoordelijke om deze wettelijk verplichte regels in acht te nemen. Daartoe behoort dat de verwerking van persoonsgegevens goed is beveiligd. Ook staat de AVG de doorgifte van persoonsgegevens aan derde landen niet dan onder strikte voorwaarden toe. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden. Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.

Vraag 10

Wanneer kan de Kamer de uitvoering van de aangenomen motie Rajkowski en Van Weerdenburg (Kamerstuk 26 643, nr. 830) en de uitvoering van de overgenomen motie Rajkowski c.s. (Kamerstuk 26 643, nr. 874) verwachten?

Zoals verzocht in de overgenomen motie4 Rajkowski c.s. zal de Kamer nog voor het kerstreces geïnformeerd worden over de verzochte richtlijn voor de rijksoverheid en haar leveranciers, om producten of diensten van organisaties en bedrijven uit landen met een offensieve cyberagenda gericht tegen Nederland uit bepaalde aanbestedingen te kunnen weren. Hierin wordt ook meegenomen de toezegging aan de Kamerlid Rajkowski voor een onderzoek over hoe dit zou kunnen, zoals gedaan in het debat met de Commissie Digitale Zaken over de digitale overheid, datagebruik en algoritmen, digitale identiteit van 22 maart 2022. Op 5 april 2022 is de motie5 van de leden Rajkowski en Van Weerdenburg aangenomen die het kabinet verzoekt een scan uit te voeren op de aanwezigheid van apparatuur of programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda in de vitale infrastructuur. Op dit moment wordt door het Ministerie van Justitie en Veiligheid, in samenwerking met de betrokken departementen, verkend op welke manier opvolging kan worden gegeven aan de deze motie.

Vraag 1

Bent u bekend met het bericht «NIST kiest wapens tegen kwantumcomputer als cryptokraker»?1

Ja.

Vraag 2

Bent u het ermee eens dat kwantumcomputers een serieus gevaar kunnen vormen voor het Nederlandse briefgeheim en veilige communicatie tussen o.a. veiligheidsdiensten, Nederlandse burgers onderling en voor onze ondernemers in het kader van bedrijfsgeheimen? Zo ja, hoe beoordeelt u dit gevaar? Zo nee, waarom niet?

Ja. De komst van de kwantumcomputer brengt risico’s met zich mee op het gebied van informatiebeveiliging. Sommige cryptografische standaarden die nu veilig worden geacht, zullen door de komst van kwantumcomputers niet meer veilig zijn, waaronder cryptografie die nu veelvuldig wordt gebruikt voor het beveiligen van internetverkeer.
Zoals ook benoemd in de AIVD-brochure «Bereid je voor op de dreiging van kwantumcomputers», achten experts de kans klein maar reëel dat kwantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken.2 Informatie die gedurende een langere periode vertrouwelijk moet blijven, waaronder staatsgeheimen, moet daarom zo snel mogelijk al beschermd worden tegen store now, decrypt later-aanvallen3. Deze dreiging wordt ook gesignaleerd door het NCSC, dat de afgelopen jaren heeft opgeroepen tot het starten met het voorbereiden op de komst van kwantumcomputers, bijvoorbeeld via de NCSC-factsheet «Postkwantumcryptografie».4
Voor de rijksoverheid en medeoverheden, maar ook voor de private sector, betekent dit dat zij zullen moeten migreren naar kwantumveilige systemen en technologieën. Deze migratie is omvangrijk, en zal zo snel mogelijk gestart moeten worden om op tijd voorbereid te zijn op de dreiging van kwantumcomputers.

Vraag 3

Op welke wijze borgt u tijdig met oplossingen te komen tegen de komst van kwantumcomputers zodat inwoners van Nederland veilig digitaal kunnen communiceren en persoonsgegevens en bedrijfs- en staatsgeheimen goed beveiligd kunnen blijven? Welke concrete stappen zijn hier de afgelopen jaren voor gezet en welke stappen bent u nog voornemens te zetten?

Gezien de hierboven gesignaleerde veiligheidsrisico’s voor de overheid, burgers en bedrijven, zet het kabinet zich, met partners uit de private sector en wetenschap, op verschillende wijzen in om maatregelen en technologieën te ontwikkelen die deze risico’s kunnen helpen mitigeren.
Voor de verwerking van gerubriceerde gegevens zijn al geruime tijd kwantumveilige producten beschikbaar. Volgend uit het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) is kwantumveiligheid sinds 2020 een harde eis voor producten waarmee gerubriceerde gegevens verwerkt worden. Het gaat dan om gegevens gerubriceerd als departementaal vertrouwelijk en hoger. Om te borgen dat de rijksoverheid ook in de toekomst kan beschikken over beveiligingsproducten voor vertrouwelijke informatie, wordt er in het kader van de Nationale Cryptostrategie (NCS) geïnvesteerd in de ontwikkeling van deze producten. Dit maakt het mogelijk om in te spelen op risico’s rondom kwantumcomputing voor wat betreft de rijksoverheid. Hierbij wordt in samenwerking met bedrijven en experts onder meer gewerkt aan de ontwikkeling van nieuwe beveiligingsproducten en het doorontwikkelen van bestaande producten.
Deze producten zullen gebruikmaken van post-quantumcryptografie (PQC). Dit is een vorm van cryptografie die gebaseerd is op wiskundige problemen die niet effectief te kraken zijn met een kwantumcomputer. In 2023 zal de AIVD in samenwerking met TNO en het Centrum voor Wiskunde en Informatica (CWI) een kwantum Migratie Handleiding publiceren die overheden, bedrijven en burgers kunnen gebruiken als handvat voor migratie naar kwantumveilige communicatie. Deze handleiding beschrijft de verschillende doelgroepen en bijbehorende (technische) stappen die genomen kunnen worden.
Het kabinet investeert via het Nationaal Groeifonds fors in de Nationale Agenda kwantumtechnologie (zie beneden het antwoord op vraag 10). Naast de inzet vanuit het Groeifonds hebben departementen een aantal jaar geleden gezamenlijk het initiatief genomen om binnen de Nationale Wetenschapsagenda (NWA) uit 2018 met het programma «Cybersecurity – naar een veilig en betrouwbaar digitaal domein» aan de slag te gaan om oplossingen te vinden voor vraagstukken rond internetveiligheid. Daarbinnen is een project gefinancierd tegen het gevaar van het breken van versleutelingsschema’s door kwantumcomputers.5 Daarnaast werkt de overheid samen met private partijen en wetenschappers, onder leiding van het ECP, aan het ontwikkelen van werelds eerste kwantum Impact Assessment (QIA). Organisaties die met kwantumtechnologie willen gaan werken, kunnen dan het QIA doen, om te bepalen wat juridische, ethische en maatschappelijke consequenties zijn van het inzetten van deze technologie. De kennis en producten ontwikkeld via deze trajecten zullen door overheid, bedrijven en burgers benut kunnen worden om zich te beveiligen en om kwantumtechnologie op een verantwoorde wijze te gebruiken.
Er wordt niet alleen op nationaal niveau geïnvesteerd en samengewerkt, maar ook op Europees niveau. Die Europese inzet is uiteengezet in het antwoord op vraag 9.
Binnen de rijksoverheid zijn departementen vanuit hun eigen verantwoordelijkheid voor informatiebeveiliging ook verantwoordelijk om hun belangrijkste processen en andere belangen te beschermen tegen de dreiging van de kwantumcomputer op de toegepaste cryptografie. Om de departementen hierbij te helpen wordt er momenteel op verzoek van het CIO-beraad vanuit de I-strategie Rijk 2022 – 2025, interdepartementaal gewerkt aan een plan voor een gezamenlijke aanpak van deze dreiging, zodat kennis en kunde gedeeld worden, centraal een beeld ontstaat hoe ver de departementen zijn en om de krachten te bundelen onder andere met betrekking tot leveranciersmanagement. BZK zal de medeoverheden wijzen op het belang van spoedige inzet op kwantumcryptografie, en de door de rijksoverheid opgedane ervaring met hen delen, om hen snel op gang te helpen. Er is daarnaast ook een kwantum InnovatieHub rijksoverheid. Dit is een netwerk van geïnteresseerden in kwantumtechnologie en de impact voor de rijksoverheid. Dit netwerk heeft de afgelopen jaren een grote rol gespeeld in het vergroten van het bewustzijn omtrent de impact van kwantumtechnologie binnen de rijksoverheid.

Vraag 4

Welke voorbereidingen neemt u op de komst van de kwantumcomputers? Welke voorbereidingen worden hier getroffen, ook eventueel in samenwerking met private sectoren?

Zie antwoord vraag 3.

Vraag 5

Welke gevolgen ziet u voor de rijksoverheid en lagere overheden met de komst van kwantumcomputers wat betreft het inrichten van de systemen?

Zie antwoord vraag 2.

Vraag 6

Bent u samen met bedrijven en experts op zoek naar oplossingen om encryptie bestendig te maken tegen de komst van kwantumcomputers? Zo ja, wat is de status van deze gesprekken? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 7

Heeft u al een selectie gemaakt van alternatieve cryptografische methoden die niet vatbaar zijn voor het kwantumrekengeweld? Zo ja, welke methoden vallen binnen deze selectie? Zo nee, wanneer verwacht u met een selectie te komen?

Zoals aangegeven in het antwoord op vragen 3, 4 en 6, wordt voor wat betreft het adresseren van de risico’s van kwantumcomputing, door de overheid fors geïnvesteerd. Daarnaast werken cybersecurity experts en cryptologen van de rijksoverheid ook nauw samen met experts uit de private sector en wetenschap. Hierbij wordt breder gekeken naar het vraagstuk dan sec de ontwikkeling van cryptografie, maar ook de implementatie in beveiligingsproducten, standaardisering en migratie-adviezen. Die brede inzet moet de komende jaren leiden tot adviezen en producten die overheid, bedrijven en burgers kunnen gebruiken om zich te beveiligen tegen de dreiging van kwantumcomputing.
Naar aanleiding van de selectie van NIST heeft het NCSC in juli 2022 beveiligingsrichtlijnen gepubliceerd.6 In deze beveiligingsrichtlijnen adviseert het NCSC over het gebruik van specifieke algoritmes waar organisaties gebruik van kunnen maken bij het inrichten van hun architectuur die gebruik maakt van een combinatie van traditionele en kwantum-veilige algoritmes. Daarnaast publiceerde het NCSC in 2017 al de factsheet postkwantumcryptografie.
De AIVD heeft voor het gebruik van cryptografie voor het versleutelen van gerubriceerde informatie klassieke en nieuwe cryptografische methoden beoordeeld op mogelijk gebruik als post-quantum cryptografie (PQC), en daarover gepubliceerd in de brochure «Bereid je voor op de dreiging van kwantumcomputers». Hierin wordt een combinatie van traditionele cryptografie en PQC, een zogeheten hybride constructie, aangeraden voor die systemen waar niet gewacht kan worden op standaardisatie van PQC. Ook is het voor alle organisaties die werken met gevoelige informatie belangrijk om te beginnen met de migratie hiervan naar kwantumveilige systemen. In de eerste fasen van deze migratie kan een inventarisatie plaatsvinden van systemen die voor de komst van een kwantumcomputer al gemigreerd moeten worden, en wanneer deze migratie moet plaatsvinden.
Een ander veelgenoemde technologie voor het beveiligen van communicatie is kwantum key distribution (QKD). Echter, in de eerdergenoemde AIVD-brochure, beoordeelt de AIVD, QKD zonder het gebruik van PQC als ongeschikt voor het beveiligen van gevoelige informatie. De reden hiervoor is dat QKD sommige, maar niet alle benodigde veiligheidsfuncties vervult. Daarom adviseert de AIVD in alle gevallen om voor de verwerking van gevoelige informatie ook PQC te gebruiken. Onderzoek naar QKD zorgt wel voor kennisopbouw over de onderliggende kwantumtechnologieën. Daarom is het alsnog belangrijk om ook onderzoek te doen naar QKD, ondanks dat QKD op zichzelf ongeschikt is voor het beveiligen van gevoelige communicatie.
In het kader van het plan van aanpak dat voor de rijksoverheid wordt ontwikkeld, is een van de elementen waar binnen het migratieplan naar wordt gekeken de zogenaamde «crypto-agitatie». Dit concept maakt het mogelijk om flexibel en gemakkelijk over te schakelen op verschillende soorten cryptografie, bijvoorbeeld door hardware te gebruiken die dit mogelijk maakt. Dit zou de overstap voor een deel kunnen versnellen. Daarnaast kan dit concept worden ingezet voor producten en diensten die nu worden ontwikkeld en gebruik gaan maken van cryptografie.

Vraag 8

Bent u het met de experts uit het artikel eens dat het verstandig kan zijn alvast in te zetten op een combinatie van traditionele cryptografie en de nieuwe, nog niet volledig uitontwikkelde, postkwantummethoden? Zo ja, hoe gaat u dit vormgeven? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 9

Is Nederland aangesloten bij de Europese programma’s die betrekking hebben op kwantumcomputers? Zo ja, op welke manier heeft Nederland dit vormgegeven? Wat heeft dit concreet tot nu toe opgeleverd? Zo nee, waarom niet?

Ja, Nederland neemt deel aan Europese programma’s die ook betrekking hebben op kwantumcomputers, zoals Digital Europe en Horizon Europe.
Tijdens het Nederlandse EU-voorzitterschap in 2016 heeft de Europese Commissie het EU kwantum Technologies flagship gelanceerd, een R&D programma voor Europese consortia met een budget van 1 miljard euro. Van de totaal 146 miljoen euro uit de eerste fase van het flagship onder Horizon 2020 (2014–2020) namen Nederlandse kennisinstellingen deel voor 10,6 miljoen euro, een percentage van 7,28% – ruim meer dan het gemiddelde Nederlandse aandeel in Horizon 2020. Voor twee consortia op het gebied van kwantum Internet (TU Delft) en kwantum sensing (UvA) is Nederland penvoerder.
Daarnaast heeft Nederland een belangrijke rol in EuroQCI, het Europese programma voor kwantum-communicatie, waar QKD als technologie centraal staat. De Nederlandse inzet in dit EuroQCI programma wordt door het Ministerie van Economische Zaken en Klimaat en kwantumDeltaNL interdepartementaal afgestemd met vertegenwoordigers van onder meer J&V, DEF, BZ en BZK.
In de eerste fase van dit EuroQCI programma, ontvangt een Nederlands consortium met Stichting kwantum Delta als penvoerder cofinanciering van 5 miljoen euro uit het Digital Europe Programma. Het gaat hierbij om het project «QCINed: Towards a National kwantum Communication Infrastructure in The Netherlands» waarbij een experimenteel kwantum communicatienetwerk wordt opgezet door Nederlandse kennisinstellingen met participatie door verschillende ministeries en Rijksuitvoeringsorganisaties.
Deze projecten zitten momenteel in hun eerste fases, en zullen de komende jaren hun resultaten gaan opleveren. Wel heeft de projectontwikkelfase al bijgedragen aan meer samenwerking tussen Nederlandse en Europese partners op dit gebied.

Vraag 10

Hoeveel geld is tot op heden uit het groeifonds beschikbaar gesteld voor de ontwikkeling van kwantum technologie? Welk deel van dit budget is de afgelopen jaren, of zal de komende jaren ook worden geïnvesteerd in het ontwikkelen van deze technologie?

In de eerste ronde van het Nationaal Groeifonds is 615 miljoen euro gereserveerd voor de uitvoering van de Nationale Agenda kwantumtechnologie. Het voorstel kwantumDeltaNL richt zich op het versterken van Nederlands kwantum-ecosysteem, door te investeren in (1) kwantumcomputing, (2) kwantumnetwerken en (3) kwantumsensing. Behalve investeringen in R&D wordt het budget ook gebruikt voor een valorisatieprogramma, voor campusontwikkeling, en voor versterking van de nationale onderzoeksinfrastructuur via NanolabNL. Tevens is er aandacht voor de maatschappelijke impact van deze nieuwe technologie.
Van het bedrag van 615 miljoen uit het nationaal groeifonds is 54 miljoen euro direct toegekend voor Fase 1 van dit programma, welke is gestart in september 2021. Na positieve beoordeling van de uitvoering van Fase 1 is door het kabinet inmiddels ook de voorwaardelijke toekenning voor Fase 2 omgezet in een definitieve toekenning voor het bedrag van 228 miljoen euro. Na een tussentijdse evaluatie in 2025 zal een besluit worden genomen over de reservering van 333 miljoen euro voor Fase 3 van dit programma.

Vraag 11

Bent u het ermee eens dat de Nederlandse economie kan profiteren van de mogelijkheden van kwantumcomputers? Zo nee, waarom niet? Zo ja, op welke manier?

Ja, het kabinet is het hier mee eens. Om deze reden heeft de Adviescommissie Nationaal Groeifonds destijds positief geadviseerd om het kwantumDeltaNL project te honoreren. Kwantum is een ontwikkelende technologie, die een «game-changer» kan zijn op het gebied van rekenkracht en daarmee voor nieuwe verdienmodellen en oplossingen voor maatschappelijke problemen kan zorgen.
Op dit moment zien we een snelle groei van bedrijvigheid rondom deze sleuteltechnologie. Het ecosysteem van kwantumDeltaNL breidt zich snel uit met Nederlandse en buitenlandse startups en scale-ups die werken aan innovatieve componenten en services voor kwantumcomputers en kwantuminternet.
In het kader van het publiek-private samenwerkingsplatform voor cybersecurity kennis en innovatie dcypher wordt door de overheid, het bedrijfsleven en kennisinstellingen samengewerkt aan de ontwikkeling van innovatieve producten en diensten op het gebied van cryptocommunicatie. In aanvulling op de Nationale Crypto Strategie richt deze routekaart cryptocommunicatie zich voornamelijk op het ontwikkelen van het Nederlandse verdienvermogen met betrekking tot cryptografie op zoals dat binnen de overheid en het bedrijfsleven worden toegepast. Post-kwantum cryptografie is hier een belangrijk onderdeel van.

Vraag 1

Bent u bekend met dit artikel?1

Ja.

Vraag 2

Bent u bekend met het feit dat 43% van de Nederlanders zich zorgen maakt om de uitval van vitale processen, zoals onderzocht door de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV)? Hoe beoordeelt u dit? Welke mogelijkheden ziet u met deze zorgen aan de slag te gaan?2

Ja. Uit de Risico-en crisisbarometer voorjaar 20223, uitgevoerd in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) blijkt dat Nederlanders zich zorgen maken om cyberdreigingen (47%), geopolitieke dreigingen (45%) en uitval van vitale processen(43%). Het kabinet onderkent deze zorgen. Zoals ook blijkt uit het Dreigingsbeeld Statelijke Actoren 20214 (DBSA) en het Cybersecurity Beeld Nederland 20225 (CSBN) zijn vitale processen doelwit van statelijke actoren en digitale aanvallen. Om die reden heeft het Kabinet in 2021 de versterkte aanpak ter bescherming van de vitale infrastructuur aangekondigd en werkt het kabinet aan het tegengaan van statelijke dreigingen. In de Kamerbrief Voortgang Aanpak Statelijke Dreigingen6 uit 2021 bent u hierover geïnformeerd.
Met de versterkte aanpak wordt ingezet op het verbeteren van de bescherming van de Nederlandse vitale infrastructuur door het vitaal beleid, het vitaalstelsel en de wetgeving tegen het licht te houden en waar nodig te herzien. Daarnaast wordt ook vanuit de Europese Unie sinds 2020 gewerkt aan de Critical Entities Resilience Directive (CER) en de Network- and Information Security 2 Directive (NIS2). Beide richtlijnen gaan Nederland helpen te komen tot een verbeterde bescherming van de vitale infrastructuur om via wetgeving te borgen dat vitale aanbieders passende maatregelen nemen tegen risico’s die de continuïteit, integriteit of vertrouwelijkheid van hun vitale proces kunnen schaden. Om die reden wordt de toekomstige implementatie van beide richtlijnen binnen de versterkte aanpak voorbereid en betrokken bij het verbeteren van de bescherming van de Nederlandse vitale infrastructuur.

Vraag 3

Hoe beoordeelt u het gevaar voor ons stroomnet zoals in het artikel omschreven?

Zoals ook blijkt uit het CSBN nemen de risico’s op digitale incidenten toe door de toegenomen digitalisering en de opkomst van het Internet of Things (IoT).7 Dit wordt versterkt doordat statelijke actoren zeer actief zijn in het digitale domein. Deze statelijke actoren gebruiken het digitale domein in toenemende mate bij het behartigen van hun geopolitieke belangen.
De beschreven casus maakt daarnaast duidelijk dat dit soort IoT apparatuur aan hogere veiligheidsnormen moet voldoen met het oog op de nationale veiligheid.
Het kabinet zet zich in om te voorkomen dat deze risico’s een bedreiging vormen voor de continuïteit, integriteit en vertrouwelijkheid van de Nederlandse vitale processen, waaronder het landelijke transport, distributie en productie van energie. Om die reden zijn vitale aanbieders op basis van wetgeving, waaronder de Wet bescherming netwerk- en informatiesystemen (Wbni), verplicht tot het treffen van passende maatregelen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht) en worden zij geacht om inzicht te hebben in de risico’s die hun dienstverlening kunnen raken.
In dat kader heeft de Minister van Economische Zaken en Klimaat ondernemingen in deze sector aangewezen als zogenaamde Aanbieders van Essentiele Diensten (AEDs), onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het Agentschap Telecom (AT) houdt toezicht op deze aanbieders. Incidenten met aanzienlijke gevolgen voor de dienstverlening, moeten gemeld worden bij AT en het Nationaal Cyber Security Centrum (NCSC). Ook kunnen deze AEDs andere vrijwillige meldingen doen bij het AT en het NCSC. Het NCSC heeft als primaire taak om vitale aanbieders en Rijksoverheidsorganisaties in geval van dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen te informeren, adviseren en indien nodig bijstand te verlenen.
Daarnaast wordt er in Europees verband nu gewerkt aan een Europese, gedelegeerde verordening over cybersecurity in de elektriciteitssector (Netcode on Cybersecurity). Dit is specifieke Europese regelgeving waarin bindende voorschriften voor cybersecurity worden opgelegd aan entiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet. Op de naleving van deze verplichtingen zal toezicht worden gehouden, door onder andere het AT en de Autoriteit Consument en Markt. Onder deze Netcode kunnen ook entiteiten vallen die omvormers op grote schaal op afstand aansturen, ook wanneer zij zich niet op Europees grondgebied bevinden.

Vraag 4

Hoe beoordeelt u het feit dat China, of andere kwaadwillenden die het systeem kunnen (binnendringen en) beheersen, op deze manier digitale ontwrichting in gang zou kunnen zetten?

Zie antwoord vraag 3.

Vraag 5

Bent u het ermee eens dat dit een gevaar is voor onze nationale veiligheid?

De beschreven casus maakt duidelijk dat IoT apparatuur aan hoge veiligheidsnormen moet voldoen met het oog op onze nationale veiligheid. De antwoorden op vraag 3,4, 6 en 7 gaan in op de wijze waarop veiligheidsrisico’s worden gemitigeerd.

Vraag 6

Wat wordt gedaan de risico’s op korte termijn te beperken? In hoeverre zijn software- of hardwarematige aanpassingen een oplossing?

Internet of Things-apparaten, zoals de omvormers van zonnepanelen die beschreven zijn in het artikel, kunnen een risico vormen voor het elektriciteitsnet als deze slecht beveiligd en grootschalig aan te sturen zijn. Deze omvormers zijn nodig om het elektriciteitssysteem effectief te laten werken. Alle netbeheerders hebben op grond van Elektriciteitswet 1998 de verplichting de veiligheid en betrouwbaarheid van de netten en het transport van elektriciteit over de netten op de meest doelmatige wijze te waarborgen, echter kunnen netbeheerders apparaten achter de elektriciteitsmeter niet zonder meer weren van het elektriciteitsnet. Netbeheerders sluiten huizen, bedrijfspanden en andere onroerende zaken aan op hun elektriciteitsnet, maar kunnen niet zien of toezicht houden op het type apparaten dat binnen een huis of bedrijfspand op een stopcontact zit. Netbeheerders treffen om die reden voorbereidingen voor een eventuele, grootschalige inzet van IoT-apparaten in een cyberaanval, maar kunnen niet voorkomen dat apparaten met dergelijke veiligheidsrisico’s worden aangeschaft en in gebruikt worden genomen binnen een woning of bedrijfspand. Dit betekent dat er eveneens een belangrijke verantwoordelijkheid ligt bij leveranciers en fabrikanten van apparatuur om risico’s voor het elektriciteitsnet te verkleinen (hieronder worden de wettelijke trajecten die gaan gelden voor fabrikanten en leveranciers verder toegelicht).
Om risico’s van deze apparaten te mitigeren, wordt er ingezet op preventie, awareness en aanvullend wetgeving die producten softwarematig maar ook hardwarematig weerbaarder maakt tegen digitale aanvallen en mogelijk misbruik.
In dat kader wordt er op dit moment gewerkt aan verschillende trajecten van Europese wet- en regelgevingen om veiligheidsrisico’s te mitigeren. Onder de Radio Equipement Directive (RED) zijn cybersecurityeisen als markttoegangseisen voor draadloos verbonden apparaten aangenomen. Omvormers vallen ook onder de scope van de RED. 1 augustus 2024 moeten draadloos verbonden apparaten die de Europese markt op komen voldoen aan deze cybersecurityeisen. Apparaten die niet aan de eisen voldoen kunnen vanaf dat moment door AT van de markt worden geweerd en gehaald. In voorbereiding op het van kracht worden van de cybersecurityeisen onder de RED heeft AT naar aanleiding van deze casus een onderzoek ingesteld naar omvormers. Het AT zal het gesprek aan gaan met de desbetreffende fabrikanten hoe verbeteringen van de cybersecurity gerealiseerd kunnen worden.
Daarnaast wordt in het najaar een Europees wetsvoorstel van de Europese Commissie verwacht voor horizontale regulering voor de cybersecurity van ICT-producten en diensten, de Cyber Resilience Act. Nederland zet bij de Cyber Resilience Act in op een zorgplicht voor fabrikanten en leveranciers van alle ICT-producten en diensten in de hele productlevenscyclus. Hiervoor is een non-paper opgesteld en aangeboden aan uw Kamer op 14 december 2021.8 De Markttoezichtverordening (EU) 2019/1020 is van toepassing op de RED (EU) 2014/53. Deze verordening bevat regels en procedures voor marktdeelnemers betreffende producten die onder bepaalde harmonisatiewetgeving van de Unie vallen. Relevant is dat producten die binnen het toepassingsgebied van de RED vallen alleen in de handel mogen worden gebracht als er in de Unie een marktdeelnemer is die onder andere (technische) informatie kan verstrekken aan markttoezichtautoriteiten over het product en medewerking kan verlenen aan corrigerende maatregelen.
Als gevolg van de herziening van de NIS2 zullen meer bedrijven dan op nu in o.a. de energiesector in de toekomst moeten voldoen aan wettelijke verplichtingen voor cybersecurity. Deze verplichtingen bestaan uit een meldplicht voor incidenten en een zorgplicht om risico’s voor de continuïteit van de dienstverlening te beperken. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig zijn van leveranciers. Daarnaast zal de eerder genoemde Netcode on Cybersecurity tevens zorgen voor hogere cybersecurity eisen aan o.a. grootschalig aan te sturen omvormers.
Ten slotte wordt, om de veiligheid van informatiesystemen verder te verbeteren, aan de hand van de leidraad Coordinated Vulnerabilty Disclore (CVD) van het NCSC9 het melden van kwetsbaarheden in software gestimuleerd. Eigenaren van ICT-systemen kunnen op deze manier kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden. Indien het gaat om een complexe kwetsbaarheid die meerdere partijen raakt of als de eigenaar of leverancier niet of onvoldoende reageert, kan het NCSC optreden als bemiddelaar.

Vraag 7

Wat wordt gedaan deze veiligheidsrisico’s in de toekomst te voorkomen?

Zie antwoord vraag 6.

Vraag 8

Wanneer ontvangt de Tweede Kamer het toegezegde onderzoek/scan naar afhankelijkheden van vitale Nederlandse processen van landen met een cyberoffensief?3

Op 5 april 2022 is de motie11 van de leden Rajkowski en Van Weerdenburg aangenomen die het kabinet verzoekt een scan uit te voeren op de aanwezigheid van apparatuur of programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda in de vitale infrastructuur. Op dit moment wordt door het Ministerie van Justitie en Veiligheid, in samenwerking met de betrokken departementen, verkend op welke manier opvolging kan worden gegeven aan de motie. Uw Kamer wordt hierover zo spoedig mogelijk geïnformeerd.

Vraag 9

Bent u het ermee eens dat het zeer onwenselijk is dat Nederland voor haar vitale processen, zoals het stroomnet, deze mate van afhankelijkheid kent zoals in het artikel is omschreven? Zo nee, waarom niet? Zo ja, welke concrete stappen gaat u hiertoe nemen? Welk tijdspad heeft u hiervoor ogen?

Het kabinet is zich bewust van de risico’s met betrekking tot strategische afhankelijkheden en verstoringen in vitale processen en deelt de zorgen ten aanzien van elke ongewenste inmenging van statelijke actoren. Zoals ook in het DBSA, kunnen vitale processen doelwit zijn van voorbereidingshandelingen voor of daadwerkelijke (digitale) verstoring of sabotage. Zoals ook gesteld in het DBSA beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.
De inzet van het kabinet is daarom om risico’s op ongewenste strategische afhankelijkheden te mitigeren en tegelijkertijd het open investeringsklimaat van Nederland te beschermen. Daarnaast wordt, zoals ook gesteld in het antwoord op vraag 2, gewerkt aan een versterkte aanpak voor de bescherming van de vitale infrastructuur. Met een geactualiseerd instrumentarium worden onder andere technologische ontwikkelingen en geopolitieke veranderingen integraal meegewogen in het beoordelen van risico’s en vervolgens bij het nemen van gepaste en proportionele weerbaarheidsverhogende maatregelen. Hierbij worden ook de (intersectorale) afhankelijkheden van vitale processen, specifieke grondstoffen of andere randvoorwaarden meegenomen.

Vraag 10

Werkt u ook aan het voorkomen van afhankelijkheden in onze energievoorziening die ontstaan door de optelsom van veel kleine en vaak decentrale afhankelijkheden, naast het al plaatsvinden van een versterking van het toezicht op de aanbestedingen van Tennet op en aan het hoofdspanningnet?

Ik ben mij bewust van de risico’s die gepaard gaan met deze twee ontwikkelingen. De specifieke risico’s voor de energievoorziening van veel kleine en decentrale eenheden manifesteren zich met name, wanneer deze gezamenlijk en gecoördineerd in worden gezet in het kader van een cyberaanval. Ik verwijs u terug naar de antwoorden op vraag 3,4, 6 en 7 voor een uiteenzetting van de instrumenten en maatregelen gericht op het voorkomen van dergelijke risico’s.
Zoals eerder beschreven hebben netbeheerders een algemene taak om hun netten te beschermen, op grond van Europese regels en zoals vereist in de Elektriciteitsnet 1998 en de Gaswet. Er is al een uitgebreid Europees pakket aan wet- en regelgeving dat invult hoe netbeheerders in algemene zin veiligheidsrisico’s moeten voorkomen en hoe zij de gevolgen van incidenten moeten mitigeren of wegnemen.

Vraag 11

Ziet u ook risico’s voor individuele huishoudens en bedrijven door deze afhankelijkheid ontstaan? Hoe mitigeert u deze risico’s?

Digitale apparaten van individuele huishoudens en bedrijven kunnen in theorie gehackt worden, zeker wanneer deze aan het internet gekoppeld zijn. Dat geldt dus ook voor apparaten waarmee elektriciteit wordt opgewekt (of opgeslagen). De beste manier om zulke risico’s te mitigeren is via cyberveiligheidseisen die aan apparaten worden gesteld. Afronding en implementatie van de eerder genoemde Radio Equipment Directive (RED) en Cyber Resilience Act (CRA) zullen ervoor zorgen dat ook de digitale veiligheid van IOT apparaten van individuele huishoudens en bedrijven verhoogd wordt. De Netcode on Cybersecurity zal daarnaast voorzien in aanvullende cybersecurity eisen voor de elektriciteitssector.

Vraag 12

Zijn er andere energiebronnen waarvoor Nederland afhankelijk is van de Chinese techniek waar u soortgelijke risico’s ziet? Hoe gaat u deze risico’s mitigeren?

Het Rijk heeft niet inzichtelijk in hoeverre welke energiebronnen precies allemaal afhankelijk zijn van Chinese techniek en daarbij is er geen overzicht over alle lopende en aankomende aanbestedingen bij vitale aanbieders.
Wel biedt het Rijk ondersteuning en begeleiding op aanvraag aan vitale aanbieders wanneer zij te maken hebben met een (mogelijk) risicovolle aanbesteding. Hiervoor is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het Rijk kan daarbij ondersteuning bieden.
Met betrekking tot het digitaal veiliger maken van Internet of Things apparatuur, is eerder benoemd welke wetgeving in Europees verband van toepassing is.
Ook bij andere energiebronnen dan elektriciteit maakt internationale handel ons in zekere mate afhankelijk van andere landen. In EU-verband zetten we in op het vergroten van onze veerkracht en op strategische autonomie, onder meer door het diversifiëren en versterken van wereldwijde toeleveringsketens van kritieke grondstoffen12.
De handvatten voor bedrijven zijn onder anderen de Elektriciteitswet 1998 en Gaswet voor netbeheerders, waarin zij een wettelijke taak hebben hun netten te beschermen tegen invloeden van buitenaf. Er is in 2020 door het kabinet, in het licht van de invulling van de eigen vermogensbehoefte van TenneT Duitsland, een nationale veiligheidsanalyse uitgevoerd. Dit heeft geresulteerd in een aantal aanbevelingen tot wijziging van de Elektriciteitswet 1998. De Kamer is hierover geïnformeerd op 19 mei 202113.
Daarnaast is recent de Wet Veiligheidstoets Investeringen, Fusies en Overnames (Vifo) aangenomen. Deze wet voorziet in instrumenten om risico’s voor de nationale veiligheid als gevolg van investeringen, fusies en overnames te mitigeren. Met deze wet kunnen zeggenschapswijzigingen in bepaalde bedrijven ex-ante worden getoetst, waarna eventueel mitigerende maatregelen kunnen worden opgelegd en in het uiterste geval transacties kunnen worden geblokkeerd. De Wet Vifo is van toepassing op vitale aanbieders die buiten bestaande sectorale investeringstoetsen vallen, zoals Elektriciteitswet, de Gaswet en de Telecommunicatiewet, alsmede op beheerders van bedrijfscampussen en ondernemingen actief op het gebied van sensitieve technologie. Gezien de ontwikkelingen in de energiesector zijn er een aantal energie-gerelateerde processen meegenomen in de deze wet. Dit zijn aanbieders van de volgende diensten: warmtetransport, gasopslag, kernenergie en winbare energie. De Wet Vifo treedt naar verwachting begin 2023 in werking zodra de benodigde lagere regelgeving bij de Wet Vifo gereed is.
Tot slot zijn er in de nieuwe Energiewet die deze zomer ter advisering aan de Raad van State is aangeboden, extra mogelijkheden gecreëerd zoals het kunnen toepassen van de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV).
De ADV heeft voorrang op de Aanbestedingswet (Aw) 2012 voor opdrachten die onder het toepassingsbereik van de ADV vallen. De ADV biedt meer mogelijkheden voor het nemen van risico mitigerende maatregelen dan de Aw 2012 in geval van risico’s voor de nationale veiligheid en de bescherming van vitale processen in het bijzonder.

Vraag 13

Lopen er op dit moment aanbestedingen, of worden er binnenkort aanbestedingen gestart, binnen de vitale sector die de afhankelijkheid van Nederland van landen met een offensieve cyberstrategie op onwenselijke wijze zal vergroten?

Zie antwoord vraag 12.

Vraag 14

Bent u het ermee eens dat bij aanbestedingen van vitale Nederlandse processen voorkomen moet worden dat landen met een offensief cyberstrategie deze mate van invloed krijgen vanwege de enorme veiligheidsrisico’s en de kans op mogelijke digitale ontwrichting? Zo ja, welke mogelijkheden ziet u deze afhankelijkheid van deze landen te verminderen om ons land veiliger te maken? Zo nee, waarom niet?

Eind 2018 is een verscherpt inkoop- en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid. Voor aanbestedingen geldt dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Zoals wordt genoemd in antwoord op vraag 12 en 13 is ter ondersteuning van dit beleid een instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen.