Kamervragen

Alle

12 juni 2024 - 2 september 2024

82 dagen

De huiverigheid van werkgevers om kunstmatige intelligentie in te zetten
	Thierry Aartsen (VVD), Queeny Rajkowski (VVD)
	Micky Adriaansens (VVD), Karien van Gennip (CDA)

Bronnen

1. FD, 11 juni, «Werkgevers nog huivering voor inzet AI», (Werkgevers nog huiverig voor inzet AI (fd.nl)).
2. Kamerstuk 21 501-33, nr. 1041.

Vraag 1

Bent u bekend met het artikel gepubliceerd in het FD «Werkgevers nog huiverig voor inzet kunstmatige intelligentie»?1

Ja, ik ben bekend met dit artikel.
Vraag 2

Bent u het eens met de stelling dat de toepassing van kunstmatige intelligentie door werkgevers de arbeidsmarktkrapte in specifieke sectoren zou kunnen verlichten? Welke mogelijkheden ziet u hierin op korte en lange termijn? Wat ziet u als de rol van de overheid in het kader van het stimuleren van en ruimte geven voor het gebruik van kunstmatige intelligentie in het bedrijfsleven?

Kunstmatige intelligentie (hierna AI) biedt kansen voor het verdienvermogen en de brede welvaart van Nederland. AI kan werkenden in staat stellen om productiever te werken, en werkgevers helpen om meer werk gedaan te krijgen met dezelfde mensen. Tegelijkertijd kan AI risico’s opleveren, bijvoorbeeld op discriminatie bij CV-selectie bij het solliciteren.
AI kan de arbeidsmarktkrapte verlichten in specifieke functies en sectoren. We zien voorbeelden in onder meer de zorg, landbouw en maakindustrie. Zo kan AI automatisch gesprekken tussen arts en patiënt opnemen en hier medische notities van maken, helpen bij precisielandbouw, en beslissingen nemen op het gebied van planningsmethodieken.
Zoals staat geformuleerd in diverse beleidsstukken2 is een rol weggelegd voor de overheid om de ontwikkeling van AI te stimuleren en in de juiste banen te leiden. Zo stimuleert het Ministerie van Economische Zaken (EZ) AI-innovatie via onder meer het meerjarig en publiek-private AiNed investeringsprogramma. Met de AI-verordening worden risico’s van AI-systemen en toepassingen aangepakt en wordt de ontwikkeling van betrouwbare AI gestimuleerd. De risico-gebaseerde benadering van de AI-verordening biedt duidelijkheid over welke AI-toepassingen mogen worden ingezet, en onder welke voorwaarden. Dat biedt werkgevers een helder afgebakend juridisch kader waarbinnen zij aan de slag kunnen met productiviteitsverhogende AI-toepassingen.
Om beter zicht te krijgen op de gevolgen van AI voor werk en de arbeidsmarkt, heeft het kabinet op 18 januari 2024 een adviesaanvraag ingediend bij de SER.3 In die adviesaanvraag wordt expliciet aandacht besteed aan de kansen van AI om de productiviteit te verhogen, en wordt gevraagd om meer zicht te krijgen op de barrières waar werkgevers tegenaan lopen. Het advies wordt begin 2025 verwacht. Het kabinet komt daarna met een kabinetsreactie op dit advies.
Vraag 3

Betreurt u het dat sommige werkgevers de kansen van kunstmatige intelligentie aan zich voorbij laten gaan? Zo ja, welke redenen ziet u hieraan ten grondslag liggen? Zo nee, waarom niet? En zou u in dat geval bereid te zijn om actie te ondernemen om ondernemers of brancheverenigingen die willen investeren in innovaties zoals Artificial intelligence (AI) daarin te ondersteunen?

Ondanks de kansen van AI voor werkgevers, is het wel begrijpelijk dat sommige werkgevers AI nu nog niet omarmen. Dat kan bijvoorbeeld te maken hebben met het marktsegment, onbekendheid, onvoldoende kennis en het betrachten van zorgvuldigheid bij de inpassing van deze technologie in de eigen bedrijfsprocessen. AI is immers een technologie die sterk in ontwikkeling is en een weloverwogen toepassing daarvan kost tijd. Tegelijkertijd zijn er veel werkgevers die wel actief met de mogelijkheden van AI aan de slag zijn.
Het AI-beleid in Nederland heeft zich sinds 2019 gericht op maatregelen om de maatschappelijke en economische kansen van AI te verzilveren en de publieke belangen zoals fundamentele rechten te borgen, om zodoende bij te dragen aan de brede welvaart.
Veel acties om AI-onderzoek en innovatie te versterken worden gefinancierd met middelen uit AiNed. Momenteel werkt AiNed aan de oprichting van verschillende AI-innovatielabs, waarbij kansen voor generatieve AI worden geïncorporeerd. Dit omvat waarschijnlijk AI-toepassingen voor de gezondheidszorg, energie, productie en mobiliteit.
Voor de financiering van digitale innovatie op AI worden open calls van de Nederlandse Organisatie voor Wetenschappelijk Onderzoeken (NWO) en Rijksdienst voor Ondernemend Nederland (RVO) ingezet. In aanvulling op AiNed is begin 2023 het tienjarige AI-programma ROBUST gestart voor de realisatie van 17 nieuwe AI-onderzoekslabs en 170 promovendi op het gebied van betrouwbare machine learning, ter versterking van de expertise op het gebied van AI in Nederland.
Ook hebben we naast deze initiatieven verschillende nationale financiële generieke instrumenten, zoals de Wet Bevordering Speur- en Ontwikkelingswerk (WBSO) en de Mkb innovatiestimulering topsectoren (MIT), waarbij we bedrijven, voornamelijk mkb-bedrijven, ondersteunen bij het gebruik van AI. Verder versterkt het kabinet het AI-ecosysteem via de Nederlandse AI Coalitie (NL AIC). Deze coalitie is erop gericht om publiek-private samenwerking in het land te versterken en krachten te bundelen op het gebied van kennis, innovatie en vaardigheden. Deze aanpak moet Nederland internationaal positioneren als één AI-ecosysteem, met als doel het verzilveren van kansen voor mensgerichte AI. Zeven regionale hubs zorgen voor het verbinden van het innovatieve midden- en kleinbedrijven (mkb), kennisinstellingen en andere organisaties.
Het kabinet informeert zoveel mogelijk partijen en met name het mkb over het feit dat de AI-verordening eraan komt en wat deze wetgeving voor hen gaat betekenen. Zo organiseert EZ in samenwerking met de NL AIC verschillende informatiesessies voor startups en het innovatieve mkb. Via overheidskanalen (Ondernemersplein/Kamer van Koophandel en Digitaleoverheid.nl) worden publieke en private organisaties geïnformeerd over de AI-verordening. Voor bedrijven en andere organisaties wordt het mogelijk om deel te nemen aan regulatory sandboxes. Hierbinnen kunnen toezichthouders samen met de aanbieders van AI werken aan oplossingen voor compliance-vraagstukken.
Vraag 4

Constateert u een onderscheid in het gebruik van AI-technologie tussen midden- en kleinbedrijf (mkb-)werkgevers en grotere werkgevers? Constateert u een onderscheid tussen het gebruik van AI bij (semi) publieke werkgevers en private werkgevers? Kunt u eventuele verschillen duiden aan de hand van de effecten op de concurrentiepositie van Nederland en individuele sectoren?

De AI-adoptiegraad van het Nederlandse bedrijfsleven behoorde in 2023 tot de top 5 van de EU4. In algemene zin hebben grotere bedrijven meer mogelijkheden om in te spelen op nieuwe technologie dan kleinere bedrijven. Dat is ook de reden dat in grotere programma’s voor onderzoek en innovatie zoals het AiNed-programma expliciet aandacht uitgaat naar het innovatieve mkb. Een deel van het AiNed-programma richt zich ook op het bevorderen van AI-innovatie in sectoren die belangrijk zijn voor Nederland, namelijk: gezondheid en zorg, energie en duurzaamheid, mobiliteit, transport en logistiek, en de technische industrie.
In de Quickscan AI in de Publieke Dienstverlening III5 uitgevoerd door TNO, in opdracht van de werkgroep Publieke Diensten van de NL AIC, worden voorbeelden gegeven van het gebruik van AI bij de publieke dienstverlening. Deze voorbeelden zijn ook vergeleken met de eerdere bevindingen uit 2019 en 2021. Het aantal toepassingen in de publieke dienstverlening is in de afgelopen vijf jaar flink gestegen. Waar in 2019 nog 75 voorbeelden van toepassingen werden betrokken bij de analyse, ziet de analyse in het rapport van 2024 op 266 voorbeelden van toepassingenverspreid over verschillende stadia van ontwikkeling en in verschillende sectoren, waaronder transport en mobiliteit, en publieke orde en veiligheid. Gemeenten zijn hierin koplopers. Het onderzoek van TNO laat zien dat AI bij de overheid volwassener is geworden.
Vraag 5

Kunt u inzicht geven in de redenen waarom Nederlandse werkgevers in vergelijking met Polen, Duitsland en België huiveriger zijn om kunstmatige intelligentie toe te passen? Wat kan Nederland van deze landen leren? Speelt overheidsbeleid in de voorgenoemde landen een rol in de implementatie van AI-technologie? Bent u in gesprek met werkgeversorganisaties om inzicht te krijgen in de bezwaren die werkgevers hebben om de kansen van AI te benutten? Zo ja, wat zijn de redenen? Zo nee, bent u bereid om dit gesprek op korte termijn te voeren?

Het FD-artikel geeft aan dat in het Europese onderzoek door HR-dienstverlener SR Worx dit beeld naar voren komt. Tegelijkertijd komt uit de Europese index van de digitale economie en samenleving (DESI) naar voren dat het Nederlandse bedrijfsleven behoort tot de top 5 van de EU met betrekking tot het gebruik van AI-technologieën, net onder Denemarken, Finland, Luxemburg en België. Voor Nederland geldt volgens de DESI dat 13,40% van alle bedrijven (met 10 of meer werknemers) AI-technologieën gebruikt, boven het EU-gemiddelde van 8%. Echter is de jaarlijkse groei (1,1%) lager dan het gemiddelde op EU-niveau (2,6%).6 In de onderliggende landenrapporten staat een nadere toelichting opgenomen over het beleid op het gebied van digitale economie en samenleving. Nederland kijkt voor beleidsontwikkeling op het gebied van AI ook naar wat andere landen doen. De ervaring is wel dat initiatieven van andere landen niet altijd 1 op 1 zijn over te nemen in de Nederlandse situatie.
EZ voert al geruime tijd gesprekken met bedrijven en werkgeversorganisaties over de kansen van AI en de benodigde maatregelen om deze kansen te benutten. Deze gesprekken wil EZ ook in de toekomst blijven voeren.
Vraag 6

Bent u het ermee eens dat er een rol voor de overheid is weggelegd in het verdere stimuleren van het gebruik van innovatie in het algemeen en kunstmatige intelligentie in het bijzonder door werkgevers ten behoeve van arbeidsproductiviteitsstijging, economische groei en het verlichten van arbeidsmarktkrapte? Op welke manier uit dit zich?

Zoals gesteld in de beantwoording van vraag 2 biedt AI kansen om werknemers te ondersteunen bij het uitvoeren van hun taken om daarmee productiever te worden. Een hogere arbeidsproductiviteit door AI kan echter ook leiden tot een grotere vraag naar die arbeid. Hiermee stijgt de economische groei maar wordt de arbeidsmarktkrapte maar ten dele opgelost. Voor wat de overheid aanvullend doet om werkgevers te stimuleren bij het gebruik van AI verwijs ik u naar de eerdere beantwoording bij vraag 2 en 3.
In het algemeen bestaat er bij het stimuleren van het gebruik van innovaties een beperkte rol voor de overheid. Bij het gebruik van innovaties binnen de processen van organisaties blijft een groot deel van de voordelen van deze innovaties bij de bedrijven zelf. Zij ervaren een sterke prikkel om deze nieuwe innovaties toe te passen, daarmee winst te maken en tegelijk bij te dragen aan de samenleving als geheel. De overheid heeft een grotere rol als de innovatieprikkel voor ondernemers niet sterk genoeg is, terwijl de economie en maatschappij veel kunnen profiteren van de betreffende innovatie. Ook zorgt de overheid met wet- en regelgeving voor heldere verwachtingen voor ondernemers, wat het risico van innoveren vermindert.
Daarnaast zijn er op het gebied van het mkb, specifiek het micro- en kleinbedrijf, bij het gebruik van innovaties en procesinnovatie in den brede uitdagingen door de interne organisatie. Een gebrek aan kennis en kunde, interne capaciteit en kortetermijnvisie zorgen volgens een onderzoek van Technopolis7 voor deze knelpunten, met name bij bedrijven die beschikbare procesinnovaties toepassen. Mede naar aanleiding van een tweetal Kamermoties is onderzocht welke instrumenten kunnen helpen om procesinnovatie binnen het mkb te stimuleren.8 Het streven is om dit najaar te starten met kleinschalige beleidsexperimenten waarin wordt onderzocht welke aanpak het meest effectief en doelmatig is om implementatie van procesinnovaties in het mkb te ondersteunen. Hierbij wordt samengewerkt met de TU Delft, TNO en branches Koninklijke MetaalUnie en Bouwend Nederland.
Vraag 7

Kunt u de verschillende maatregelen die op dit moment door het Ministerie van Sociale Zaken en Werkgelegenheid, het Ministerie van Economische Zaken en Klimaat en het Ministerie van Financiën worden genomen om het gebruik van kunstmatige intelligentie onder werkgevers te stimuleren opsommen? Welke effecten van deze maatregelen ziet u en welke effecten verwacht u nog?

Zoals staat toegelicht in de beantwoording van vraag 3 stimuleert het kabinet al langer het AI-ecosysteem. Via de Voortgangsrapportage Strategie Digitale van EZ wordt uw Kamer jaarlijks geïnformeerd over het bevorderen van de ontwikkeling en toepassing van digitale innovaties, zoals AI, en de effecten van dit beleid. De Ministeries van Sociale Zaken en Werkgelegenheid (SZW) en Financiën hebben geen specifieke maatregelen op dit terrein.
Vraag 8

Bent u het ermee eens dat het naar Nederland halen van een AI-fabriek zou kunnen bijdragen aan de beeldvorming dat innoveren en experimenteren met AI ook in Nederland mogelijk is? Zo nee, waarom niet?

Om het Europese AI-ecosysteem verder te versterken, heeft de Europese Commissie in januari 2024 het AI-innovatiepakket gelanceerd. In de BNC-fiches hierover is positief gereageerd op het voorstel van de Commissie om AI-fabrieken te ontwikkelen.9 Het voorstel voor amendering van de verordening omtrent de voortzetting van de gemeenschappelijke onderneming voor High Performance Computing (HPC) is 23 mei jl. goedgekeurd door de Raad van Concurrentievermogen.
In de Kamerbrief «Verkenning mogelijkheden AI-faciliteit»10 van 4 juni jl. is uw Kamer onlangs geïnformeerd over drie scenario’s die de Ministeries van Onderwijs, Cultuur en Wetenschap (OCW), Binnenlandse Zaken (BZK) en EZ momenteel aan het verkennen zijn, namelijk: 1) bestaande middelen gebruiken, 2) meer investeringen in Europese AI-fabrieken, en 3) AI-faciliteit in Nederland, waarbij deze faciliteit onderdeel uitmaakt van het bredere Europese supercomputerecosysteem (gemeenschappelijke onderneming EuroHPC). Per scenario brengen de betrokken ministeries momenteel de meerwaarde en haalbaarheid in kaart. Hierin is onder meer aandacht voor de impact op maatschappelijke en economische belangen, in lijn met de Strategie Digitale Economie11 en de Werkagenda Waardengedreven Digitaliseren12.
Het scenario met een Nederlandse AI-fabriek vergt wel grote initiële investeringen. De scenario-aanpak is bedoeld om als kabinet een zorgvuldige afweging te kunnen maken. Naar verwachting is deze analyse dit najaar gereed.
Vraag 9

Wat kan het Ministerie van Sociale Zaken en Werkgelegenheid, waar nodig in samenwerking met andere ministeries en werkgeversorganisaties, doen om werkgevers in hun kennisbehoefte voor kunstmatige intelligentie te voorzien?

Binnen het kabinet is het Ministerie van Economische Zaken verantwoordelijk voor beleid ten aanzien van kunstmatige intelligentie in de economie.
Zoals ook staat toegelicht in de beantwoording van vraag 5 voert EZ al geruime tijd gesprekken met bedrijven en werkgeversorganisaties over de kansen van AI, en de benodigde maatregelen om deze kansen te benutten. Deze gesprekken wil EZ ook in de toekomst blijven voeren. Ook in de communicatie van EZ wordt aandacht besteed aan concrete voorbeelden van nuttige AI-toepassingen door bedrijven. Het is ook belangrijk dat de ervaringen die worden opgedaan in innovatieprojecten breder worden gedeeld. Daarom wordt er binnen AiNed een specifieke actielijn voor kennisdeling ontwikkeld.
In de adviesaanvraag aan de SER13 heeft het vorige kabinet de kennisopbouw binnen organisaties expliciet benoemd als randvoorwaarde voor productiviteitsgroei door AI. Het kabinet heeft de SER verzocht scherp in beeld te brengen welke knelpunten hierop bestaan. Naar aanleiding van het SER advies zal het kabinet overwegen of er aanvullende acties nodig zijn om mogelijke knelpunten op te lossen.
Vraag 10

Ziet u mogelijkheden om werkgevers van prikkels te voorzien om kunstmatige intelligentie toe te passen?

Ervaring leert dat werkgevers door goede voorbeelden en ervaringen van andere werkgevers worden geprikkeld om te innoveren. Het jaarlijkse AI-congres van de NL AIC draagt hieraan bij. Zoals ook staat aangegeven in de beantwoording van vraag 9 besteed de communicatie van EZ aandacht aan concrete voorbeelden van nuttige AI-toepassingen van bedrijven. Het is ook belangrijk dat de ervaringen die worden opgedaan in innovatieprojecten breder worden gedeeld. Daarom wordt er binnen AiNed een specifieke actielijn voor kennisdeling ontwikkeld.
Vraag 11

Bent u bereid om met sociale partners, brancheorganisaties en de «Nederlandse AI coalitie» een dialoog te openen over de kansen van kunstmatige intelligentie en de verantwoordelijkheid die sociale partners en brancheorganisaties kunnen nemen in het verspreiden van kennis over kunstmatige intelligentie onder werkgevers over onder andere het verhogen van de arbeidsproductiviteit, het versterken van de innovatiekracht en het aanpakken van arbeidsmarkt? Zo ja, hoe wordt dit bewerkstelligd? Zo nee, waarom niet? Is hier een rol in weggelegd voor AI-adviesraad, zoals voorgesteld in motie-Rajkowski?2 Hoe kan deze worden ingevuld? Zo nee, waarom niet?

De maatschappelijke dialoog over de kansen van AI vindt al plaats. Dit gebeurt onder meer tussen sociale partners met daarbij ook de Kroonleden in de SER, tussen alle deelnemende partijen binnen de Nederlandse AI-Coalitie, en bij de totstandkoming en naar aanleiding van de overheidsbrede visie op generatieve AI.
Zoals in de Kamerbrief «Verzamelbrief Digitalisering juni 2024»15 vermeld, verkent het kabinet conform de motie Dekker-Abdulaziz en Rajkowski16 op dit moment het inrichten van een AI-adviesraad. De afgelopen tijd hebben vanuit BZK, OCW, en EZ vele gesprekken plaatsgevonden met AI experts en wetenschappers om te verkennen wat de mogelijkheden zijn voor een dergelijke adviesraad. Daaruit komt vooral het thema van nieuwe ontwikkelingen en de kansen of bedreigingen die deze ontwikkelingen opleveren naar voren. Wat bevoegdheden betreft komt uit de gesprekken duidelijk naar voren dat het daarbij vooral belangrijk is dat er een doorlopende dialoog is met de overheid, om te zorgen dat advies en beleid bij elkaar blijven komen. Aan de nadere vormgeving van de adviesraad, inbegrepen haar bevoegdheden, wordt nog gewerkt. Hierbij wordt er ook juridisch bekeken welke mogelijkheden de Kaderwet Adviescolleges hiertoe biedt. Naar verwachting wordt dit najaar een voorstel aan uw Kamer verstuurd.

10 juni 2024 - 9 september 2024

91 dagen

Het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht
	Queeny Rajkowski (VVD)
	Micky Adriaansens (VVD), Alexandra van Huffelen (D66)

Bronnen

1. NOS (4 juni 2024). Werknemers in brief: «OpenAI is roekeloos en het o…

Vraag 1

Bent u bekend met het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht?1 Herkent u de zorgen zoals geuit in de brief van huidig en voormalig werknemers van OpenAI? Zo ja, hoe ziet de Minister het mogelijke gevaar van het versterken van ongelijkheid en het verspreiden van desinformatie door AI (in Nederland)? Welke gevaren ziet de Minister nog meer?

Ja, hier ben ik mee bekend. Ik herken de risico’s die worden genoemd in de brief en de bezorgdheid over het effect dat artificiële intelligentie (AI) kan hebben op het creëren en verspreiden van mis- en desinformatie.
Generatieve AI zoals de producten van OpenAI maken het in potentie makkelijker om mis- en desinformatie te creëren. Om deze risico’s te beperken zijn regels opgesteld in de AI-verordening. Zo moeten aanbieders van AI-systemen die synthetische content2 genereren ervoor zorgen dat de output van het AI-systeem wordt gemarkeerd in een machineleesbaar formaat en detecteerbaar zijn als kunstmatig gegenereerd of gemanipuleerd. Dit maakt het makkelijker voor grote online platforms om systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content te identificeren en te beperken. Verder geldt dat AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum, of van het stemgedrag bij verkiezingen of referenda als hoog-risico worden geclassificeerd vanuit de AI-verordening. Aanbieders van deze systemen moeten dan ook voldoen aan de eisen en verplichtingen voor AI-systemen met een hoog risico, zoals het identificeren en voorkomen van risico’s. OpenAI verbiedt dan ook het gebruik van hun producten voor politieke beïnvloeding.
Het kabinet wil dat deze risico’s van generatieve AI worden ingeperkt en aangepakt, maar ook de kansen van generatieve AI benutten voor het tegengaan van desinformatie. In de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie3, die onlangs vanuit mijn ambtsvoorgangers, aan uw Kamer is verzonden, wordt dieper ingegaan op de impact van generatieve AI en het verspreiden van desinformatie.
Het kabinet erkent ook het risico dat AI kan hebben op groeiende ongelijkheid en de sociaaleconomische implicaties. Daarom steunt zij ook het eerder aangevraagd advies van het vorige kabinet hierover aan de Sociaal Economische Raad4, zodat het kabinet samen met werkgevers en werknemers actie kan ondernemen om de impact van AI op de samenleving op een verantwoorde manier een vervolg te geven. De AI-verordening heeft als doel om risico’s van AI-systemen aan te pakken, waaronder het risico op discriminatie wat ongelijkheid veroorzaakt en kan vergroten. De AI-verordening bepaalt dat onder meer risico’s op aantasting van fundamentele rechten zoals het recht op non-discriminatie moeten worden aangepakt bij de ontwikkeling van AI-systemen en bij de inzet van AI-systemen door overheidsinstanties.
Vraag 2

Hoe ziet u in algemene zin het spanningsveld tussen het feit dat de AI Act pas in haar volledige vorm over enkele jaren in werking treedt en dat het op dit moment wenselijk kan zijn om toezicht te houden en daar waar nodig in te grijpen bij organisatie die maatschappij veranderende technieken uitbrengen, zoals kunstmatige intelligentie en large language models?

Als het gaat om het reguleren van AI als product binnen de EU en in Nederland, vormt de AI-verordening hiervoor het juridisch fundament. De AI-verordening is in werking getreden op 1 augustus jl. en wordt stapsgewijs van toepassing. Zo zijn bepaalde AI-praktijken al na 6 maanden verboden. De eisen voor AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI naar verwachting ook onder vallen) zijn al na 12 maanden van toepassing. Hieronder vallen ook de zwaardere eisen wanneer deze modellen ook voor systeemrisico’s kunnen zorgen. Voor de eisen aan hoog-risico AI-toepassingseisen gelden termijnen van 24 en 36 maanden. Het is belangrijk dat ontwikkelaars en gebruiksverantwoordelijken van deze AI-modellen en systemen voldoende tijd hebben om zich goed te kunnen voorbereiden op het van toepassing worden van de eisen.
Het kabinet neemt nu al stappen om risico’s van (generatieve) AI te adresseren. Daarom wordt in Nederland al hard gewerkt aan het versterken van het toezicht op AI, mede in voorbereiding op de AI-verordening. Zo is onder de Autoriteit Persoonsgegevens (AP) de Directie Coördinatie Algoritmes (DCA) opgericht om het toezicht op algoritmes en AI in Nederland te versterken. Dit doet zij door risico’s van algoritmes en AI te signaleren en analyseren, samenwerking tussen toezichthouders te versterken en guidance te bevorderen. Daarnaast hebben de Rijksinspectie Digitale Infrastructuur (RDI) en de DCA in 2024 samen 3,1 miljoen euro ontvangen van het Ministerie van Economische Zaken om Nederland te kunnen voorbereiden op het inrichten van toezicht op de AI-verordening. De RDI en DCA bieden in de loop van dit jaar een definitief advies aan over de inrichting van het toezicht op de AI-verordening aan de bewindspersonen van Economische Zaken, Binnenlandse Zaken en Koninkrijksrelaties en Justitie en Veiligheid. Daarna wordt de voorgenomen inrichting van het toezicht opgenomen in de uitvoeringswet die aan het parlement wordt voorgelegd via de gebruikelijke wegen.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 1 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stellen aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Het AI-bureau («AI Office») van de Europese Commissie is bevoegd om toezicht te houden op AI-modellen voor algemene doeleinden. De eisen voor deze modellen treden 1 augustus 2025 in werking, waarna het AI-bureau kan gaan controleren of deze worden nageleefd.
Er wordt niet gewacht tot de AI-verordening van toepassing is om veilige ontwikkeling en gebruik van AI te bevorderen. Zo heeft de Europese Commissie recent het «AI Pact» gelanceerd. Dit AI Pact heeft als doel om organisaties vroegtijdig aan de AI-verordening te laten voldoen. Aan de ene kant door informatie en best practices tussen organisaties uit te wisselen, en aan de andere kant door organisaties te motiveren om toe te zeggen dat ze vroegtijdig aan de eisen zullen voldoen. Daarnaast ontwikkelt het AI-bureau al verschillende instrumenten die bijdragen aan een effectieve uitvoering van de AI-verordening, zoals richtsnoeren en lagere wetgeving die de AI-verordening verder duidelijk maken, praktijkcodes, benchmarks en het ondersteunen en bundelen van kennis uit de verschillende adviesorganen. Daarbij draagt de Commissie namens de Europese lidstaten bij aan internationale gedragscodes voor geavanceerde AI-systemen, zoals de Hiroshima gedragscode van de G7.5 Nederland volgt deze ontwikkelingen nauw en werkt tijdens de implementatie van de AI-verordening via verschillende adviesorganen nauw samen met het Europese AI-bureau.
Daarnaast bestaan er al verschillende wetten die niet specifiek over AI gaan, maar die wel normen bevatten waarmee de inzet van AI wordt gereguleerd. De Algemene Verordening Persoonsgegevens (AVG) biedt bijvoorbeeld juridische kaders bij geautomatiseerde besluitvorming met behulp van AI en bij het verwerken van persoonsgegevens voor het trainen of gebruik van AI. Op grond van de AVG hebben EU privacy toezichthouders ervoor gezorgd dat ChatGPT extra privacy waarborgen biedt. De Algemene wet bestuursrecht (Awb) stelt normen aan de kwaliteit van overheidsbesluiten en de motivering daarvan, ook als daar AI voor wordt gebruikt. De Algemene wet gelijke behandeling (Awgb) beschermt tegen discriminatie als AI-systemen worden gebruikt bij het aanbieden van bijvoorbeeld werk, goederen en diensten.
Tenslotte zijn er de afgelopen jaren verschillende (niet-regulerende) beleidsacties op nationaal niveau opgezet die ook bijdragen aan een verantwoorde inzet van AI. Voorbeelden hiervan zijn het algoritmeregister voor AI dat wordt gebruikt door de overheid6, de ELSA-labs7, het investeringsprogramma AiNed, het ROBUST programma en het impact assessment mensenrechten algoritmes (IAMA).
Vraag 3

Welke mogelijkheden zijn er in afwachting van de volledige inwerkingtreding van de AI-Act om de negatieve risico’s van AI op de samenleving te mitigeren? Zijn er mogelijkheden om op te treden tegen activiteiten en handelingen die nu formeel nog niet als illegaal bestempeld zijn onder de AI-Act, maar dat wel gaan zijn zodra de volledige AI-Act in werking zal treden?

Het is pas mogelijk om juridisch op te treden tegen activiteiten en handelingen op het moment dat zij illegaal zijn. Alhoewel de AI-verordening nog niet (volledig) van toepassing is, kunnen bepaalde activiteiten en handelingen op dit moment al wel illegaal zijn op grond van bestaande juridische kaders, zoals non-discriminatiewetgeving. Bijvoorbeeld als deze activiteiten en handelingen onrechtmatig zijn.
Overigens is het denkbaar dat activiteiten en handelingen illegaal zijn, terwijl het toezicht daarop en de handhaving daarvan op dat moment nog niet zijn gerealiseerd. Zo zijn de verboden in de AI-verordening van toepassing met ingang van 1 februari 2025, terwijl het toezicht op en de handhaving van de verboden pas 6 maanden later geregeld hoeft te zijn.8 Voor het inzetten van toezichtsbevoegdheden of handhavend optreden is een grondslag in de nationale (formele) wet noodzakelijk.9 Tot die tijd is een overtreding van de verboden wel onrechtmatig en kan een procedure gestart worden bij de civiele rechter. Tevens kan een toezichthouder, na de aanwijzing bij of krachtens formele wet, zo nodig met terugwerkende kracht handhaven.
Vraag 4

Wat kan er nu al gedaan worden om te voorkomen dat (de toepassing van) generatieve en specifieke AI gevaarlijk wordt? Deelt de Minister de mening dat het belangrijk is om niet te wachten op de AI-Act en nu al stappen te ondernemen, gezien de snelle ontwikkelingen als het gaat om (de toepassing van) verschillende soorten AI? Welke maatregelen neemt de Minister hiervoor? Zo nee, waarom niet?

Zie antwoord vraag 2.
Vraag 5

Deelt u de mening dat de AI-adviesraad, zoals om gevraagd in de motie-Rajkowski (Kamerstuk 21501-33-1041), er zo snel mogelijk moet komen om na te kunnen denken over mogelijke acties als het gaat om (de toepassing van) AI op het gebied van veiligheid, weerbaarheid, wenselijkheid, innovatie en strategische autonomie? Op welke termijn kunnen we een dergelijke raad verwachten? Welke maatregelen of besluiten moeten er nog genomen worden?

Genoemde motie vraagt de regering om te onderzoeken of een Nederlands adviserend orgaan van toegevoegde waarde kan zijn om de overheid op korte termijn te adviseren bij ontwikkelingen rondom kunstmatige intelligentie. Door het vorige kabinet is gemeld dat er een verkenning wordt gedaan naar het inrichten van een AI-adviesraad en de laatste stand van zaken van vóór de zomer10. Die verkenning continueert het huidig kabinet. Aan de nadere vormgeving van de adviesraad, inbegrepen haar bevoegdheden, wordt nog gewerkt. Hierbij wordt er ook juridisch bekeken welke mogelijkheden de Kaderwet Adviescolleges hiertoe biedt. Ik verwacht dit najaar de uitkomsten van dit onderzoek met uw Kamer te kunnen delen.
Vraag 6

Deelt u de mening dat het wenselijk is om in te zetten op Nederlandse/Europese ontwikkeling van kunstmatige intelligentie met de focus op publieke waarden met positieve maatschappelijke en economische effecten en dat een AI-fabriek hier een interessant instrument voor kan zijn? Deelt u de mening dat het wenselijk kan zijn om een AI-fabriek, eventueel in Europese samenwerking, te plaatsen in Nederland en het daarmee een mooie aanvulling kan zijn op ons digitale knooppunt en het versterken van onze digitale economie van de toekomst? Zo ja, op welke manier gaat u zich hiervoor inzetten in Europa? Zo nee, waarom niet?

Het AI-beleid in Nederland heeft zich sinds 2019 gericht op het versterken van het waardengedreven AI-ecosysteem waar onze publieke belangen, zoals fundamentele rechten, zijn geborgd en we de maatschappelijke en economische kansen verzilveren. Dit gebeurt onder meer via de publiek-private Nederlandse AI Coalitie (NLAIC), het AiNed investeringsprogramma (Nationaal Groeifonds) en de inzet voor de AI-verordening. Om het Europese AI-ecosysteem verder te versterken, heeft de Europese Commissie in januari 2024 het AI-innovatiepakket gelanceerd. In de BNC-fiches hierover is positief gereageerd op het voorstel van de Commissie om AI-fabrieken te ontwikkelen.11 Het voorstel voor amendering van de verordening omtrent de voortzetting van de gemeenschappelijke onderneming voor High Performance Computing (HPC) is 23 mei jl. goedgekeurd door de Raad van Concurrentievermogen.
In de Kamerbrief «Verkenning mogelijkheden AI-faciliteit»12 van 4 juni jl. is uw Kamer onlangs geïnformeerd over drie scenario’s die de Ministeries van OCW, BZK en EZ momenteel aan het verkennen zijn, namelijk: 1) bestaande middelen gebruiken, 2) meer investeringen in Europese AI-faciliteiten binnen EuroHPC, en 3) AI-faciliteit in Nederland, waarbij deze faciliteit onderdeel uitmaakt van het bredere Europese supercomputerecosysteem (gemeenschappelijke onderneming EuroHPC). Per scenario brengen de betrokken ministeries momenteel de meerwaarde en haalbaarheid in kaart. Hierin is onder meer aandacht voor de impact op maatschappelijke en economische belangen.
De scenario-aanpak is bedoeld om een zorgvuldige afweging te kunnen maken door het kabinet, omdat er aanzienlijke investeringen mee gemoeid kunnen zijn.
Vraag 7

Bent u bereid om, eventueel met Europese collega’s in gesprek te gaan met de Europese Commissie over hoe er op korte termijn gezorgd kan worden dat OpenAI openheid geeft over een aantal zaken zodat we het tegengaan van misbruik van kunstmatige intelligentie en andere onwenselijke effecten kunnen mitigeren? Zo nee, waarom niet?

Zoals ook aangegeven in het antwoord op vraag 2 tot en met 4, zal het AI-bureau van de Europese Commissie toezicht gaan houden op AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI ook onder vallen). Om ervoor te zorgen dat de aanbieders van deze modellen weten hoe ze aan de gestelde eisen moeten voldoen, worden er codes of practice opgesteld. Dit zijn praktische richtsnoeren die in samenwerking met de lidstaten en andere belanghebbenden worden opgesteld.
Hoewel de Commissie na een jaar bevoegdheden heeft om naleving van de regels te eisen, treedt zij in het kader van het opstellen van de codes of practice daarvoor al wel in dialoog met onder andere aanbieders en gebruikers van AI-modellen voor algemene doeleinden. Indien de Commissie signalen krijgt over de negatieve gevolgen van deze AI-modellen, kan hierover ook de dialoog aangegaan worden met de ontwikkelaars.
Via de recent opgerichte AI-Board is Nederland actief betrokken bij deze ontwikkelingen en staan we in nauw contact met de Europese Commissie over de bredere uitwerking van de AI-verordening.

9 april 2024 - 14 mei 2024

35 dagen

Het bericht dat twee kinderopvangcentra in Utrecht per direct zijn gesloten
	Queeny Rajkowski (VVD)
	Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA)

Bronnen

1. RTV Utrecht, 30 maart 2024, «Twee kinderopvangcentra in Utrecht per d…

Vraag 1

Bent u bekend met het bericht dat een kinderopvangcentrum en een Buitenschoolse opvang (BSO) in Utrecht per direct zijn gesloten?1

Ja
Vraag 2

Hoe kan het verklaard worden dat beiden niet geregistreerd zijn in het Landelijk Register Kinderopvang en dat er niet eerder melding is gemaakt van illegale opvang?

Diegene die voornemens is om kinderopvang aan de bieden in de zin van de Wet kinderopvang is verplicht om bij de gemeente een aanvraag in te dienen voor registratie in het Landelijk Register Kinderopvang. Zij mogen de opvang pas starten nadat de toezichthouder kinderopvang een onderzoek voor registratie heeft uitgevoerd en de houder redelijkerwijs aan alle kwaliteitseisen gaat voldoen.
Toezichthouders kinderopvang houden toezicht op locaties die staan geregistreerd in het Landelijk Register Kinderopvang. Zij zijn niet op de hoogte van kinderopvang die niet ingeschreven is in het Landelijk Register Kinderopvang. Via een melding kan de toezichthouder en/of de gemeente hiervan op de hoogte raken. Iedereen kan dit soort meldingen doen, denk hierbij aan omwonenden of ouders.
Vraag 3

Hoe lang hebben deze opvangcentra bestaan?

Zoals bij vraag 2 aangegeven wordt er toezicht gehouden op locaties die in het Landelijk Register Kinderopvang staan. Daardoor is de gemeente niet op de hoogte van kinderopvang die niet is ingeschreven in het Landelijk Register Kinderopvang. Het is ons onbekend hoe lang deze organisatie zonder toestemming van de gemeente kinderen heeft opgevangen in de zin van de Wet kinderopvang.
Vraag 4

Is bekend of de ouders van de kinderen ervan op de hoogte waren dat de centra geen registratie hadden? Zo nee, bent u bereid dit uit te zoeken?

Ik vind het belangrijk dat ouders kunnen vertrouwen op de kwaliteit van de kinderopvang. In het Landelijk Register Kinderopvang kan iedereen geregistreerde kinderopvangvoorzieningen terugvinden. Geregistreerd zijn, betekent dat de gemeente onder andere op grond van onderzoek door de toezichthouder besloten heeft dat exploitatie is toegestaan. De gemeente is verantwoordelijk voor toezicht op en handhaving van kinderopvangvoorzieningen. Het register is openbaar. Ouders en verzorgers kunnen in het register opzoeken of het kindercentrum waar zij hun kind naar toe willen brengen staat ingeschreven en voldoet aan de wettelijk gestelde eisen.
Vraag 5

Heeft dit mogelijk nog nadelige consequenties voor de ouders die hun kinderen naar deze illegale kinderopvangcentra brachten?

Er mogen op deze adressen, onder dezelfde omstandigheden, geen kinderen meer worden opgevangen. Dit is ingrijpend voor ouders. Zij zullen andere opvang moeten regelen.
Vraag 6

Is het bekend wat voor pedagogisch beleid er werd gevoerd op de gesloten centra?

Nee. Er is geen aanvraag voor exploitatie gedaan, dus er heeft geen onderzoek door de gemeente plaatsgevonden naar de (kwaliteits)eisen uit de Wet kinderopvang.
Vraag 7

Zijn de exploitanten van de kinderopvangcentra bekenden bij uw ministerie of bij het Openbaar Ministerie? Is bij u bekend of zij – direct of indirect – meer kinderopvangcentra exploiteren? Is er melding gemaakt bij het Openbaar Ministerie van deze casus?

De exploitanten zijn niet bekend bij mijn ministerie of bij het Openbaar Ministerie. De Inspectie Kinderopvang van de gemeente Utrecht heeft, zoals de Wet op de economische delicten voorschrijft, een melding gedaan bij het Openbaar Ministerie.
Vraag 8

Moet er iets veranderen in de huidige systemen die we hebben als het gaat om het oprichten, beoordelen en screenen van kinderopvangcentra?

In het huidige systeem moet diegene die voornemens is om kinderopvang aan te bieden een aanvraag tot toestemming voor exploitatie doen bij de gemeente. Na deze aanvraag onderzoekt de toezichthouder of het ernaar uitziet dat de kinderopvang redelijkerwijs aan de daaraan gestelde eisen zal voldoen en geeft advies aan de gemeente. Na goedkeuring van de aanvraag verleent de gemeente toestemming tot exploitatie en registreert de gemeente het betreffende kindercentrum van de kinderopvangorganisatie in het Landelijk Register Kinderopvang. De toezichthouder houdt in opdracht van de gemeente toezicht op de in het Landelijk Register Kinderopvang ingeschreven kindercentra. Als niet wordt voldaan aan de wet- en regelgeving kan de gemeente handhavend optreden conform gemeentelijk handhavingsbeleid.
Ik heb regelmatig gesprekken met vertegenwoordigers van ouders, gemeenten GGD'en en kinderopvangorganisaties. Vooralsnog zie ik geen aanleiding om het huidige systeem aan te passen.
Vraag 9

Zijn er andere opvallende zaken aan deze casus die relevant zijn om te weten?

De handhaving door gemeente Utrecht loopt momenteel nog. Er zijn op dit moment nu geen opvallende zaken bekend.
Vraag 10

Hoe kan voorkomen worden dat exploitanten van illegale opvangcentra in andere regio’s of gemeenten (illegale) kinderopvangcentra openen? Is er onderling contact tussen de handhavende instanties? Zo nee, is de Minister bereid te onderzoeken op welke manier dit mogelijk gemaakt kan worden zodat we zorgen dat kinderen op een veilige en verantwoorde manier overdag worden opgevangen?

GGD’en en gemeenten hebben een uitgebreid netwerk om signalen te delen. Er zijn bijvoorbeeld vaste overlegstructuren om (ook bij bijzondere casuïstiek) de benodigde informatie-uitwisseling te faciliteren. Denk hierbij aan periodieke bovenregionale overleggen tussen verschillende GGD’en in aangrenzende regio’s en tussen iedere GGD en de daaraan verbonden gemeenten. Ook hebben bovengenoemde partijen nieuwe acties ondernomen om de bovenregionale uitwisseling van informatie verder te versterken. Uw Kamer is hierover op 2 juli 2021 geïnformeerd met de Verzamelbrief kinderopvang.2
In 2022 hebben VNG en GGD GHOR Nederland de bestaande «denklijn signalen voor onderzoek en informatie-uitwisseling in toezicht en handhaving» doorontwikkeld. De denklijn biedt gemeenten en GGD’en handvatten om beschikbare informatie over bestaande houders en/of ondernemingen optimaal te benutten wanneer deze zich in een andere gemeente of regio willen vestigen. Gemeenten en GGD’en kunnen signalen uitwisselen over handhavingstrajecten. Handhavende instanties kunnen echter geen signalen uitwisselen over exploitanten die hen onbekend zijn omdat ze niet zijn aangemeld of ingeschreven in het Landelijk Register Kinderopvang. Omwonenden en/of ouders kunnen signalen doorgeven aan de GGD en of betreffende gemeente als zij een vermoeden hebben van een misstand.
Tot slot, zoals hierboven aangegeven kunnen ouders controleren of de kinderopvang geregistreerd staat. Ook zijn kinderopvangorganisaties verplicht om recente inspectierapporten van de toezichthouder op de website te plaatsen, zodat ouders zich kunnen laten informeren over de kwaliteit.

4 oktober 2023 - 30 oktober 2023

26 dagen

Het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»
	Hawre Rahimi (VVD), Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. AD, 2023. Experts sabelen overheid neer om belangrijke websites als D…
2. Zie ook de toezegging aan het lid Rahimi (VVD) tijdens het commissiedebat Digitaliserende overheid van 28 juni 2023. TZ202307–069.
3. Toezegging aan het lid Rajkowski (VVD) tijdens het commissiedebat Cybercrime d.d. 30 maart 2023. TZ202303–121.
4. Toezegging aan het lid Rajkowski (VVD) tijdens het commissiedebat Online veiligheid en cybersecurity d.d. 29 juni 2023. TZ202307–065.

Vraag 1

Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

Ja.
Vraag 2

Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.
Vraag 3

Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

Zie antwoord vraag 2.
Vraag 4

Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.
Vraag 5

Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.
Vraag 6

Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.
Vraag 7

Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.
Vraag 8

Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.
Vraag 9

In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).
Vraag 10

Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.
Vraag 11

De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

30 augustus 2023 - 23 oktober 2023

54 dagen

Het bericht ‘Ernstig lek bij Kadaster: miljoenen woonadressen door iedereen op te zoeken’
	Queeny Rajkowski (VVD), Fahid Minhas (VVD)
	Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. «Ernstig lek bij Kadaster: miljoenen woonadressen door iedereen op te…

Vraag 1

Bent u bekend met het bericht «Ernstig lek bij Kadaster: miljoenen woonadressen door iedereen op te zoeken»?1

Ja.
Vraag 2

Bent u het eens met de stelling dat gezien de toenemende dreiging en intimidatie het Kadaster extra zorgvuldig met gevoelige persoonsgegevens om dient te gaan? Zo ja, wat is hier verkeerd gegaan? Zo nee, waarom niet?

Het opzoeken en verspreiden van persoonsgegevens met de bedoeling te willen intimideren of te bedreigen vind ik een kwalijke en onacceptabele zaak. Het is goed dat dit per 1 januari strafbaar wordt gesteld. Daarbovenop ben ik het eens met de stelling dat gezien de toenemende dreiging en intimidatie, extra zorgvuldig met persoonsgegevens om dient te worden gegaan. In dit geval was het mogelijk toegang te krijgen tot zoeken op naam bij het Kadaster door misbruik te maken van de aanmeldprocedure voor nieuwe gebruikers. Dit door op basis van een KVK-nummer en een rekeningnummer van een willekeurig bedrijf een account aan te vragen.
Vraag 3

Sinds wanneer is dit lek bij het Kadaster bekend en zijn er toen direct maatregelen getroffen? Zo ja, welke? Zo nee, waarom niet?

Direct na melding door de journalist en voorafgaande aan de berichtgeving over dit lek in de pers zijn door het Kadaster maatregelen getroffen. Zo krijgt iedere persoon die een account aanvraagt de inloggegevens inmiddels gescheiden toegestuurd (deels via e-mail, deels via post) en op het adres dat behoort bij het KvK-nummer dat wordt opgegeven. Daarnaast is het Kadaster begonnen alle bestaande accounts door te lichten.
Voorts gaat het Kadaster inloggen via eHerkenning per begin volgend jaar verplicht stellen voor gebruikers van specifieke diensten, waaronder Kadaster Online (KOL) en Keten Integratie Kadaster (KIK). Het Kadaster faciliteert reeds eHerkenning, maar voor verplicht gebruik is het ook nodig dat ketenpartners daarop zijn ingericht. De registers kunnen dan niet meer anoniem worden geraadpleegd. Naast de bestaande logging van wie welke gegevens opvraagt, zal het Kadaster deze monitoring op KOL uitbreiden. Er zijn daardoor meer gegevens beschikbaar als het Openbaar Ministerie een verzoek om informatie doet. Tezamen met het feit dat doxing vanaf 1 januari a.s. strafbaar is, worden hiermee belangrijke stappen gezet om misbruik van persoonsgegevens verder te minimaliseren. Voor de duidelijkheid merk ik op dat er geen signalen zijn dat er ook daadwerkelijk misbruik is gemaakt van de situatie. Ook wil ik benadrukken dat persoonsgegevens van personen voor wie op grond van artikel 37a Kadasterbesluit de verstrekking van persoonsgegevens is uitgesloten, niet kunnen worden geraadpleegd via KOL en dus ook niet zichtbaar waren of zijn bij oneigenlijk gebruik van accounts. Deze personen liepen, met andere woorden, geen risico als gevolg van het in de pers genoemde lek. Datzelfde geldt voor de woonadressen van personen die deze in de BRP hebben laten afschermen.
Vraag 4

Is het lek inmiddels volledig gedicht? Zo nee, waarom niet?

Het lek in de aanmeldprocedure is inmiddels volledig gedicht. Zoals aangegeven in het antwoord op vraag 3, zijn door het Kadaster direct na melding door de journalist maatregelen getroffen om het lek te dichten. Als gevolg van de maatregelen is het niet meer mogelijk om op basis van een KVK-nummer en een rekeningnummer van een willekeurig bedrijf een account aan te vragen. Het Kadaster werkt momenteel aan het controleren van de bestaande zakelijke accounts. Hiervan is tot op heden driekwart gecontroleerd. Accounts die niet voldoen aan de gestelde eisen en die niet reageren op contactverzoeken worden direct afgesloten van de Kadaster dienstverlening. De controle (die handmatig plaatsvindt) zal naar verwachting in november worden afgerond.
Vraag 5

In het artikel wordt gerefereerd aan een noodzakelijke wetwijziging. Om welke wetswijziging gaat het en kan de Kamer een voorstel hiertoe zo snel mogelijk ontvangen? Zo nee, waarom niet?

Bij brief van 5 september jl. heb ik de Kamer laten weten zoeken op naam te gaan beperken tot professionele gebruikers en daarnaast mogelijk te maken dat personen die te maken hebben met bedreigingen en intimiderende situaties op verzoek hun adres kunnen laten afschermen. Dit rekening houdend met de primaire functie van het Kadaster en onder een aantal voorwaarden. Hiertoe moet het Kadasterbesluit worden aangepast. Voor de strekking van de wijziging verwijs ik graag naar mijn brief van 5 september jl.2 Aan de uitwerking van de maatregelen en de wijziging van het Kadasterbesluit wordt momenteel hard gewerkt. Met het Kadaster streef ik er naar de maatregelen per medio oktober 2023 te implementeren. De wijziging van het Kadasterbesluit zal met terugwerkende kracht per die datum in werking treden. Ik doe dat, omdat de berichtgeving van RTL Nieuws en de toenemende mate van doxing mij en het Kadaster heeft gesterkt in de overtuiging dat zo snel mogelijk maatregelen moeten worden getroffen. Over de exacte uitwerking van de maatregelen en de wijzigingen van het Kadasterbesluit zal ik de Kamer zo spoedig mogelijk informeren.
Vraag 6

Welke andere veiligheidsmaatregelen bent u voornemens in te voeren? Wanneer gaat dit gebeuren?

Ik verwijs hiervoor naar de antwoorden op de vragen 3 en 5 en de hiervoor genoemde brief van 5 september jl. aan uw Kamer.
Vraag 7

Bent u bekend met het feit dat woonadressen o.a. door dit lek door criminelen aan kwaadwillenden via Telegram-groepen verkocht worden? Zo nee, hoe beoordeelt u dit? Zo ja, welke stappen bent u bereid te zetten voor gedupeerden?

Ik was, net zoals het Kadaster, er niet mee bekend dat in criminele chatgroepen op Telegram illegaal wordt gehandeld in woonadressen van Nederlanders. Zoals reeds bij vraag 2 aangegeven veroordeel ik dat ten zeerste. Na publicatie heeft het Kadaster onderzoek gedaan naar de personen genoemd in de RTL-publicatie, waarvan de woonadressen zijn gedeeld in Telegramgroepen. Uit dat onderzoek blijkt dat er van deze personen sinds september 2022 geen signalen zijn van directe verstrekkingen uit het Kadaster voor «doxing» of andere oneigenlijke doelen.
Vraag 8

Kunt u uiteen zetten op welke manier de gegevens van mensen beschermd worden in het Kadaster en daarbij specifiek in gaan op de gegevens van personen zonder veiligheidsindicatie, de gegevens van personen met veiligheidsindicatie en de gegevens van personen die onder het stelsel «bewaken en beveiligen» vallen? Zo nee, waarom niet?

Op 1 juli 2019 is artikel 37a van het Kadasterbesluit in werking getreden. Dit artikel regelt de mogelijkheid dat personen die vallen binnen het stelsel Bewaken en Beveiligen een verzoek aan het Kadaster kunnen doen zodat gedurende vijf jaren hun gegevens niet worden verstrekt. Voor de extra maatregelen voor personen die niet vallen onder het stelsel Bewaken en Beveiligen verwijs ik u naar de in de Kamerbrief van 5 september jl. genoemde maatregelen.
Vraag 9

Bent u het ermee eens dat er een onderzoek dient te worden gestart zodat het inzichtelijk is welke data is gelekt en bent u bereid slachtoffers te informeren? Zo nee, waarom niet?

Ja, in de brief van 5 september 2023 aan de Kamer heb ik ook aangegeven dat het Kadaster begonnen is alle bestaande accounts door te lichten op mogelijke signalen van oneigenlijke toegang of gebruik van gegevens. Bij deze controles is een beperkt aantal personen ontdekt die mogelijk slachtoffer konden zijn van het lek. Deze personen zijn daarom concreet verder onderzocht door het Kadaster, tot nu toe zijn er daarbij geen signalen geconstateerd van oneigenlijk gebruik van accounts met lekken van data als gevolg. Desondanks zijn deze personen door het Kadaster wel per brief op de hoogte worden gebracht. Wanneer er in de toekomst blijkt dat er toch slachtoffers zijn naar aanleiding van dit lek, zullen zij uiteraard zo snel mogelijk worden geïnformeerd.
Vraag 10

Bent u het ermee eens dat logging en autorisatie zodanig ingericht moeten worden dat het voor het Kadaster en waar gewenst voor de betreffende persoon, inzichtelijk is wie wanneer welke gegevens heeft opgevraagd? Zo nee, waarom niet? Zo ja, hoe gaat u ervoor zorgen dat dit geregeld wordt?

Ja. Zie het antwoord op vraag 3.
Vraag 11

Bent u het ermee eens dat alleen specifieke beroepsgroepen gebruik zouden mogen maken van de zoekfunctie waarbij op naam gezocht mag worden in het Kadaster en dat een beroepscode hieraan bij zou kunnen dragen? Zo nee, waarom niet en wat gaat u doen om te voorkomen dat ook anderen (ongewenst) toegang krijgen tot adresgegevens? Zo ja, wanneer gaat u hiermee aan de slag?

Ik verwijs hiervoor naar het antwoord op vraag 5.

23 juni 2023 - 28 september 2023

97 dagen

Het bericht ‘België verbiedt aankoop van Chinese röntgencamera’s voor de douane, Nederland (nog) niet’
	Queeny Rajkowski (VVD), Nilüfer Gündoğan (Volt), Ruben Brekelmans (VVD)
	Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Aukje de Vries (staatssecretaris financiën) (VVD)

Bronnen

1. FTM, 8 juni 2023 (https://www.ftm.nl/artikelen/chinese-scanners-in-ne…
2. The Record, 15 mei 2023 (https://therecord.media/interview-with-bart-…

Vraag 1

Bent u bekend met het bericht «België verbiedt aankoop van Chinese röntgencamera’s voor de douane, Nederland (nog) niet»?1

Ja.
Vraag 2

Hoeveel Nuctech-veiligheidsscanners zijn momenteel in gebruik bij de Nederlandse douane voor het controleren van goederen? Klopt het dat deze scanners onder andere worden ingezet in onze mainports, zoals in de Rotterdamse haven? Worden alleen Nuctech-scanners gebruikt om deze taken uit te voeren? Zo nee, worden ook veiligheidsscanners van andere fabrikanten ingezet? Zo ja, welke?

Douanebreed wordt op dit moment gewerkt met ca. 100 scanners. Daarvan zijn er ruim 70 van leverancier Nuctech. Het gaat daarbij om verschillende soorten scanners – groot en klein – die worden ingezet op verschillende locaties. Van de 8 grote containerscans die de Douane heeft in de mainports Rotterdam (7) en Schiphol (1) is de helft van Nuctech. Er wordt door de Douane ook gewerkt met scanners van andere leveranciers, zoals Rapiscan, Leidos, Bavak/AS&E en Seceurtronics.
Vraag 3

Bent u bekend met het arrest van 31 mei jongstleden, waarin de Belgische Raad van State bepaalde dat de Belgische overheid het Chinese bedrijf Nuctech mag uitsluiten van deelname aan een aanbestedingsprocedure voor de levering van scanners, omdat die een «veiligheidsrisico» zouden vormen? Zo ja, hoe beoordeelt u deze uitspraak in het kader van de aanwezigheid en het gebruik van Nuctech-scanners in Nederlandse mainports?

Ja, ik ben bekend met het arrest van de Belgische Raad van State. België heeft besloten om bij de aanschaf van nieuwe scanners twee leveranciers uit te nodigen, waartegen een leverancier in beroep is gegaan. De rechterlijke uitspraak stelt dat België dit heeft mogen doen, waarbij meegewogen is dat de scanners niet meer in een stand alone situatie zullen worden gebruikt maar zullen worden opgenomen in een meer omvattend netwerk. De aanschaf van nieuwe scanners ziet op de toekomst en tot die tijd blijft België de huidige scanners gebruiken. De relevantie van deze uitspraak voor de Nederlandse Douane ziet op twee elementen, namelijk het proces rondom de aanschaf van scanners en de (technische) inrichting van de scanprocessen. Ik zal eerst ingaan op het proces rondom de aanschaf van scanners en vervolgens de inrichting van scanprocessen.
Op basis van de Aanbestedingswet 2012 is het niet mogelijk om een (in de Europese Unie gevestigde) leverancier, die wel aan de gestelde eisen en voorwaarden voldoet, uit te sluiten. Indien er sprake is van een gevaar voor de nationale veiligheid, dan kan een gedeelte van de Aanbestedingswet 2012 niet van toepassing zijn en mogen leveranciers rechtstreeks uitgenodigd worden. In het gedane onderzoek van TNO is gekeken naar de vraag welke risico’s er bestaan rond de scan- en detectiesystemen. In het eerste deel van het onderzoek is aangegeven dat de nationale veiligheid op dit moment niet in gevaar komt als de vertrouwelijkheid, integriteit of beschikbaarheid van scan- en detectieprocessen van de Douane worden aangetast.
Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning hiervan is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. De Douane past dit instrumentarium in het kader van alle aanbestedingen sinds 2021 toe. Bij de aanbesteding van scanapparatuur wordt, naar aanleiding van het gedane (vertrouwelijke) onderzoek naar de informatiebeveiliging, door de Douane meer gedetailleerde en minder vrijblijvende eisen geformuleerd t.a.v. de (informatie)beveiliging van de scanapparatuur dan voorheen.
Met uw Kamer zie ik de risico’s en dreigingen die uit kunnen gaan van landen met een offensief cyberprogramma. Het vraagstuk van economische (on)afhankelijkheid staat kabinetsbreed hoog op de agenda. Om hieraan invulling te geven treed ik met de Minister van Economische Zaken in overleg om mogelijkheden te verkennen de afhankelijkheid van een enkele leverancier verder te verminderen.
Ten tweede treedt de Douane met in achtneming van de kaders van de Aanbestedingswet 2012, nog gerichter in overleg met scanleveranciers om hen te interesseren tot het doen van een deelname aan onze aanbestedingen.
Ten derde wil de Douane hierin optrekken met andere Europese Douane-organisaties, waaronder bijvoorbeeld de Belgische Douane. Dit moet ertoe leiden dat de scanleveranciers een kwalitatief hoger aanbod doen, zodat op kwaliteitsaspecten een groter aanbod (van inschrijvingen) wordt ingediend.
Vraag 4

Hoe beoordeelt u bovenstaande uitspraak van de Belgische Raad van State mede in het licht van eerdere constateringen en waarschuwingen van onze inlichtingendiensten dat China een offensief cyberprogramma voert tegen Nederlandse belangen, waarbij digitale spionage en sabotage inmiddels een reëele dreiging vormen voor de Nederlandse economie en dat de afhankelijkheid van Chinese producten en diensten binnen de vitale infrastructuur een risico vormt voor onze nationale veiligheid?

Zie antwoord vraag 3.
Vraag 5

Kunt u bevestigen dat de Voorzitter van de Europese Commissie in een brief aan het lid Groothuis van het Europees Parlement heeft bevestigd dat de veiligheid van Chinese scanningmaterialen en -diensten in ernstige twijfel wordt getrokken?2

Ik ben bekend met de door u genoemde de brief van de Voorzitter van de Europese Commissie aan de leden van het Europees Parlement. De brief is een reactie op een brief waarin meerdere leden van het Europees Parlement hun zorgen hebben geuit over gebruik van apparatuur van leverancier Nuctech. In de antwoordbrief geeft de Commissievoorzitter geen oordeel over gebruik van Nuctech apparatuur, maar benadrukt dat lidstaten in aanbestedingsprocedures de relevante overwegingen van (data-)veiligheid en cybersecurity moeten betrekken en dat deze overwegingen zwaarder moeten wegen dan andere selectiecriteria, zoals prijs. Dit doen we in Nederland en bij de Douane.
Nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur dient rekening gehouden te worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning hiervan is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. De Douane past dit instrumentarium in het kader van alle aanbestedingen sinds 2021 toe.
Bij de aanbesteding van scanapparatuur wordt, naar aanleiding van het gedane (vertrouwelijke) onderzoek naar de informatiebeveiliging, door de Douane meer gedetailleerde en minder vrijblijvende eisen geformuleerd ten aanzien van de (informatie)beveiliging van de scanapparatuur dan voorheen.
Vraag 6

In deze brief worden EU-lidstaten opgeroepen Europese veiligheid – dus ook die van de individuele burgers – voorrang te geven boven financiële overwegingen, bent u voornemens aan deze oproep gevolg geven? Zo nee, waarom niet?

Scanapparatuur wordt door de Douane aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van nationale aanbestedingswetgeving.
Nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning hiervan is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. De Douane past dit instrumentarium in het kader van alle aanbestedingen sinds 2021 toe en volgt de procedures van de Aanbestedingswet 2012.
Wel worden er bij de aanbesteding van scanapparatuur, naar aanleiding van het gedane (vertrouwelijke) onderzoek door PWC naar de informatiebeveiliging, door de Douane meer gedetailleerde en minder vrijblijvende eisen geformuleerd ten aanzien van de (informatie)beveiliging van de scanapparatuur dan voorheen. Indien een leverancier hier niet aan voldoet, dan wordt deze uitgesloten.
Vraag 7

Is het u bekend dat de Chinese leverancier van de materialen en diensten aan Nederlandse grenzen op veiligheidsgebied samenwerkt met Rusland? Heeft dit invloed op de positiebepaling van de Nederlandse regering? Zo nee, waarom niet?

Het is bekend dat Chinese bedrijven belangrijke spelers op de private veiligheidsmarkt zijn, maar het kabinet heeft geen zicht op alle wereldwijde activiteiten van Chinese partijen die in Nederland actief zijn.
De Douane richt zich op het treffen van passende en effectieve beveiligingsmaatregelen rond de scan- en detectieprocessen. Mogelijke risico’s in de toeleveranciersketen worden daar in brede zin aan de hand van de eerder genoemde onderzoeken bij betrokken.
Vraag 8

Hoe beoordeelt u het feit dat andere landen zoals de Verenigde Staten, Canada en Litouwen al eerder hebben besloten om Nuctech-scanners te weren vanuit vergelijkbare veiligheidsoverwegingen? Hoe reflecteert u op deze besluiten, gelet op het Nederlandse gebruik van Nuctech-scanners en de bijkomende veiligheidsrisico’s?

Ik ben bekend met de besluiten van deze landen. Scanapparatuur wordt door de Douane aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van nationale aanbestedingswetgeving. Zoals hierboven aangegeven, worden nationale veiligheidsoverwegingen meegenomen in de aanbesteding. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning hiervan is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. De Douane past dit instrumentarium in het kader van alle aanbestedingen sinds 2021 toe en volgt de procedures van de Aanbestedingswet 2012. Op basis van de Aanbestedingswet 2012 is het niet mogelijk om een (in de Europese Unie gevestigde) leverancier, die wel aan de gestelde eisen en voorwaarden voldoet, uit te sluiten. Indien er sprake is van een gevaar voor de nationale veiligheid, dan kan een gedeelte van de Aanbestedingswet 2012 niet van toepassing zijn en mogen leveranciers rechtstreeks uitgenodigd worden. In het gedane onderzoek van TNO is gekeken naar de vraag welke risico’s er bestaan rond de scan- en detectiesystemen. In het eerste deel van het onderzoek is aangegeven dat de nationale veiligheid op dit moment niet in gevaar komt als de vertrouwelijkheid, integriteit of beschikbaarheid van scan- en detectieprocessen van de Douane worden aangetast. De Douane stelt wel meer gedetailleerde en minder vrijblijvende eisen ten aanzien van de (informatie)beveiliging van de scanapparatuur dan voorheen.
Vraag 9

Gelet op eerdere waarschuwingen van inlichtingendiensten en genomen besluiten van andere landen, heeft u in de afgelopen jaren actie ondernomen om over te stappen op alternatieve leveranciers van vergelijkbare scanapparatuur? Zo ja, welke stappen heeft u gezet om dit voor te bereiden? Zo nee, waarom niet?

Aanbestedingen van Douane worden binnen de kaders van nationale aanbestedingswetgeving gegund op basis van een combinatie van prijs en kwaliteit, waarbij expliciet gekeken wordt naar risico’s vanuit het perspectief van nationale veiligheid gebruikmakend van het instrumentarium zoals eerder aangegeven.
Het vraagstuk van economische (on)afhankelijkheid staat kabinetsbreed hoog op de agenda. Om hieraan invulling te geven treed ik met de Minister van Economische Zaken in overleg om mogelijkheden te verkennen de afhankelijkheid van een enkele leverancier verder te verminderen.
Ten tweede treedt de Douane met in achtneming van de kaders van de Aanbestedingswet 2012, nog gerichter in overleg met scanleveranciers om hen te interesseren tot het doen van een deelname aan onze aanbestedingen.
Ten derde wil de Douane hierin optrekken met andere Europese Douane-organisaties, waaronder bijvoorbeeld de Belgische Douane. Dit moet ertoe leiden dat de scanleveranciers een kwalitatief hoger aanbod doen, zodat op kwaliteitsaspecten een groter aanbod (van inschrijvingen) wordt ingediend.
Vraag 10

Hoe staat het met het toegezegde aanvullende vervolgonderzoek naar de kwetsbaarheden van specifieke onderdelen van de scan- en detectie infrastructuur in het kader van risico’s voor de nationale veiligheid en de rol die statelijke actoren hierin spelen? Is het onderzoek al afgerond? Zo ja, wat waren de uitkomsten? Zo nee, wanneer kunnen we de uitkomsten van het onderzoek verwachten?

Met mijn brief aan uw Kamer van 23 december 2022 heb ik u de onderzoeksrapporten aangeboden van het onderzoek dat onder regie van TNO is uitgevoerd naar risico’s rond het gebruik van scan- en detectieprocessen bij de Douane vanuit het oogpunt van nationale veiligheid en breder. In het onderzoek staat dat de nationale veiligheid op dit moment niet in gevaar komt als de vertrouwelijkheid, integriteit of beschikbaarheid van scan- en detectieprocessen van de Douane worden aangetast. Het onderzoek concludeert verder dat het van belang is deze conclusie te heroverwegen als de (technische) inrichting van de scanprocessen verandert en op het moment dat scanapparatuur bij de Douane nadrukkelijker wordt ingezet voor controletaken die aan de nationale veiligheid appelleren.
Om het hoofd te kunnen blijven bieden aan de grote opgave op het gebied van ondermijning onder sterk groeiende goederenvolumes, werkt de Douane aan slimme techniek (algoritmiek) om de effectiviteit van de handhaving te vergroten. Daarvoor kan in de toekomst een koppeling nodig zijn tussen scanapparatuur en het netwerk van de Douane. Dit kan alleen als het veilig en verantwoord gebeurt. Voordat dat gebeurt, wordt onderzocht of dit op een veilige manier kan.
Concreet betekent dit dat de Douane dit najaar in kaart brengt hoe de inrichting op dataveiligheid rond scanapparatuur eruit zou moeten zien als er in de toekomst gebruik wordt gemaakt van slimme techniek die connectiviteit vereist. Dit wordt vervolgens zorgvuldig extern, met betrokkenheid van de veiligheidsketen, getoetst aan de conclusies van het eerder uitgevoerde onderzoek van TNO naar de risico’s rond het digitale domein van scan- en detectieapparatuur bij de Douane. Tot die tijd wordt er geen koppeling tot stand gebracht met het Douane netwerk.
Vraag 11

Bent u het ermee eens dat, gelet op de evidente veiligheidsrisico’s en bovenstaande rechterlijke uitspraak, de aanwezigheid en het gebruik van Nuctech-scanners door de Nederlandse douane dienen te worden heroverwogen langs de meetlat van de huidige regels, voorwaarden en normen die gelden voor aanbestedingen van het Rijk? Zo ja, hoe beoordeelt u de Nederlandse overheidsaanbestedingen van Nuctech scanners naar de maatstaven van het huidige aanbestedingsinstrumentarium van het rijk en de eisen en voorwaarden die hiervoor gelden ten aanzien van de nationale veiligheid? Zo nee, waarom niet? Indien een heroverweging van het gebruik van Nuctech-scanners zou aangeven dat gebruik hiervan niet tegen te houden is op basis van huidige regelgeving rond aanbestedingen, kunt u dan aangeven welke regel dit is?

Op basis van de Aanbestedingswet 2012 is het niet mogelijk om een (in de Europese Unie gevestigde) leverancier, die wel aan de gestelde eisen en voorwaarden voldoet, uit te sluiten. Indien er sprake is van een gevaar voor de nationale veiligheid, dan kan een gedeelte van de Aanbestedingswet 2012 niet van toepassing zijn en mogen leveranciers rechtstreeks uitgenodigd worden. In het gedane onderzoek van TNO is gekeken naar de vraag welke risico’s er bestaan rond de scan- en detectiesystemen. In het onderzoek is aangegeven dat de nationale veiligheid op dit moment niet in gevaar komt als de vertrouwelijkheid, integriteit of beschikbaarheid van scan- en detectieprocessen van de Douane worden aangetast.
Bij de aanschaf en implementatie van gevoelige apparatuur dient rekening gehouden te worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning hiervan is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. De Douane past dit instrumentarium in het kader van alle aanbestedingen sinds 2021 toe.
Vraag 12

Per wanneer wordt de geïntegreerde lijst statelijke dreigingen zoals door de Kamer gevraagd (motie-Brekelmans, Kamerstuk 36 200-V, nr. 26) uitgebracht? Hoe verhoudt het gebruik van apparatuur uit deze landen binnen de vitale infrastructuur zich tot plaatsing van een land op deze lijst?

De Minister van Buitenlandse Zaken heeft in het Commissiedebat China toegezegd om de Kamer voor de begrotingsbehandeling Buitenlandse Zaken een uitwerking van de Motie Brekelmans (Kamerstuk 36 200 V, nr. 26) toe te sturen. Dit gebeurt in samenwerking met de Minister van Justitie en Veiligheid.
Vraag 13

Deelt u de mening dat het uit nationaal veiligheidsoogpunt onwenselijk is dat de Nederlandse douane Nuctech-scanners inzet op strategische plekken voor het uitvoeren van haar taken? Zo nee, hoe verhoudt zich dit tot de inzet van het kabinet om risicovolle strategische afhankelijkheden binnen de vitale infrastructuur te verminderen als onderdeel van de bredere Kabinetsaanpak Strategische Afhankelijkheden? Zo ja, bent u bereid om een overgangsperiode in te stellen waarin Nuctech-scanners worden uitgefaseerd en worden vervangen door veiligere alternatieven? Zo nee, waarom niet?

Met uw Kamer zie ik de risico’s en dreigingen die uit kunnen gaan van landen met een offensief cyberprogramma en onderschrijf ik het belang om scanprocessen veilig in te richten. Tevens is het gebruik van kwalitatief goede scanapparatuur door de Douane van essentieel belang voor de aanpak van ondermijnende criminaliteit. Vanwege deze redenen zijn de eerdere onderzoeken gedaan. Het vraagstuk van economische (on)afhankelijkheid staat kabinetsbreed hoog op de agenda. Om hieraan invulling te geven treed ik met de Minister van Economische Zaken in overleg om mogelijkheden te verkennen de afhankelijkheid van een enkele leverancier verder te verminderen.
Ten tweede treedt de Douane met in achtneming van de kaders van de Aanbestedingswet 2012, nog gerichter in overleg met scanleveranciers om hen te interesseren tot het doen van een deelname aan onze aanbestedingen.
Ten derde wil de Douane hierin optrekken met andere Europese Douane-organisaties, waaronder bijvoorbeeld de Belgische Douane. Dit moet ertoe leiden dat de scanleveranciers een kwalitatief hoger aanbod doen, zodat op kwaliteitsaspecten een groter aanbod (van inschrijvingen) wordt ingediend.
Op basis van de Aanbestedingswet 2012 is het niet mogelijk om een (in de Europese Unie gevestigde) leverancier, die wel aan de gestelde eisen en voorwaarden voldoet, uit te sluiten. Indien er sprake is van een gevaar voor de nationale veiligheid, dan kan een gedeelte van de Aanbestedingswet 2012 niet van toepassing zijn en mogen leveranciers rechtstreeks uitgenodigd worden. In het gedane onderzoek van TNO is gekeken naar de vraag welke risico’s er bestaan rond de scan- en detectiesystemen. In het onderzoek is aangegeven dat de nationale veiligheid op dit moment niet in gevaar komt als de vertrouwelijkheid, integriteit of beschikbaarheid van scan- en detectieprocessen van de Douane worden aangetast.

5 april 2023 - 17 mei 2023

42 dagen

Het bericht ‘Russische hackers trainen voor aanvallen op kritieke infrastructuur’
	Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NRC, 31 maart 2023, «Russische hackers trainen voor aanvallen op krit…

Vraag 1

Bent u bekend met het bericht dat Russische hackers trainen voor aanvallen op kritieke infrastructuur?1

Ja.
Vraag 2

Bent u op de hoogte van softwareprogramma’s en projecten, zoals Scan-V en Crystal-2V, die als doel hebben om cyberaanvallen (op kritieke infrastructuur) te stimuleren? Herkent het u dit verontrustende beeld van Russische cyberoperaties, gericht op onze vitale infrastructuur, zoals spoorwegen, vliegvelden, en elektriciteitsnetwerken? Zo ja, hoe beoordeelt u dit beeld?

Nederland wordt doorlopend geconfronteerd met digitale aanvallen. Dergelijke aanvallen neemt het kabinet uiterst serieus. Staten dienen zich te houden aan het normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte. Rusland heeft een offensief cyberprogramma tegen Nederland. In het Dreigingsbeeld Statelijke Actoren 2 van november 2022 rapporteren AIVD, MIVD en NCTV over Russische dreiging tegen vitale infrastructuur2. Russische cyberactoren ondernemen activiteiten die duiden op spionage en op voorbereidingshandelingen voor verstoring en sabotage.
Nederlandse organisaties in vitale sectoren kunnen ook indirect door ketenafhankelijkheden geraakt worden als gevolg van aanvallen in relatie tot de Russische dreiging.
De AIVD ziet daarnaast dat cyberactoren gebruik maken van commerciële software die ook wordt gebruikt door beveiligingsonderzoekers en cybercriminelen, en niet specifiek te herleiden is, om te voorkomen dat hun aanvallen worden ontdekt.
Daarmee past de berichtgeving over het vermeende gebruik van software van een commercieel bedrijf voor het offensieve cyberprogramma van Rusland in het dreigingsbeeld. Het Nationaal Cyber Security Centrum blijft waakzaam voor veranderingen in het dreigingsbeeld.
Vraag 3

Hoe staat het met de versterkte aanpak vitaal? Acht u de toegezegde stappen en acties afdoende in het kader van de Russische voornemens om cyberaanvallen op onze kritieke infrastructuur uit te voeren? Zo ja, kunt u dit toelichten? Zo nee, welke aanvullende acties acht u noodzakelijk?

Momenteel werkt het kabinet aan een versterkte aanpak voor de bescherming van de vitale infrastructuur (Aanpak vitaal). Hier wordt uw Kamer voor de zomer nader over geïnformeerd. Binnen de aanpak wordt ingezet op meer rechten en plichten voor alle vitale aanbieders en een verankering hiervan in de wet- en regelgeving. De herziene Network and Information Security (NIS2) richtlijn is hier een belangrijk onderdeel van.
De NIS2-richtlijn versterkt de bescherming van bedrijven en andere organisaties binnen de EU door hen te verplichten een hoog niveau van cyberbeveiliging te hebben. De richtlijn is van toepassing op organisaties in sectoren die van maatschappelijk belang zijn, zoals drinkwater en energie. Uit de richtlijn volgt een zorgplicht die deze organisaties verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Ook schrijft de richtlijn voor dat die entiteiten incidenten binnen 24 uur melden bij de toezichthouder. In het geval van een dergelijk incident moet het ook gemeld worden bij het relevante Computer Security Incident Response Team (CSIRT), zoals het Nationaal Cyber Security Centrum, dat vervolgens hulp en bijstand kan leveren. Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. De komende tijd wordt door het kabinet gewerkt aan de implementatie van de NIS2-richtlijn in Nederlandse wet- en regelgeving.
Het belang van het versterken van de digitale weerbaarheid en het beter beschermen van de vitale infrastructuur komt ook terug in de actielijnen van de vorige maand gepubliceerde Veiligheidsstrategie voor het Koninkrijk der Nederlanden3.
Vraag 4

Welke maatregelen neemt u om onze vitale infrastructuur beter te beschermen tegen digitale aanvallen via de toeleveringsketen ook wel «supply chain» cyberaanvallen genoemd?

Het kabinet deelt de zorgen over cyberaanvallen op leveranciersketens, zoals onder andere is uiteengezet in het Cybersecuritybeeld Nederland 2022 (CSBN 2022)4.
Mede daarom zet het kabinet dan ook stevig in op het verhogen van de digitale weerbaarheid van Nederland. In oktober 2022 is de Nederlandse Cybersecuritystrategie gepubliceerd. Een van de doelstellingen hiervan is te zorgen dat organisaties in de vitale infrastructuur goed beschermd zijn tegen digitale risico’s, en hierin hun belang voor de sector en andere organisaties binnen de keten meenemen. In de hiervoor genoemde Aanpak vitaal is hier nadrukkelijk aandacht voor. Dit komt tot uiting in verschillende concrete acties, zoals de implementatie van de NIS2 en uitgebreide voorlichtingscampagnes.
Organisaties in de vitale infrastructuur hebben hierbij ook nadrukkelijk een eigen verantwoordelijkheid om hun digitale weerbaarheid op orde te hebben. Dit komt onder andere tot uitdrukking in de zorgplicht van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) ter implementatie van de Network and Information Security (NIS1)5-richtlijn, op basis waarvan aanbieders van essentiële diensten technische en organisatorische maatregelen moeten nemen om hun netwerk- en informatiesystemen te beveiligen (artikel 7). De NIS2-richtlijn kent ook een dergelijke zorgplicht, waarbij expliciet uit die richtlijn volgt dat de zorgplicht in enkel geval maatregelen omvat ter beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners (artikel 21, eerste lid, onderdeel d, van de NIS2-richtlijn).
De rijksoverheid is daarbij verantwoordelijk voor het creëren van een systeem waarbinnen organisaties de juiste maatregelen kunnen nemen om hun digitale weerbaarheid te vergroten en daarmee hun continuïteit en betrouwbaarheid te borgen.
Om de risico’s van organisaties te beperken is er de afgelopen periode door het Nationaal Cyber Security Centrum en de Nationaal Coördinator Terrorismebestrijding en Veiligheid steeds nadruk gelegd op het belang van cyberweerbaarheid en waakzaamheid. Ook worden actuele dreigingsbeelden regelmatig gedeeld met organisaties in vitale sectoren.
Om voorbereid te zijn op een crisis in het digitale domein is het Landelijk Crisisplan Digitaal opgesteld (LCP-Digitaal). Het LCP-Digitaal is het overkoepelende kader dat overheden en bedrijven gebruiken voor de inrichting van de eigen cybercrisisplannen. In het LCP-Digitaal wordt ook aandacht besteed aan ketenafhankelijkheid in relatie tot digitale crises. Het LCP-Digitaal is op 23 december 2022 met uw Kamer gedeeld.6 Ook wordt er geoefend met ketenafhankelijkheden, bijvoorbeeld in de nationale cybercrisisoefening ISIDOOR.
Concreet adviseert het Nationaal Cyber Security Centrum om de basismaatregelen in acht te nemen die te vinden zijn op www.ncsc.nl. Voorbeelden hiervan zijn het installeren van updates, het regelmatig maken van back-ups, en het versleutelen van gevoelige bedrijfsinformatie. Ook informeert het Nationaal Cyber Security Centrum organisaties binnen de vitale infrastructuur over digitale dreigingen via de toeleveringsketen.
Vraag 5

Kunt u een update geven over de voortgang en de uitkomsten van het overheidsbreed cyberprogramma? In hoeverre is Nederland voorbereid op eventuele cyberaanvallen?

Zie antwoord bij vraag 7.
Vraag 6

Hoe frequent wordt er binnen de vitale sectoren geoefend met het anticiperen op digitale aanvallen op onze vitale infrastructuur? Wordt hierbij ook geoefend op scenario’s van uitval van kritieke diensten? Zo nee, waarom niet?

Op nationaal niveau wordt er circa eens in de twee jaar de grootschalige publiek-private cyberoefening ISIDOOR georganiseerd, waaraan organisaties uit de vitale infrastructuur deelnemen. Tijdens deze cyberoefening worden afspraken, structuren en processen uit het Landelijk Crisisplan Digitaal beoefend. Hierbij wordt ook op scenario’s geoefend van uitval kritieke diensten, met de nadruk op digitale veiligheid. Ook worden er (cross-)sectorale oefeningen gehouden en is onder andere het Nationaal Cyber Security Centrum tijdens verschillende oefeningen actief betrokken. Voor zowel ISIDOOR als (cross-)sectorale cyberoefeningen wordt samengewerkt met andere ministeries.
Vraag 7

Wanneer was de laatste digitale oefening op cyberaanvallen en welke lessen zijn hieruit getrokken? Wat zijn de vervolgstappen om beter voorbereid te zijn op eventuele cyberaanvallen?

Sinds 2019 organiseert het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties jaarlijks in oktober, tijdens de maand van de cybersecurity, een cyberoefening van en voor de overheid. Deze overheidsbrede cyberoefening is aanvullend op wat verschillende bestuurslagen zelf al organiseren. Een voorbeeld hiervan zijn de oefenpakketten van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG)7. Ook tijdens de coronapandemie zijn deze oefeningen georganiseerd en sindsdien zijn zij online te volgen. Vanaf 2022 is er naast een centraal te volgen crisisoefening ook de mogelijkheid om simultaan met de eigen organisatie mee te oefenen. Aan de meest recente oefening van oktober 2022 namen meer dan 70 overheidsinstanties deel aan het simultaan oefenen. Daarnaast volgden nog ruim 450 mensen de livestream van de centrale crisisoefening. Nadere informatie is te vinden op www.weerbaredigitaleoverheid.nl.
Inmiddels zijn ook drie edities van cybercrisisoefening ISIDOOR georganiseerd, dit is een door het Ministerie van Justitie en Veiligheid georganiseerde grootschalige oefening voor zowel publieke als private partijen. De laatste editie, ISIDOOR III, vond plaats in juni 2021. De lessen uit ISIDOOR III zijn gedeeld met uw Kamer8, en zijn meegenomen in het Landelijk Crisisplan Digitaal (LCP-Digitaal). Deze lessen en aanbevelingen zagen onder andere toe op het vergroten van inzicht in rollen en routes in de crisisbeheersing, in zorgvuldigheid en snelheid van informatiedeling en crisisrespons, in het optimaal benutten van capaciteit en expertise en het samen met partners blijven werken aan de voorbereiding op cybercrises. Een nieuwe versie van het plan is eind december 2022 aangeboden aan de Kamer.9
Het LCP-Digitaal vormt de basis voor de volgende editie van ISIDOOR: ISIDOOR IV. Jaarlijks zal worden bezien of het LCP-Digitaal actualisatie behoeft, onder andere aan de hand van de nieuwe geleerde lessen uit incidenten en oefeningen (waaronder ISIDOOR IV) en andere relevante ontwikkelingen.
In februari 2023 vond ook een cross-sectorale digitale oefening plaats, waarin publieke en private organisaties getest hebben hoe goed hun systemen bestand zijn tegen zowel zware als ook slimmere DDoS-aanvallen. Traditionele DDoS-aanvallen zijn aanvallen waarbij een systeem wordt overladen met verzoeken, waardoor deze onbereikbaar wordt. Bij een slimme aanval krijgen de servers andere, zwaardere taken te vervullen, waardoor de capaciteit voor normaal gebruik wordt opgeslokt. De oefening werd georganiseerd tussen leden van de Anti-DDoS-Coalitie. Dit is een publiek-privaat samenwerkingsverband waar onder andere het Nationaal Cyber Security Centrum bij betrokken is
Vraag 8

Bent u het met de stelling eens dat het belangrijk is om regelmatig te oefenen met het bestrijden van cyberaanvallen zodat Nederland voorbereid is op actuele dreigingen? Zo ja, wanneer is de eerstvolgende cross-sectorale cyberoefening? Welke oefeningen staan gepland op de langere termijn? Hoe staat het met structureel organiseren van cross-sectorale cyberoefeningen? Zo nee, waarom niet?

Effectieve crisisbeheersing vergt behalve gezamenlijke voorbereiding ook oefening. Het Ministerie van Justitie en Veiligheid heeft daarom een oefenprogramma ontwikkeld en in gebruik laten nemen. Dit is op 12 juni 2019 met uw Kamer gedeeld10.
In dat programma wordt op drie sporen ingezet: het organiseren van grootschalige oefeningen, deelname van de overheid aan bestaande cyberoefeningen en het ontwikkelen van initiatieven op oefenen in publiek-privaat verband. Deze inzet blijft belangrijk onder de in oktober 2022 gepubliceerde Nederlandse Cybersecuritystrategie, waarin het belang wordt benadrukt van snel en adequaat reageren op cyberincidenten en -crises.
De oefening ISIDOOR vindt eens per twee jaar plaats. De organisatie van ISIDOOR IV is op dit moment al begonnen en in volle gang. De oefening zal naar verwachting eind 2023 plaatsvinden. Voor de meeste (cross-)sectorale oefeningen is geen vaste frequentie. De onder vraag 7 genoemde Anti-DDoS-coalitie beoogt om twee keer per jaar een oefening te organiseren over het omgaan met DDoS-aanvallen. Jaarlijks blijft ook de overheidsbrede cyberoefening plaatsvinden voor medeoverheden, waar ook bedrijven mogen aanhaken.

30 maart 2023 - 13 april 2023

14 dagen

Het artikel ‘Draagvlak voor hulp Oekraïense vluchtelingen in Slowakije staat onder druk’
	Jeroen van Wijngaarden (VVD), Queeny Rajkowski (VVD)
	Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA)

Bronnen

1. Han Dirk Hekking, «Draagvlak voor hulp Oekraïense vluchtelingen in Sl…

Vraag 1

Bent u bekend met het artikel «Draagvlak voor hulp Oekraïense vluchtelingen in Slowakije staat onder druk»?1.

Ja.
Vraag 2

Hoe kijkt u naar het bericht dat Slowakije erg kwetsbaar blijkt voor desinformatie vanuit Rusland? Hoe kijkt u hier naar de rol van sociale media in het verspreiden van desinformatie?

De verspreiding van Russische desinformatie wereldwijd is zorgelijk en zeker ook de verspreiding hiervan in EU lidstaten, waaronder Slowakije. Sociale media spelen een grote rol bij het verspreiden van desinformatie. Berichten als dit onderstrepen het belang om in EU-verband gezamenlijk op te trekken in het verhogen van de weerbaarheid tegen desinformatie.
Vraag 3

Welke risico’s ziet u voor aankomende verkiezingen in het najaar in Slowakije en de toenemende verspreiding van desinformatie uit Rusland?

Het is aan de kiesgerechtigde Slowaken om een keus te maken bij de verkiezingen in dit najaar. Wel weten we dat desinformatie invloed kan hebben op de politieke keuzes die mensen maken. Ook in die zin is groeiende verspreiding van desinformatie in Slowakije zorgelijk.
Vraag 4

Welke risico’s ziet u voor het functioneren van de EU als de pro-Russische partij van Robert Fico de verkiezingen wint in Slowakije aankomend najaar?

Mocht de partij van Robert Fico de aanstaande verkiezingen in Slowakije winnen, dan kunnen we verwachten dat dit de besluitvorming binnen de EU ten aanzien van steun aan Oekraïne en inzet jegens Rusland niet vergemakkelijkt. Nederland zal er ook in dat geval alles aan blijven doen EU-eenheid te blijven bewerkstelligen.
Vraag 5

Wat wordt er in EU-verband gedaan om gezamenlijk op te trekken tegen Russische desinformatie in EU-lidstaten? Welke maatregelen worden genomen om de verspreiding van desinformatie tegen te gaan? Bent u het ermee eens dat hier een belangrijke rol is weggelegd voor social media platformen aangezien hun digitale infrastructuur wordt gebruikt door kwaadwillenden om desinformatie te verspreiden? Zo ja, in hoeverre betrekt u social media bedrijven bij de aanpak van desinformatie? Zo nee, waarom niet?

De Europese Unie pakt desinformatie, of «Foreign Information Manipulation and Interference» (FIMI)2, afkomstig vanuit statelijke, of daaraan gelieerde, actoren aan, daar waar dit een risico vormt voor de nationale veiligheid. Voor het tegengaan van FIMI heeft de EU een instrumentarium ontwikkeld dat aangekondigd is in het Europees Democratie Actieplan.3 Hierbij horen nieuwe instrumenten die het mogelijk maken kosten te verhalen op actoren achter beïnvloedingsoperaties, de strategische communicatieactiviteiten van de Europese Dienst voor Extern Optreden (EDEO) te versterken en FIMI inzichtelijk te maken. Verder wordt middels de wet inzake digitale diensten (DSA) een wettelijke basis gecreëerd voor een co-regulerende aanpak van de vernieuwde gedragscode tegen desinformatie. Hiermee spreekt de EU sociale media bedrijven aan op hun verantwoordelijkheid voor het tegengaan van FIMI. Bij het ontwikkelen van eventuele nieuwe instrumenten staat voor het kabinet het waarborgen van fundamentele rechten altijd voorop. Zie voor de aanpak in Nederland de «Rijksbrede strategie effectieve aanpak van desinformatie»4, die uw Kamer op 23 december 2022 toeging.
Vraag 6

Wat is de laatste stand van zaken van de herziening van de code of practice on online disinformation waar social media bedrijven zich aan hebben gecommitteerd in Europa? Heeft deze herziening reeds plaatsgevonden, zo ja wanneer en wat betekent dit concreet voor de aanpak van desinformatie van social media platformen? Zo nee, wanneer vindt deze herziening plaats?

Op 16 juni 2022 is de hernieuwde Praktijkcode tegen desinformatie gepubliceerd. Deze is ondertekend door 34 organisaties. Naast grote online platformen zoals Meta, Twitter en Google, hebben ook kleinere platformen, online advertentiebedrijven en fact-checkers zich aangesloten. Uw Kamer is op 29 november 2022 per brief geïnformeerd over de inhoud van deze praktijkcode en de concrete gevolgen ervan.5
Vraag 7

Welke stappen moeten en kunnen volgens Nederland worden gezet in EU-verband om Russische desinformatie tegen te gaan? Welke rol kan Nederland hierin spelen?

In EU verband wordt gewerkt aan meer coördinatie tussen EU-lidstaten en inzet van EU-instrumenten om gezamenlijk op te trekken tegen de verspreiding van Russische desinformatie. Nederland ondersteunt de FIMI Toolbox, en zet zich in voor de verdere ontwikkeling hiervan, met als doel verschillende EU instrumenten samen te brengen en antwoord te bieden tegen ongewenste buitenlandse inmenging in het informatie domein.
Vraag 8

Meer dan 40% van de Slowaken zou stellen dat Slowakije geen financiële steun aan Oekraïne zou moeten verlenen, zijn vergelijkbare cijfers te zien in andere EU-lidstaten? Zo ja, in welke?

Nederland houdt geen totaaloverzicht bij van steun onder de bevolking in EU lidstaten voor financiële steun aan Oekraïne.
Vraag 9

Hoe monitort u toenemende euroscepsis sinds de start van de oorlog in Oekraïne in Slowakije of in andere Centraal- of Oost-Europese landen?

De ambassades van Nederland in Slowakije en andere Centraal-Europese lidstaten houden de ontwikkelingen in hun respectievelijke landen in de gaten, waaronder hoe er onder de bevolking wordt gedacht over de oorlog in Oekraïne, steun voor de EU en democratische waarden in het algemeen. Hierbij kunnen vele factoren een rol spelen en is het niet eenvoudig de link te leggen tussen de oorlog in Oekraïne en al dan niet toenemende euroscepsis.
Vraag 10

Heeft u de informatie dat er sprake is van toenemende Russische beïnvloeding en verspreiding van desinformatie bij aankomende verkiezingen van andere EU-lidstaten? Zijn er lidstaten die een verhoogd risico lopen op actieve buitenlandse beïnvloeding vanuit Rusland? Zo ja, welke?

Russische beïnvloeding en verspreiding van desinformatie rondom verkiezingen zijn fenomenen die al jaren bekend zijn en waar Nederland, ook in EU-verband, tegen optreedt. Er kan niet zo eenvoudig en eenduidig een lijst gemaakt worden met EU-lidstaten die een verhoogd risico lopen op buitenlandse beïnvloeding vanuit Rusland.

29 maart 2023 - 15 mei 2023

47 dagen

Het bericht 'NS waarschuwt honderdduizenden klanten vanwege datalek'
	Fahid Minhas (VVD), Queeny Rajkowski (VVD)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Vivianne Heijnen (staatssecretaris infrastructuur en waterstaat) (CDA)

Bronnen

1. NOS, 28 maart 2023, «NS waarschuwt honderdduizenden klanten vanwege d…

Vraag 1

Bent u bekend met het bericht «NS waarschuwt honderdduizenden klanten over mogelijk lekken van persoonsgegevens»?1

Ja, ik ben bekend met dit bericht.
Vraag 2

Wat is uw reactie op het feit dat de privégegevens van honderdduizenden klanten op deze manier op straat zijn komen te liggen?

Ik betreur dat persoonsgegevens van NS-klanten mogelijk onderdeel zijn van een hack bij een betrokken partij bij reizigerstevredenheidsonderzoeken. De privacy van reizigers die hun medewerking verlenen aan deze onderzoeken, moet beschermd zijn.
Vraag 3

Is inmiddels bekend op welke wijze de gegevens op straat zijn beland? Komt dit door een hack bij de softwareleverancier of door onzorgvuldige beveiliging van de persoonsgegevens?

Marktonderzoeker Blauw is door NS ingeschakeld voor het uitvoeren van verschillende reizigerstevredenheidsonderzoeken. Subverwerker Nebu uit Wormerveer levert het softwareplatform waarop Blauw haar onderzoeken uitvoert. Nebu is, volgens Blauw, gehackt en tijdens die hack is alle data van klanten en onderzoeken gedownload (geëxfiltreerd). Het is echter nog niet zeker welke data precies zijn gelekt en of ook NS-data onderdeel waren van het datalek.
Vraag 4

Het datalek is volgens de berichtgeving niet ontstaan bij NS zelf, maar bij een softwareleverancier van het ingehuurde marktonderzoeksbureau dat klanttevredenheidsonderzoek doet in opdracht van NS. Kunt u aangeven welke afspraken NS maakt met externe partijen, teneinde de veiligheid van klantdata te maximeren?

Om de veiligheid van klantdata te beschermen, sluit NS met externe partijen een verwerkersovereenkomst. Daarin worden ook afspraken gemaakt over het inschakelen van een subverwerker.
Dit heeft NS ook met marktonderzoeksbureau Blauw gedaan. Deze verwerkersovereenkomst is afgesloten conform artikel 28 lid 3 AVG. In deze verwerkersovereenkomst zijn afspraken gemaakt over de verwerking van persoonsgegevens door Blauw en de beveiliging van persoonsgegevens. Ook zijn in deze verwerkersovereenkomst afspraken gemaakt over de inschakeling van een subverwerker door Blauw.
Vraag 5

Wat is de wettelijke grondslag op basis waarvan persoonsgegevens zijn verwerkt door NS, het marktonderzoeksbureau en diens softwareleverancier?

In het Privacystatement op de website van NS2 is beschreven welke grondslag van toepassing is (zie onder «Marktonderzoek en wetenschappelijk onderzoek»). NS hanteert voor het NS panel onderzoek en het reizigersonderzoek de grondslag «toestemming» en voor het contactbelevingsonderzoek en overige klantonderzoeken de grondslag «gerechtvaardigd belang».
Vraag 6

Is er op enig moment een DPIA (data protection impact assessment) uitgevoerd voordat de gegevensverwerking tot stand werd gebracht? Zo nee, waarom niet?

NS heeft mij laten weten dat er een DPIA is uitgevoerd door NS. Deze verwerking is opgenomen in het register van verwerkingen van NS.
Vraag 7

Wist de NS op elk moment wie er van de softwareleverancier inzage had in de persoonsgegevens die werden verwerkt? Zo nee, wat vindt u daarvan?

NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen. Hieraan zijn evenwel specifieke condities verbonden. Bij NS is niet bekend welke medewerkers van Nebu inzage hebben (gehad) in persoonsgegevens.
Vraag 8

Vindt u dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen? Zo ja, waarom? Zo neen, waarom niet?

De Algemene Verordening Gegevensbescherming (AVG) verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven. De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze zorgvuldigheidsnormen is voldaan. Wanneer voor de verwerking een externe partij wordt ingeschakeld, dan moeten diens taken in een overeenkomst worden vastgelegd. De genoemde zorgvuldigheidsnormen zijn ook dan onverkort van toepassing. Het ontbreekt dan ook niet aan regels omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen.
Vraag 9

Wat gaat u doen om te voorkomen dat kritieke data van klanten in de toekomst zonder strenge regels door externe partijen wordt gebruikt?

Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt. De Autoriteit Persoonsgegevens (AP) heeft daarnaast een voorlichtende taak. Het Ministerie van Justitie en Veiligheid zorgt dat de AP beschikt over voldoende financiering voor de uitvoering van alle taken die samenhangen met de AVG, zo ook deze. In het Coalitieakkoord is daarom extra budget voor de AP opgenomen.

13 maart 2023 - 8 mei 2023

56 dagen

Het bericht ‘’Verdachte’ Chinese kranen staan ook in Nederlandse havens: zorgen om spionage’
	Queeny Rajkowski (VVD), Ruben Brekelmans (VVD), Daniel Koerhuis (VVD), Peter Valstar (VVD)
	Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Kajsa Ollongren (minister defensie) (D66), Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Mark Harbers (minister infrastructuur en waterstaat) (VVD)

Bronnen

1. Silvan Schoonhoven, ««Verdachte» Chinese kranen staan ook in Nederlan…

Vraag 1

Bent u bekend met het bericht ««Verdachte» Chinese kranen staan ook in Nederlandse havens: zorgen om spionage»?1

Ja.
Vraag 2

Hoe beoordeelt u de in het artikel genoemde zorgen dat China op deze manier gevoelige informatie kan vergaren over militaire transporten of activiteiten in havens kan platleggen?

Het kabinet neemt de in het artikel genoemde zorgen serieus. Het is essentieel dat onze havens hun belangrijke maritiem-logistieke hub-functie voor onze economie en ten behoeve van het faciliteren van militaire transporten onafhankelijk en veilig kunnen uitoefenen. Er wordt onderzocht in hoeverre de in het artikel genoemde zorgen gelden voor de Nederlandse context, zie ook het antwoord op vragen 3, 4 en 5.
In brede zin heeft het kabinet aandacht voor de invloed van China in Nederlandse- en Europese havens. Hierover is uw Kamer eerder geïnformeerd in de Kamerbrief
«Reactie rapport «Navigating an uncertain future»» (Kamerstuk 35 207, nr. 62). Daarbij werkt het kabinet doorlopend aan het verhogen van het bewustzijn bij partijen in de sector over de belangrijkste dreigingen (onder meer vanuit China), spionagedoelwitten- en werkwijzen van statelijke actoren en het verhogen van weerbaarheid. De AIVD waarschuwt regelmatig voor de risico’s voor het gebruik van hard- en software bij de uitwisseling van gevoelige informatie – met name binnen de vitale infrastructuur – wanneer digitale apparatuur afkomstig is uit landen met een offensief cyberprogramma gericht tegen de Nederlandse belangen. De grootste digitale dreiging gaat uit van China, Rusland en in mindere mate van Iran en Noord-Korea.2 Hier wordt ook op ingegaan in de Kamerbrief «Aanpak statelijke dreigingen en aanbieding dreigingsbeeld statelijke actoren 2» (Kamerstuk 30 821, nr. 175) en het AIVD-jaarverslag 2022.
Vraag 3

Is het mogelijk om vanuit de Shanghai Zhenhua Heavy Industries Company Limited (ZPMC)-faciliteiten in China digitale toegang te krijgen tot de kranen, en tot de informatie die zij verwerken, tijdens bijvoorbeeld onderhoud of updates?

Het kabinet vindt het cruciaal dat de fysieke en digitale processen in de haven, waaronder de software op kranen, zo veilig mogelijk zijn ingericht. De havenfaciliteiten (bedrijven die zeeschepen afhandelen) zijn verantwoordelijk voor de beveiliging van computersystemen- en netwerken binnen hun eigen werkgebied.
Of het mogelijk is om vanuit de ZPMC-faciliteiten in China digitale toegang te krijgen tot de kranen, of dat deze op enigerlei wijze verbonden zijn of toegang hebben tot informatie in de Rotterdamse haven, wordt onderzocht in afstemming met het Havenbedrijf Rotterdam. Dit wordt betrokken bij een reeds bestaand interdepartementaal traject waarin aan de hand van een risicoanalyse wordt gekeken naar de te beschermen belangen, dreigingen en weerbaarheid van de Rotterdamse haven, welke risico’s hieruit naar voren komen en hoe hier eventueel vervolg aan gegeven moet worden. Dit traject en onderzoek wordt gecoördineerd vanuit het Ministerie van Infrastructuur en Waterstaat en de Nationaal Coördinator Terrorismebestrijding en Veiligheid, in samenwerking met de Ministeries van Defensie, Economische Zaken en Klimaat en Buitenlandse Zaken. Naar verwachting wordt het onderzoek in het najaar van 2023 afgerond.
Vraag 4

Zijn de ZPMC-kranen in de Rotterdamse haven op enigerlei wijze digitaal verbonden met een servicecentrum, controlecentrum of andere faciliteit van ZPMC, dan wel in Nederland, China of een derde land?

Zie antwoord vraag 3.
Vraag 5

Tot wat voor soort informatie kunnen de ZMPC-faciliteiten in China via de ZMPC-kranen in de Rotterdamse haven toegang krijgen?

Zie antwoord vraag 3.
Vraag 6

Valt het gebruik van de ZPMC-kranen in de Rotterdamse haven onder enige vorm van veiligheidsscreening of toetsing? Zo ja, welke? Zo nee, waarom niet?

Op basis van de Havenbeveiligingswet (Hbw) moeten de risico’s van radio en telecommunicatiesystemen, inclusief computersystemen en netwerken worden meegenomen in de risicobeoordelingen van havenfaciliteiten. In de beveiligingsplannen van de havenfaciliteiten worden de mitigerende maatregelen beschreven om risico’s af te dekken.
De havenmeester van de haven van Rotterdam is als Havenbeveiligingsfunctionaris (Port Security Officer) verantwoordelijk voor de uitvoering en naleving van de Hbw door havenfaciliteiten in de haven. Deze taak voert de havenmeester uit in mandaat van de burgemeester als autoriteit voor havenveiligheid. Vanuit deze verantwoordelijkheid toetst de havenmeester de risicobeoordelingen van de havenfaciliteiten en houdt hij toezicht op de uitvoering van de beveiligingsplannen van de havenfaciliteiten. De Inspectie Leefomgeving en Transport (ILT) houdt tweedelijns toezicht op de uitvoering en naleving van de Hbw door de burgemeester. De beoordeling van deze werkwijze wordt betrokken bij het lopende onderzoek waar in het antwoord op de vragen 3, 4 en 5 naar wordt verwezen.
Vraag 7

Zijn de ZPMC-kranen verbonden met het Chinese logistieke dataplatform Logink, of komt informatie over wat zij doen op enigerlei andere wijze terecht bij Logink?

Het is op dit moment nog niet duidelijk of ZPMC-kranen verbonden zijn met Logink en/of informatie over activiteiten van de kranen terecht kan komen bij Logink. Dit vereist nader onderzoek. Zie antwoord op vraag 3, 4 en 5.
Vraag 8

In hoeverre werkt de Rotterdamse haven samen met Logink, en kunt u schetsen welke data op welke wijze wordt gedeeld?

Het Havenbedrijf Rotterdam heeft geen samenwerking noch data-uitwisseling met Logink. Ook het Port Community Systeem «Portbase» werkt niet samen met Logink en er wordt geen data gedeeld.
Vraag 9

Klopt het dat Logink gratis ter beschikking wordt gesteld, en dat het zo lastig is voor eventuele Westerse alternatieven om succesvol te zijn op bijvoorbeeld de Europese markt?

Voor zover bekend wordt Logink gratis beschikbaar gesteld aan lokale, Chinese partijen in China. Het is met name een supply chain visibility platform voor Chinese klanten, gericht op Chinese handelsstromen.
Om handel en transport te ondersteunen ontwikkelen de meeste landen handelsfacilitatieplatformen die fungeren als centraal punt voor scheepsgerelateerde meldingen (Maritime Single Window) voor handel en transport. Er is een uitgebreid landschap van systemen waarbij voor elk van de platformen veiligheid en integriteit van de systemen hoge prioriteit heeft. In dit landschap is het lastig een groot marktaandeel wereldwijd te bemachtigen. Daarbij is de neutraliteit van de platformen van belang voor de betrokken marktpartijen.
In Nederland wordt het handelsfacilitatieplatform grotendeels gevormd door een samenwerking tussen belangrijke overheidssystemen (zoals de Douane) en de Port Community Systemen (PCS) van de mainports, zoals Portbase voor de havens van Rotterdam en Amsterdam en Cargonaut voor Schiphol. Met de ontwikkeling van de Basis Data Infrastructuur (BDI), een publiek-privaat initiatief, wordt ingezet om de samenwerking tussen deze platformen verder te intensiveren en gebruik verder te stimuleren.
Vraag 10

Deelt u de analyse dat via het gratis ter beschikking stellen van Logink China een dominante positie kan krijgen over datastromen rond internationale handel?

Zie antwoord vraag 9.
Vraag 11

Hoe verhoudt zich deze staatsgesteunde gratis levering van Logink tot de verordening buitenlandse subsidies, en welke mogelijkheden zijn er eventueel om tegen Logink maatregelen te nemen?

De verordening buitenlandse subsidies biedt mogelijkheden om in te grijpen indien er sprake is van overheidssteun uit derde landen aan bedrijven die de concurrentie op de interne markt verstoort. Daarmee draagt de verordening buitenlandse subsidies bij aan de economische veiligheid. De verordening is per 12 januari van dit jaar in werking getreden. De Europese Commissie kan vanaf 12 juli 2023 op basis van de «ex-officio» bevoegdheid ambtshalve onderzoeken starten. De meldplicht bij overnames en aanbestedingen geldt vanaf 12 oktober 2023.
De verordening buitenlandse subsidies bevat drie componenten, waarvan in dit geval mogelijk het ambtshalve onderzoek relevant is. Op basis van deze ambtshalve (ex-officio) bevoegdheid kan de Commissie achteraf subsidies onderzoeken in alle marktsituaties, waar er sprake is van concurrentieverstoring. Dit kan zij doen op basis van signalen uit de markt.
De Commissie is de toezichthouder voor deze verordening en het is dan ook aan haar om te besluiten om over te gaan tot een onderzoek als er sprake is van concurrentieverstoring op de interne markt. De mogelijke concurrentieverstoring op de interne markt vormt de aanleiding voor een dergelijk onderzoek van de Commissie. Mogelijke maatregelen die de Commissie kan opleggen zijn herstelmaatregelen of het aangaan van verbintenissen met ondernemingen op basis waarvan de verstoring verholpen wordt.
Vraag 12

Welke Westerse alternatieven zijn beschikbaar op bijvoorbeeld de Europese Markt, en welke mogelijkheden zijn er eventueel om Westerse alternatieven te stimuleren?

EU-lidstaten hebben over het algemeen het faciliteren van handel op eigen wijze en met eigen platformen ingericht. De meeste Lidstaten met grote handelsstromen in de EU hebben Port Community Systemen (PCS) om transport en logistiek te ondersteunen en data uitwisseling tussen alle partijen in de logistiek en met overheden mogelijk en makkelijk te maken. Op deze wijze kan de logistiek veiliger, efficiënter en duurzamer opereren. In Nederland hebben de mainports daarvoor de platformen Cargonaut (Schiphol) en Portbase (havens van Amsterdam en Rotterdam) ontwikkeld. Portbase is een non-profit organisatie.
Vraag 13

In hoeverre zijn de ZPMC-kranen ook actief in de delen van de Rotterdamse haven die worden gebruikt voor militair transport van Noord-Atlantische Verdragsorganisatie (NAVO)-partners, en zijn deze delen van de haven ook verbonden met Logink?

Havenbedrijf Rotterdam heeft navraag gedaan bij de bedrijven in de haven en bevestigt dat ZPMC-kranen niet actief zijn in delen van de Rotterdamse haven die gewoonlijk worden gebruikt voor militair transport van NAVO-partners. Deze delen zijn ook niet verbonden met Logink.
Vraag 14

In hoeverre zijn de ZMPC-kranen ook actief in de haven van Vlissingen in de delen die worden gebruikt voor militair transport van NAVO-partners?

Havenbedrijf North Sea Port heeft navraag gedaan bij de bedrijven in de haven en bevestigt dat ZPMC-kranen niet actief zijn in de haven van Vlissingen.
Vraag 15

Bent u het eens met de leden van de VVD-fractie dat gevoelige informatie over militair transport van NAVO-partners goed moet worden beschermd?

Ja, daarover ben ik het eens met de VVD-fractie.
Vraag 16

Overweegt u daarom nadere maatregelen te nemen? Zo ja, welke? Zo nee, waarom niet?

Indien het interdepartementale onderzoek uitwijst dat aanvullende maatregelen nodig zijn om informatie over militaire transporten te beschermen, dan zullen deze in overleg met de betreffende havens waar nodig worden toegepast. Daarbij zullen per oktober 2024 twee nieuwe EU-richtlijnen in Nederlandse wetgeving zijn geïmplementeerd die gericht zijn op de verbetering van de digitale en fysieke weerbaarheid van bedrijven en organisaties, respectievelijk de Network and Information Security (NIS2) Directive en de Critical Entities Resilience (CER) Directive. De NIS2 en de CER bieden de nodige wettelijke kaders voor het versterken en waarborgen van de digitale en fysieke weerbaarheid van onze havens en haven-logistieke ketens.
De Europese Commissie heeft daarnaast in maart 2023 aangekondigd de European Maritime Security Strategy (EUMSS) uit 2014 te willen actualiseren. De strategie beoogt de EU maritieme belangen te beschermen tegen dreigingen door moedwillig handelen in het maritieme domein. In de actualisatie is ook specifieke aandacht voor het belang van het mitigeren van risico’s van strategische afhankelijkheden als gevolg van buitenlandse investeringen in EU maritieme logistieke infrastructuur, met name zeehavens. Nederland heeft hier nadrukkelijk aandacht voor gevraagd. Hierover is de Kamer op 21 april 2023 middels een aanbiedingsbrief informatie over nieuwe voorstellen Europese Commissie geïnformeerd.3
Vraag 17

Kunt u deze vragen beantwoorden voorafgaand aan het Commissiedebat over China van 5 april?

De vragen vereisten zorgvuldig onderzoek in samenwerking met de sector en verdere interdepartementale afstemming. Om deze reden kon niet binnen de gebruikelijke termijn geantwoord worden. Op 3 april is met een uitstelbrief aan Uw Kamer uitstel gevraagd voor de beantwoording van de Kamervragen.

8 maart 2023 - 13 april 2023

36 dagen

De berichten 'Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen' en 'Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland'
	Queeny Rajkowski (VVD), Sophie Hermans (VVD), Hawre Rahimi (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Kuipers

Bronnen

1. RTLnieuws, 6 maart 2023, «Naaktbeelden borstkankerpatiënten VS gepubl…
2. RTL Nieuws, 7 maart 2023, «Paspoorten van dokters op straat na hack b…
3. Vragen van de leden Tielen en Rajkowski (beiden VVD) aan de Ministers van Volksgezondheid, Welzijn en Sport en van Justitie en Veiligheid over het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan» (ingezonden 2 februari 2023).

Vraag 1

Bent u bekend met de berichten: «Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen», en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland»?1, 2

Ja.
Vraag 2

Is bekend of meer Nederlandse ziekenhuizen of zorginstellingen slachtoffer zijn (geweest), of doelwit zijn van ransomware-aanvallen waarbij patiëntgegevens en gegevens van (zorg)medewerkers zoals foto’s en persoonsinformatie buit zijn gemaakt? Om hoeveel gevallen gaat het? Welke stappen zijn gezet om de schade voor patiënten zo veel mogelijk te beperken?

De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen slachtoffer geweest van ransomware-aanvallen. Uit het dreigingsbeeld cybersecurity van het Computer Emergency Response Team voor de zorg (Z-CERT) blijkt dat er in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen zijn geregistreerd door Z-CERT.3 In het jaar 2021 betrof dit ook vijf geregistreerde ransomware incidenten. In 2023 is er voorlopig sprake van twee genoteerde incidenten.4 Het is mij niet bekend bij hoeveel van deze incidenten er gegevens van patiënten of (zorg-)medewerkers zijn ontvreemd.
Zorgaanbieders die geraakt worden door ransomware kunnen (technische) experts inzetten om de gevolgen van het incident te beperken. Zorgaanbieders die zijn aangesloten bij Z-CERT kunnen hierbij rekenen op ondersteuning door Z-CERT. Het is daarnaast van belang dat zorginstellingen contact opnemen met de betrokken patiënten of medewerkers om hen te informeren over de gevolgen die het incident voor hen heeft, en in overleg met de ICT-leverancier maatregelen treffen ten behoeve van de informatieveiligheid.
Vraag 3

Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden? In hoeverre wordt de zorgsector hierbij ondersteund door Z-CERT? In hoeverre wordt Z-CERT ook actief benaderd en betrokken door de zorgsector zelf wanneer het gaat om bijstand bij cyberaanvallen? Is Z-CERT ook in het verleden betrokken geweest bij cyberaanvallen op Nederlandse ziekenhuizen en andere zorginstellingen? Zo ja, wat was hun rol?

Zorginstellingen nemen maatregelen om de gevolgen van cyberaanvallen te beperken en zo spoedig mogelijk te mitigeren. Deze maatregelen vloeien voort uit hun verantwoordelijkheden en zijn uitgewerkt in wettelijk verplicht gestelde normen voor informatiebeveiliging in de zorg. Dit betreft de NEN7510, 7512 en 7513. Kern hierbij is de NEN 7510 norm, die met name voorschrijft dat zorginstellingen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid. De aanvullende normen NEN 7512 en 7513 zien er daarnaast op toe dat er wordt voldaan aan eisen voor veilige gegevensuitwisseling en logging.
Op dit moment zijn meer dan 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Z-CERT voorziet hun deelnemers van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een zorginstellingen ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Z-CERT heeft dit in het verleden ook gedaan, bijvoorbeeld tijdens de recente DDoS-aanvallen op Nederlandse ziekenhuizen. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen zorginstellingen informatie over incidenten met elkaar delen. Z-CERT monitort daarnaast actief op signalen van incidenten bij haar deelnemers. Ook scant Z-CERT op internet naar kwetsbare systemen bij de deelnemers en informeert deze daarover om zo mogelijke incidenten te voorkomen.
Het Ministerie van VWS ondersteunt het gefaseerd aansluiten van de gehele zorgsector op basis van een risicogebaseerde aansluitstrategie, zodat steeds meer zorginstellingen deelnemer worden van Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector.
Vraag 4

Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?

Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Het Ministerie van VWS zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. In de brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik u hier nader over geïnformeerd.5 In 2019 is het Ministerie van VWS het project informatieveilig gedrag gestart. Via dit project werkt het ministerie aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. De methode is uitgewerkt in een Wegwijzer, waarin manieren zijn opgenomen om informatie veilig gedrag in de zorg te bevorderen. Hierin wordt onder andere ingegaan op welke interventies mogelijk zijn om te voorkomen dat (zorg)medewerkers slachtoffer worden van phishing.
Daarnaast heeft Z-CERT een publicatie over phishing gemaakt waarin maatregelen en een handelingsperspectief beschreven worden.6 Deze publicatie is terug te vinden op website van Z-CERT en is door Z-CERT verspreid onder haar deelnemers. Hierin staan naast bewustwordingsmaatregelen ook technische maatregelen die zorginstellingen kunnen toepassen om beter beschermd te zijn tegen phishing.
Vraag 5

Welke maatregelen neemt Z-CERT om de cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen?

Z-CERT biedt hun deelnemers een breed pakket aan diensten om hun cybersecurity bewustwording en weerbaarheid te verhogen. Zoals ik in mijn antwoord op vraag 3 heb aangegeven gaat het hierbij onder andere om het verspreiden van dreigingsinformatie, adviseren over preventieve maatregelen en het ondersteunen bij het mitigeren van de impact van een cyberaanval. Concreet gaat het bijvoorbeeld om adviezen over hoe te reageren op een ransomwareaanval, en hoe e-mailstandaarden en monitoring te implementeren.7 Z-CERT helpt hun deelnemers daarnaast bij het organiseren van cybercrisisoefeningen, en Z-CERT informeert deelnemers geregeld over cyberbewustwordingsonderwerpen. Op de website van Z-CERT is eveneens een kennisbank te vinden met daarin documentatie die informatie bevat over verschillende thema’s. Het doel van deze publicaties is om het zorgveld cyberweerbaar en cyberbewust te maken. Deze informatie is voor iedereen toegankelijk.
Vraag 6

Hoe hoog wordt het dreigingsniveau van eventuele aanvallen door cybercriminelen op Nederlandse ziekenhuizen en zorginstellingen, maar ook breder dan deze sector, geschat? Hoe beoordeelt u de digitale weerbaarheid van Nederlandse sectoren in vergelijking met de huidige toenemende digitale dreiging waar Nederland nu mee te maken heeft? Welke maatregelen worden op dit moment in Nederland genomen om weerstand te bieden aan deze toenemende dreiging, ook in aanloop naar de implementatie van de NIS2?

In het dreigingsbeeld cybersecurity 2022 geeft Z-CERT per type cyberdreiging voor het zorgveld een risico-inschatting. Zo wordt het dreigingsniveau met betrekking tot de impact van ransomware-aanvallen op Nederlandse ziekenhuizen en zorginstellingen aangemerkt als «hoog».8
In het meest recente Cybersecuritybeeld Nederland staat genoteerd dat er sprake is van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid.9 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het kabinet zich daarom hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse Cybersecuritystrategie (NLCS), zodat deze scheefgroei geadresseerd wordt.10 In het actieplan van de NLCS staan de maatregelen waarmee deze ambities worden gerealiseerd en wie daarvoor verantwoordelijk is.
Vraag 7

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van onder andere Black Cat en Qilin hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Inmiddels zijn acht personen en vier entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen op de sanctielijst van de EU geplaatst. Op de sanctielijst staan onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast kregen personen en entiteiten uit China en Noord-Korea sancties opgelegd. Op dit moment wordt de Cyber Diplomacy Toolbox herzien, met als doel daadkrachtiger op te kunnen treden tegen ontwrichtende cyberoperaties, hier speelt Nederland wederom een actieve rol in. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.
Vraag 8

Hoe gaat u er zorg voor dragen dat de KopieID-app van de rijksoverheid, waarmee identiteitsbewijzen veilig gekopieerd, verstuurd en getraceerd kunnen worden, meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn?

Vanaf juni dit jaar wordt de KopieID-app extra onder de aandacht gebracht. Dat zal gebeuren via social media, advertorials en bij bibliotheken waar de Informatiepunten Digitale Overheid zijn. De KopieID-app zelf zal in juni ook gebruiksvriendelijker zijn dan de huidige app. Zo is de app straks in meer talen te gebruiken en kunnen documenten automatisch worden herkend zodat men niet meer zelf met de vinger onderdelen onzichtbaar hoeft te maken te maken. De app herkent dan ook documenten als de Sédula, de identiteitskaarten die gebruikt worden in het Caribisch deel van het Koninkrijk.
Vraag 9

Hoe kan er zorg voor gedragen worden dat «vervuilde data», zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?

De kopieën van de identiteitsbewijzen in het artikel en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland» waren van werknemers. Die kopieën worden gemaakt als iemand in dienst treedt bij een werkgever. Werkgevers zijn verplicht om deze kopieën, zonder doorgestreepte elementen, te bewaren. Dat moet tot vijf jaar nadat een werknemer weg is bij deze werkgever. Het komt dus voor dat er terecht kopieën worden bewaard van identiteitsbewijzen die inmiddels zijn verlopen. Werkgevers dienen kopieën van oud-werknemers niet onnodig lang te bewaren. Of en hoeveel kopieën onnodig worden bewaard, is onbekend.11
Vraag 10

Ziet u mogelijkheden om, in het kader van de toenemende internationale cyberdreiging, aanvullende maatregelen te nemen op de korte termijn om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten? Zo ja, welke concrete maatregelen bent u bereid te treffen? Zo nee, waarom niet?

Zoals in het antwoord op vraag 6 is aangegeven staan in het actieplan van de NLCS alle acties die het kabinet uit zal voeren om de algehele digitale weerbaarheid van de maatschappij te versterken. Hierin vindt u dus ook welke concrete maatregelen op korte termijn getroffen (zullen) worden. Een voorbeeld van belangrijke maatregelen die de digitale weerbaarheid op korte termijn zullen vergroten is het bieden van meer zicht op cyberincidenten, -dreigingen en -risico’s aan organisaties door meer en efficiëntere informatie-uitwisseling. Daarnaast wordt er dit jaar geoefend met het Landelijk Crisisplan Digitaal middels de nationale oefening ISIDOOR.
Het actieplan 2022–2023 van de NLCS is het startpunt. Het actieplan wordt jaarlijks geactualiseerd, waardoor adequaat ingespeeld kan worden op de snelle ontwikkeling van het cybersecurity domein en bijgestuurd kan worden als hier aanleiding toe is. De komende jaren geeft het kabinet samen met medeoverheden, bedrijfsleven en wetenschap invulling aan de noodzakelijke vervolgstappen richting een digitaal veilig Nederland.
Vraag 11

Herinnert u zich de eerdere schriftelijke vragen over de Pro-Russische DDoS-aanval op Nederlandse ziekenhuizen? Kunt u toezeggen deze en bovenstaande schriftelijke vragen te beantwoorden vóór het aanstaande commissiedebat Cybercrime d.d. 30 maart 2023?3

Ja.

17 februari 2023 - 9 maart 2023

20 dagen

Het bericht ‘Ik heb je data nodig, want ik wil weten hoe duur je bent’
	Jacqueline van den Hil (VVD), Queeny Rajkowski (VVD)
	Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Kuipers , Conny Helder (minister zonder portefeuille volksgezondheid, welzijn en sport) (VVD)

Bronnen

1. NRC, 12 februari 2023, Ik heb je data nodig, want ik wil weten hoe du…

Vraag 1

Bent u bekend met het bericht dat de Nederlandse Zorgautoriteit (NZa) verplicht gaat stellen dat bepaalde patiëntgegevens met haar gedeeld moeten worden?1

Ja, ik ben bekend met het bericht.
Vraag 2

Wat is de wettelijke grondslag voor de verplichting voor behandelaren om vanaf 1 juli verplicht gegevens over hun patiënten met de NZa te delen?

Ik wil in de eerste plaats opmerken dat de NZa informatie uitvraagt bij zorgaanbieders om te zorgen voor een toegankelijke en betaalbare geestelijke gezondheidszorg (ggz) in Nederland. Dit doet zij als zelfstandig bestuursorgaan (ZBO), waarbij zij primair zelf gaat over de invulling van haar rol als regulator en toezichthouder en in dit kader de mogelijkheid hebben om de hiertoe benodigde informatie te vergaren en verwerken. Daarbij moet de NZa vanzelfsprekend voldoen aan de privacy- wet- en regelgeving. De kaders voor uitvraag van gegevens en verwerking door de NZa liggen in de Wet marktordening gezondheidszorg (Wmg) en Algemene verordening gegevensbescherming (AVG).
Op grond van de Wmg kan de NZa regels stellen over het verstrekken van gegevens en inlichtingen. De NZa neemt hierbij onder meer de Regeling categorieën persoonsgegevens Wmg in acht. Voor de ggz en forensische zorg (fz) heeft de NZa in de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) voorschriften gegeven op het gebied van registratie, administratie, declaratie en informatie. In deze Regeling heeft de NZa ook de informatieverplichting opgenomen over de éénmalige aanlevering zorgvraagtypering.
De Autoriteit Persoonsgegevens (AP) heeft getoetst of de uitvraag en verwerking van data voldoet aan de hand van de vereisten die krachtens het Handvest van de Grondrechten van de Europese Unie en de AVG (moeten) worden gesteld aan een regeling (zoals die van de NZa) die voorzien in een inmenging in het recht op bescherming van persoonsgegevens. De AP geeft, kort gezegd, aan dat de wijze waarop de NZa met dataverzameling in het kader van de doorontwikkeling van de zorgvraagtypering in de ggz omgaat voldoet aan de gestelde wettelijke vereisten. Zie hiervoor ook mijn brief aan uw Kamer van 22 februari 2023.2 De AP geeft in haar (eind-)oordeel van 14 december 2022 (z2022–05490) ook aan dat de bevoegdheid van de NZa om een wettelijke verplichting op te nemen, die mede ziet op de doorbreking van de geheimhoudingsplicht voldoende verankerd ligt in de systematiek van de Wmg voor verwerking van persoonsgegevens.3
Vraag 3

Is bekend bij cliënten en patiënten wie de verstrekte gegevens in kan zien? Is het gerechtvaardigd dat deze personen de bepaalde gegevens van patiënten mogen bekijken? Zal er gebruik worden gemaakt van logging om bij te houden wie welke gegevens heeft bekeken?

Het is niet altijd bekend bij cliënten en patiënten welke gegevens met wie worden gedeeld. De NZa werkt daarom, samen met de koepel van patiëntenverenigingen MIND, aan een informatiefolder om cliënten en patiënten te informeren. Zo kunnen cliënten en patiënten beter kiezen of zij de informatie willen delen. De AP heeft geoordeeld dat het inrichten van de informatieverplichting zorgvraagtypering rechtmatig is.
Wanneer de zorgvraagtyperingsgegevens bij de NZa zijn aangeleverd worden deze beveiligd opgeslagen. Deze informatie is niet te herleiden tot individuele patiënten. Slechts een beperkt aantal medewerkers van de NZa zal het recht op toegang tot de gegevens krijgen op een strikte basis van noodzakelijkheid voor het verwerken van de gegevens. De NZa houdt via logging bij wie de gegevens benadert en wanneer.
Vraag 4

Kunt u aangeven waarom de NZa deze specifieke informatie uit de scorelijst nodig heeft? In hoeverre geven deze gegevens een indicatie voor toekomstige zorgvraagstukken?

Zoals bij het antwoord op vraag 2 aangegeven, vraagt de NZa informatie uit bij zorgaanbieders om te zorgen voor een toegankelijke en betaalbare ggz in Nederland. Het zorgprestatiemodel is in combinatie met de zorgvraagtypering een belangrijk middel om de wachtlijsten in de ggz te verminderen zodat mensen passende en tijdig zorg krijgen. Voor de doorontwikkeling van de zorgvraagtypering is gedetailleerde informatie nodig. Zorgvraagtypering geeft inzicht in zorgvraagzwaarte van patiëntengroepen. Hierdoor kunnen passende prijsafspraken worden gemaakt tussen zorgaanbieder en zorgverzekeraar en kunnen patiënten met een complexe zorgvraag kostendekkend worden behandeld. Ook kunnen personeel en middelen beter worden gepland. Zorgvraagtypering draagt op deze wijze bij aan de behandeling van patiënten met ernstige psychische aandoeningen en daarmee aan goed toegankelijke zorg voor deze patiënten. De NZa werkt de komende jaren aan een verbetering van de zorgvraagtypering in samenwerking met partijen in de ggz. In dit kader vraagt de NZa eenmalig gedetailleerde gegevens uit over zorgzwaarte en behandelinzet om een beter beeld te krijgen welke zorg voor welke groep patiënten passend is.
De NZa heeft mij laten weten vanaf 2024 de gegevensuitvraag sterk terug te brengen. Vanaf dat moment kan worden volstaan met een monitorings-uitvraag, eventueel aangevuld met uitvragen om specifieke hypotheses te toetsen, aldus de NZa.
Vraag 5

Wat is uw reactie op de stelling van de Autoriteit Persoonsgegevens dat het wenselijk zou zijn om een duidelijkere wettelijke grondslag te bieden voor deze verplichte gegevensverwerking met daarbij de noodzaak van de gegevensuitwisseling?

De AP heeft in haar brief van 14 december 2022 aan de NZa aangegeven dat de wijze waarop de NZa met dataverzameling in het kader van de doorontwikkeling van de zorgvraagtypering in de ggz omgaat voldoet aan de gestelde wettelijke vereisten. Daarnaast geeft de AP nog verschillende voorwaarden mee. Zo geeft de AP aan dat de gegevens slechts eenmalig over één jaar mogen worden uitgevraagd, waardoor betere afbakening in de tijd plaatsvindt. Voor volgende jaren zal opnieuw zorgvuldig moeten worden bezien of een nieuwe uitvraag nodig is en vervolgens welke gegevens en welke omvang noodzakelijk zijn. Mocht de NZa op een later moment opnieuw gegevens nodig hebben voor zorgvraagtypering, dan moet daarvoor eerst een nieuwe wettelijke regeling komen met een onderbouwing van de noodzaak en moet die nieuwe regeling eerst worden voorgelegd aan de AP. Daarnaast heeft de AP de NZa gevraagd in de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) vast te leggen dat de gegevens alleen voor het verder ontwikkelen van zorgvraagtypering gebruikt zullen worden en dat geen koppeling gemaakt zal worden met andere bronnen. De NZa heeft daar de regeling op aangepast, in lijn met de uitkomst van de toets op rechtmatigheid van de AP.
Vraag 6

Op welk metaniveau worden de gegevens gedeeld? Kunnen er specifieke persoonsprofielen gekoppeld worden aan de gedeelde gegevens? Hoe kunnen de gegevens meer geanonimiseerd worden om dit te voorkomen?

Voor de beoogde doelen van zorgvraagtypering bij het verhelpen van grote problemen in de ggz en fz is het nodig op het niveau van het individu te weten hoe de relatie is tussen de scorelijst en het zorgvraagtype en de daaropvolgende behandelinzet. De NZa heeft vastgelegd dat zij geen koppeling met andere bronnen maakt. Deze gegevens zijn zonder koppeling met andere databronnen niet te herleiden tot een persoon. De gegevens die worden uitgevraagd, worden alleen door de NZa geanalyseerd en worden niet gedeeld.
In aanvulling op bovenstaande heeft de NZa ook juridische maatregelen genomen. In de regelgeving heeft de NZa daarom opgenomen dat er geen koppeling gemaakt wordt met andere gegevensbronnen.
Vraag 7

Op welke manier wordt, of is de belofte van de NZa om de verschillende informatiestromen niet te koppelen en zo herleidbaarheid te voorkomen bestendigd?

De garantie dat de NZa de gegevens met scorelijsten van zorgvraagtypering niet zal koppelen aan databronnen is vastgelegd in dezelfde regeling waarin de informatieverplichting is opgenomen, de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a).
Vraag 8

Kunt u aangeven of na 1 juli een patiënt of cliënt bij de NZa en/of betreffende behandelaren een verzoek kan doen op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg voor een overzicht, waarin is opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en/of heeft ingezien? Zo ja, hoe wordt dit recht aan de patiënt/cliënt kenbaar gemaakt? Zo nee, waarom niet?

De NZa weet niet welke gegevens bij welk individu horen. Daarom kan een patiënt niet bij de NZa opvragen wie wanneer bepaalde informatie heeft ingezien. De patiënt kan wel bij de zorgaanbieder navragen of en wanneer de gegevens zijn gedeeld met de NZa.

2 februari 2023 - 16 maart 2023

42 dagen

Het bericht ‘Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan’
	Judith Tielen (VVD), Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Kuipers

Bronnen

1. NOS, 30 januari 2023, «Pro-Russische DDoS-aanvallers vallen Nederland…
2. Kamerstuk 36 200-XVI, nr. 125.
3. Aanhangsel van de Handelingen II, vergaderjaar 2021–2022, nr. 3969. …

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan»?1

Ja.
Vraag 2

Is bekend of ook ziekenhuizen in andere landen te maken hebben (gehad) met DDoS-aanvallen? Is bekend of hierbij patiëntgegevens of continuïteit van zorg in gevaar is gebracht?

Dat klopt. Andere landen hebben bevestigd dat ziekenhuizen getroffen zijn door DDoS-aanvallen. Wij hebben geen volledig beeld van de gevolgen in andere landen van deze DDoS-aanvallen.
Vraag 3

Wat is de (potentiële) schade die Killnet, en mogelijk andere hackerscollectieven, aan hebben kunnen richten aan de zorginfrastructuur in Nederland? Hoe zien de effecten van dit soort veiligheidsrisico’s eruit voor patiënten en zorginstellingen? Zijn zorgorganisaties of ziekenhuizen of websites onbereikbaar geweest? Kunt u meer vertellen over de modus operandi van de aanvallen? Welke lessen worden hieruit getrokken?

De Russische groep Killnet gebruikt DDoS-aanvallen voornamelijk om de dagelijkse dienstverlening van de beoogde slachtoffers te frustreren. Deze aanvallen passen in het huidige digitale dreigingsbeeld. Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. De aanvallen hebben vooral geleid tot het beperkt beschikbaar zijn van de websites van ziekenhuizen. Ziekenhuizen zijn via andere kanalen wel bereikbaar gebleven.
De geleerde les is in hoofdlijnen dat cybersecurity een continu proces is dat geborgd dient te worden binnen de bedrijfsvoering van organisaties en ook periodiek dient te worden geëvalueerd: welke dreigingen zijn er, welke belangen zijn relevant, tot welke risico’s leidt dat en welke maatregelen moeten er genomen worden om te komen tot een passend niveau van weerbaarheid. Een DDoS-aanval is een scenario dat daarin kan worden meegenomen.
Vraag 4

Kunt u een stand van zaken geven over het lopende proces om de ziekenhuissector als vitale sector te identificeren zoals aangegeven in het commissiedebat Online veiligheid en cybersecurity en zoals aangegeven in het debat over de Wet elektronische gegevensuitwisseling in de zorg?

De Minister van Volksgezondheid, Welzijn en Sport zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.
Vraag 5

Bestaat er een «scrubbing center» voor de zorg en de nu al aangewezen vitale infrastructuren/sectoren, waarin dataverkeer wordt opgeschoond en geanalyseerd, en kwaadaardig dataverkeer zoals DDoS wordt verwijderd? Zo nee, wat vindt u van een dergelijke «veiligheidsklep» voor deze infrastructuren/sectoren?

Er zijn leveranciers waar deze maatregel («scrubbing straat») in diverse vormen als dienst kan worden afgenomen. Diverse Nederlandse ziekenhuizen maken hier ook gebruik van. Er bestaat echter geen wasstraat specifiek voor de zorg en de nu al aangewezen vitale infrastructuur/sectoren. Behalve een wasstraat («scrubbing straat») zijn er nog andere maatregelen die genomen kunnen worden op het niveau van applicatie/diensten, netwerk en servers. Organisaties besluiten individueel welke maatregelen voor hen nodig zijn om DDoS-aanvallen af te weren. Of een wasstraat een noodzakelijke maatregel is, dient iedere organisatie voor zichzelf af te wegen op basis van het risicoprofiel en de overige maatregelen die er al zijn genomen. Ook is het goed mogelijk dat internetproviders reeds scrubbing diensten hebben opgenomen in hun dienstverlening, waarover de organisatie zelf afspraken kan maken over hoe en wanneer dergelijke technologie wordt geactiveerd.
Vraag 6

Het Ministerie van Volksgezondheid, Welzijn en Sport wil de zorg bewust maken van cyberveiligheid door onder andere de diensten van expertisecentrum Z-Cert uit te breiden naar de gehele zorgsector, waarom zijn diensten van Z-Cert nu alleen van toepassing op ziekenhuizen en de geestelijke gezondheidszorg (GGZ) en niet bijvoorbeeld op de Geestelijke Gezondheidsdiensten (GGD’en)? Welke termijn heeft u voor ogen om de diensten voor de gehele zorgsector beschikbaar te maken? In hoeverre gaat de inwerkingtreding van de NIS2 deze situatie veranderen?2

Zoals eerder aan uw Kamer gecommuniceerd4 kiezen het Ministerie van VWS en Z-CERT ervoor om de verschillende sub-sectoren in het zorgveld aan te sluiten volgens een risicogebaseerde aansluitstrategie. Concreet betekent dit dat de sub-sectoren waarin de risico’s op cyberincidenten en de bijbehorende gevolgen het grootst zijn als eerste worden aangesloten bij Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Ook de GGD’en zijn via de koepelorganisatie aangesloten. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Voor de zomer zal de Minister van VWS de Kamer informeren over de implementatie van de nieuwe Europese Netwerk en Informatiebeveiligingsrichtlijn (NIB2) en zal hij ingaan op wat dit voor de zorgsector betekent.
Vraag 7

Bent u bereid actief te communiceren dat zorginstellingen zich aan kunnen sluiten bij Z-Cert en hoe wordt gestimuleerd dat straks de gehele zorgsector zich aansluit, aangezien in de beantwoording van eerdere schriftelijke vragen is aangegeven dat aangesloten zorginstellingen bij ICT-incidenten kunnen rekenen op de hulp van Z-Cert?3

Zie antwoord vraag 6.
Vraag 8

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van Killnet hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Onze eerste prioriteit lag bij het mitigeren van deze aanvallen en de getroffen systemen weer online te krijgen. Daarna kan er een onderzoek worden verricht naar de mogelijke dader(s) en kan bezien worden of sancties of strafrechtelijke vervolging tot de mogelijkheden behoren. Nederland zal hierbij zo mogelijk optrekken met de EU en afzonderlijke lidstaten, omdat een reactie sterker is als deze in coalitie-verband wordt vormgegeven.
Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Op dit moment wordt de Toolbox herzien, hier nemen we een actieve rol in. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

19 januari 2023 - 28 maart 2023

68 dagen

Kunstmatige intelligentie in het onderwijs
	Zohair El Yassini (VVD), Hatte van der Woude (VVD), Queeny Rajkowski (VVD), Mariëlle Paul (VVD)
	Robbert Dijkgraaf (minister onderwijs, cultuur en wetenschap) (D66), Micky Adriaansens (minister economische zaken en klimaat) (VVD), Dennis Wiersma (minister zonder portefeuille onderwijs, cultuur en wetenschap) (VVD)

Bronnen

1. https://nos.nl/artikel/2460020-chatgpt-glipt-langs-docenten-ik-gebrui…
2. https://www.scienceguide.nl/2023/01/chatgpt-te-lijf-met-pen-en-papier/
3. https://www.ai-cursus.nl/

Vraag 1

Bent u bekend met het artikel «ChatGPT glipt langs docenten: «Ik gebruik het om snel huiswerk te maken»»1?

Ja, wij zijn bekend met dit bericht.
Vraag 2

Deelt u de mening dat kunstmatige intelligentie als systeemtechnologie een ingrijpend effect heeft en gaat hebben op het onderwijs?

Ja, wij delen de mening dat artificiële intelligentie (AI) als systeemtechnologie belangrijke gevolgen op het onderwijs kan hebben.
Vraag 3

Welke kansen en risico's voor scholen ziet u door het toegankelijker en geavanceerder worden van kunstmatige intelligentie? Hoe gaat u ervoor zorgen dat de kansen om het onderwijs door middel van kunstmatige intelligentie te verrijken optimaal worden benut, terwijl de risico’s en valkuilen adequaat worden getackeld?

De opkomst van AI is een gegeven en heeft impact op de maatschappij en het onderwijs. AI kan het onderwijs verbeteren door het leren motiverender en meer op maat te maken en docenten te ondersteunen. Tegelijkertijd zijn er risico’s en kan de inzet van AI bijvoorbeeld door biases leiden tot grotere verschillen tussen groepen leerlingen en studenten waardoor groepen leerlingen en studenten onterecht benadeeld kunnen worden.2 De ontwikkeling van AI zal een aanpassing vragen van docenten en leerlingen en studenten om goed met intelligente technologieën in het onderwijs om te gaan.
De sleutel ligt vooral bij de didactische aanpak in de klas, bijvoorbeeld door leerlingen niet te beoordelen op het eindproduct maar op het schrijfproces of door opdrachten in de klas te laten maken met pen en papier. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.
Aanvullend faciliteren wij een verantwoorde ontwikkeling van AI in het onderwijs, door het benutten van kansen en met oog voor de risico’s. Met behulp van het Nationaal Groeifonds investeren wij substantieel in deze ontwikkelingen tot 2035. Zo is er voor de komende tien jaar € 80 miljoen toegekend aan het Nationaal Onderwijslab AI (NOLAI) in het funderend onderwijs. Leraren en scholen in het funderend onderwijs kunnen deelnemen aan co-creatie projecten waarin zij samen met wetenschappers en leermiddelenmakers werken aan een goede inzet van intelligente technologieën in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren.
Vraag 4

Zijn schoolbesturen en leraren voldoende op de hoogte van de risico's van kunstmatige intelligentie voor het onderwijs?

Het is belangrijk dat schoolbesturen en leraren naast de kansen ook voldoende op de hoogte zijn van de risico’s van AI voor het onderwijs. Van onderwijsinstellingen vraagt de ontwikkeling van AI om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden. Ook hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over kunstmatige intelligentie vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.
Vraag 5

Op welke manier passen scholen zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en leerlingen hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Zie het antwoord op vraag 3.
Aanvullend is het belangrijk dat scholieren, leraren en de maatschappij in gesprek blijven over het gebruik van AI in de klas. Dit vraagt ook iets van docenten op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid.
Vraag 6

Wordt er al onderzoek gedaan naar de manier waarop kunstmatige intelligentie het onderwijs gaat veranderen? Zo ja, welk onderzoek? Zo nee, bent u bereid dit in gang te zetten?

Ja, binnen het Nationaal Onderwijslab AI is tot 2035 voorzien in een wetenschappelijk onderzoeksprogramma waarbij in een breed perspectief gekeken wordt naar de kansen en risico’s van intelligente technologieën in het onderwijs. Deze breedte levert een unieke samenwerking tussen wetenschappers om de pedagogisch-didactische, sociaal-maatschappelijke en ethische aspecten van AI in onderwijs in kaart te brengen.
Vorig jaar zijn het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad verschenen. De Onderwijsraad wijst op het belang van een actieve rol voor zowel leraren en docenten als schoolleiders, bestuurders en de overheid bij de inzet van intelligente technologie. Schoolleiders en bestuurders hebben een belangrijke rol in het borgen dat leerlingen, studenten, leraren en docenten digitaal geletterd zijn en intelligente technologie zinvol en verantwoord inzetten. Voor de overheid ziet de Onderwijsraad een faciliterende rol door kaders te scheppen, algemene leerdoelen te formuleren voor digitale geletterdheid en te stimuleren dat er samen met de beroepsgroep toepassingen van intelligente technologie worden ontwikkeld.
Vraag 7

Bent u bekend met hat artikel «ChatGPT te lijf met pen en papier»2?

Ja, wij zijn bekend met dit bericht.
Vraag 8

Op welke manier passen onderwijsinstellingen in het mbo, hbo en wo zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en studenten hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Mbo-, hbo- en wo-instellingen zetten AI al in voor bijvoorbeeld het optimaliseren van onderwijsprocessen en het vindbaar maken van leermaterialen. Met de komst van ChatGPT kunnen ook studenten en docenten gebruik maken van dergelijke technologie, om bijvoorbeeld het leerproces te verbeteren. Ten slotte zijn er gevallen bekend dat studenten ChatGPT gebruiken om fraude te plegen.
Docenten en opleidingen zijn als eerste aan zet om in te spelen op de toepassing van ChatGPT, alsook andere vormen van generatieve AI. Zoals aangegeven in de beantwoording op vraag 3, kunnen docenten de onderwijsvorm aanpassen, waardoor de inzet van ChatGPT minder gevolgen heeft op het leerproces. Docenten worden hierbij ondersteund door Kennisnet en SURF, die hun kennis delen in de vorm van webinars en artikelen.
Voor de opleidingen geldt dat zij moeten inspelen op maatschappelijke en technologische ontwikkelingen. Doordat opleidingen de opleidingscurricula steeds vernieuwen, kunnen studenten binnen de opleidingen de benodigde en relevante (AI-) vaardigheden verwerven.
OCW ziet haar rol vooral als verbinder en facilitator. Met het Nationaal Groeifondsprogramma Digitaliseringsimpuls Onderwijs, investeert het kabinet in digitalisering in het mbo, hbo en wo. Onderdeel van het netgenoemde programma zijn de Centers for Teaching and Learning (CTL), die ervoor zorgt dat de nationale ICT-voorzieningen en kennis beschikbaar is voor docenten en lerenden, op een manier die past bij de eigen context, structuur en cultuur van de opleiding en instelling. Hierbij is ook aandacht voor technologieën zoals AI. Deze CTL dragen dus bij aan kennisdeling waardoor docenten ondersteund worden in hun werk.
Daarnaast biedt OCW een eenmalige subsidie aan de werkgroep Onderwijs van de Nederlandse AI Coalitie (NL AIC). Met deze subsidie wordt gewerkt aan concrete AI-pilots die bijdragen aan beter onderwijs voor leerlingen en studenten en meer ondersteuning voor docenten.
Vraag 9

Is voldoende expertise over kunstmatige intelligentie aanwezig op het ministerie en breder binnen de rijksoverheid? Zo ja, op welke manieren ondersteunt u scholen en andere onderwijspartijen? Zo nee, hoe gaat u dat in de (nabije) toekomst alsnog doen?

Binnen de rijksoverheid is expertise aanwezig om de genoemde ondersteuning aan scholen te faciliteren. Zoals aangegeven in de kabinetsreactie op het WRR-rapport «Opgave AI: de nieuwe systeemtechnologie» van 7 oktober 2022 wordt de komende jaren verder geïnvesteerd in kennisontwikkeling voor management en medewerkers op het gebied van kunstmatige intelligentie. Op dit moment is voor Rijksambtenaren een up-to-date aanbod aan opleidingen op het gebied van kunstmatige intelligentie beschikbaar, zowel voor beginners als voor gevorderden. De Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO) geeft in 2023 extra aandacht aan dit aanbod en biedt ook de mogelijkheid AI-opleidingen op maat te ontwikkelen, passend bij de context van de verschillende onderdelen van de rijksoverheid.
Voor de wijze waarop het Ministerie van OCW het onderwijs ondersteunt, verwijzen wij u graag naar de beantwoording van de vragen 3, 4, 5, 6 en 8.
Vraag 10

Hoe zorgt u ervoor dat u onderwijsinstellingen in het gehele onderwijs voldoende kunt ondersteunen als het gaat om omgang met kunstmatige intelligentie?

Zie antwoord vraag 9.
Vraag 11

Deelt u de mening dat de kennis in de samenleving, en dus ook in het onderwijs over AI moet worden vergroot, zoals ook de WRR adviseert en dat de nationale AI cursus hier een mooi instrument voor kan zijn? Zo nee, waarom niet? Zo ja, hoeveel mensen hebben de gratis AI cursus gedaan en wat kan er nog gebeuren om deze meer bekendheid te geven?3

Ja, het is van groot belang dat de kennis over AI in de samenleving en in het onderwijs wordt vergroot. Dat wordt op verschillende manieren gedaan, zoals het ontwikkelen van verantwoorde AI-innovaties in het primair en voortgezet onderwijs door het Nationaal Onderwijslab AI (NOLAI).
Ook de nationale AI cursus draagt bij aan bewustwording en kennisoverdracht bij burgers en professionals te vergroten. Daarvoor hebben zich tot nu toe 364.000 mensen aangemeld.
Daarnaast zijn er ook sectorspecifieke AI cursussen via de Nederlandse AI Coalitie gekomen voor o.a. zorg, energie en onderwijs, met een bereik van 50.000 mensen tot nu toe. Door de komst van ChatGPT is er een grote stijging in deelnemers van de AI cursus voor het onderwijs geweest. De komende tijd wordt de AI cursusaanpak doorontwikkeld en wordt ingezet op bredere bekendheid, o.a. via de inzet van de Nederlandse AI Coalitie en haar partners, zowel online als via events.
Vraag 12

Bent u bereid in gesprek te gaan met de Nederlandse AI-coalitie over kansen en risico’s van kunstmatige intelligentie voor het onderwijs?

Ja, we zijn reeds in gesprek met de NLAIC. Zoals aangegeven in de beantwoording van vraag 8 subsidieert OCW de werkgroep Onderwijs van de NLAIC. Ook zijn de ministeries van OCW en van EZK en deze werkgroep nauw betrokken bij de realisatie van het nieuwe innovatielab NOLAI. Het kabinet investeert € 80 mln uit het Groeifonds in NOLAI om samen met onderwijspartijen op AI gebaseerde lesmaterialen voor het onderwijs te ontwikkelen, die verantwoord en veilig zijn.

15 december 2022 - 15 februari 2023

62 dagen

Het bericht ‘Jongeren vaker betrokken bij fraude en cybercrime, politie maakt zich zorgen’
	Ruud Verkuijlen (VVD), Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NOS, 14 december 2022, https://nos.nl/artikel/2456322-jongeren-vaker-…

Vraag 1

Bent u bekend met het bericht «Jongeren vaker betrokken bij fraude en cybercrime, politie maakt zich zorgen»1?

Ja.
Vraag 2

Hoe verklaart u dat jongeren steeds vaker betrokken zijn bij fraude en cybercrime?

Voor zover bekend blijkt niet uit het huidige inzicht dat jongeren steeds vaker betrokken zijn bij online fraude en cybercrime in 2022. Tegen het einde van het eerste kwartaal van 2023 komt het OM met een overzicht dat specifiek ziet op het aantal cybercrimezaken dat in 2022 is afgedaan, volgend uit de afspraken uit de Veiligheidsagenda. Ik vind het belangrijk om meer inzicht te vergaren in de rol van jongeren in criminaliteit. Daarom voert de politie in opdracht van mijn ministerie een onderzoek uit naar de daders achter online fraude, waaronder geldezeldelicten.
Vraag 3

Op welke manier probeert u het besef te creëren bij jonge daders en hun ouders dat ze echte slachtoffers treffen, hetgeen nu vaak lijkt te ontbreken?

De overheid organiseert of stimuleert verschillende initiatieven om het besef van online gedrag bij jongeren en hun ouders in het digitale domein te vergroten. Hiervan wordt een aantal hieronder toegelicht.
Begin oktober 2022 is «Mijn Cyberrijbewijs» gelanceerd, een gratis lesprogramma voor groep 7 en 8 van het basisonderwijs. Mijn Cyberrijbewijs gebruikt vijf lessen om jonge mensen bewust te maken van de eigenschappen en risico’s van het internet. Het materiaal is breed beschikbaar via de website of via educatieve platforms zoals LessonUp en Gynzy. Bij Mijn Cyberrijbewijs is het, naast het uitzetten van de interventie binnen het onderwijs, een optie om de lessen door vrijwilligers te laten geven.
De politie maakt met de mobiele game Framed leerlingen bewuster van strafbare gedragingen in de online wereld. Leerlingen kunnen vanuit hun eigen leefwereld ervaren welke ernstige gevolgen door online gedrag kunnen worden veroorzaakt. Bij de afronding van het spel verkrijgt de leerling een fictief strafblad. De campagne Framed is het derde (school)jaar ingegaan. Inmiddels heeft meer dan de helft van alle middelbare scholen zich aangemeld voor het gratis lespakket Framed en hebben ruim 135.000 leerlingen Framed gespeeld.
Halt geeft voorlichting in het voortgezet onderwijs over de risico’s en gevolgen van online fraude en cybercrime. In de lessen maakt de Halt-medewerker leerlingen bewust van de risico’s van online fraude en cybercriminaliteit. Daarnaast krijgen leerlingen handelingsperspectieven aangereikt die moeten helpen bij het herkennen en voorkomen van online fraude en cybercrime. De module bevat de volgende onderwerpen: geldezels, identiteitsfraude, aan- en verkoopfraude, hulpvraagfraude, phishing en hacken.
Via de politie is de interventie re_B00Tcmp ontwikkeld. Re_B00Tcmp maakt jongeren die affiniteit met IT hebben weerbaar tegen het ontwikkelen van een criminele cybercarrière. Jongeren en hun ouders worden geïnformeerd over wat wel en niet mag op het internet. Ook leren jongeren hoe zij hun IT-skills op een positieve manier kunnen inzetten en krijgen carrièreadvies aangeboden.
Daarnaast is er HackShield, dat een module «online grenzen» heeft, waarin jongeren leren hoe zij cybercrime kunnen herkennen en hoe zij kunnen voorkomen dat ze zelf dader of slachtoffer hiervan worden.
In 2020 is de City Deal Lokale Weerbaarheid Cybercrime van start gegaan met als doel om gemeenten en lokale samenwerkingsverbanden of partijen aan te sporen in de (preventieve) aanpak van cybercriminaliteit. Ook de initiatieven re_B00Tcmp en HackShield zijn vanuit de City Deal gestimuleerd. Succesvolle pilots vanuit de City Deal worden verspreid via de regionale samenwerkingsverbanden openbare orde en veiligheid en in het kader van de preventieve aanpak van (georganiseerde en ondermijnende) jeugdcriminaliteit (Preventie met gezag).
Vraag 4

Worden ouders meegenomen bij de aanpak om cybercrime bij jongeren terug te dringen? Zo ja, op welke manier? Zo nee, waarom niet?

Ja. In verschillende interventies wordt aandacht besteed aan de rol die ouders kunnen spelen in het voorkomen van criminaliteit van hun kinderen. Zo is er binnen Mijn Cyberrijbewijs een begeleidende ouderbrief en praatplaat ontwikkeld. Deze ouderbrief en praatplaat helpen ouders een gesprek met hun kinderen over hun online gedrag te voeren.
Binnen de Halt-interventie is het een standaardwerkwijze om ouders te betrekken. Halt heeft een module over online fraude en cybercrime, bedoeld voor de ouders. De Halt-medewerker attendeert de ouders op welke gedraging online strafbaar is en geeft hen handvatten voor het aangaan van een gesprek met hun kinderen. Ook is er standaard aandacht voor een vorm van excuus/herstel en, indien van toepassing, schadebemiddeling met het slachtoffer. In de interventie re_B00Tcmp worden ouders voorgelicht over cybercrime en de grenzen die online gelden.
Vraag 5

Worden ouders risicoaansprakelijk gesteld voor de financiële schade die de slachtoffers door toedoen van de strafbare handelingen van hun kinderen lopen. Zo ja, hoe vaak gebeurt dit per jaar?

Ouders van kinderen tot en met 15 jaar zijn aansprakelijk, als er schade is als gevolg van een strafbaar feit dat hun kind heeft gepleegd (artikel 6: 169 Burgerlijk Wetboek). Ouders van kinderen vanaf 16 jaar zijn niet aansprakelijk voor de schade die is veroorzaakt door hun kind. Ouders die aansprakelijk zijn voor de schade die is veroorzaakt door hun kind, kunnen in de regel een beroep doen op een aansprakelijkheidsverzekering indien aanwezig. Ik beschik niet over cijfers hoe vaak en in welke mate ouders in dergelijke gevallen daadwerkelijk aansprakelijk worden gesteld voor schade veroorzaakt door hun kind, of hoe vaak verzekeraars in deze gevallen schade uitkeren. Navraag bij het Verbond van Verzekeraars wijst uit dat ook het Verbond geen gegevens bijhoudt over ingediende claims door ouders die aansprakelijk zijn gesteld voor schade veroorzaakt door hun kind.
Vraag 6

Wat zijn de knelpunten bij het vaststellen van risicoaansprakelijkheid van ouders voor financiële schade die hun kinderen aan slachtoffers hebben toegebracht en welke maatregelen zijn er mogelijk om deze knelpunten op te lossen?

Er zijn mij geen specifieke knelpunten bekend bij het vaststellen van risicoaansprakelijkheid van ouders.
Vraag 7

Op welke manier zijn gemeenten nu druk bezig om te kijken hoe ze kunnen bijdragen om cybercrime bij jongeren terug te dringen?

Gemeenten worden actief aangemoedigd om cybercrime bij jongeren terug te dringen. Dit gebeurt voornamelijk via de City Deal Lokale Weerbaarheid en Cybercrime.
Verschillende succesvolle initiatieven worden in 2023 vanuit de City Deal actief aangeboden aan gemeenten: re_B00Tcmp, HackShield en een interventie tegen geldezels. Dit gebeurt voornamelijk via de regionale samenwerkingsverbanden openbare orde en veiligheid. Deze samenwerkingsverbanden ontvangen vanuit de City Deal Lokale Weerbaarheid Cybercrime de middelen om gemeenten aan te moedigen en te faciliteren in de lokale aanpak van cybercrime door jongeren. Ten eerste worden gemeenten aangemoedigd om op lokaal niveau projecten in dit kader te initiëren. Daarnaast wordt ingezet op het borgen van de aanpak cybercrime in de lokale veiligheidsplannen van de gemeenten.
Tot slot is voor de periode 2022–2025 vanuit het programma Preventie met gezag jaarlijks 1 miljoen euro beschikbaar voor de doelgroep jongeren en digitale criminaliteit. In deze periode worden Mijn Cyberrijbewijs, de projecten en opgedane kennis uit de City Deal verder naar gemeenten verspreid.
Vraag 8

Wat gaat u eraan doen om de cybersecuritygame «Hackshield» zo snel mogelijk uit te rollen in alle 344 gemeenten?

Zoals te lezen bij de beantwoording van vraag 3, zet het ministerie breed in op het versterken van digitale weerbaarheid van jongeren. De rijksoverheid draagt bij aan de naamsbekendheid en verdere uitrol van HackShield via de City Deal en via het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).
Het komende jaar worden gemeenten door HackShield, in samenwerking met het CCV en de regionale samenwerkingsverbanden openbare orde en veiligheid, actief benaderd om een abonnement af te sluiten. Hierbij wordt de koppeling gezocht met themaweken, zoals de week van het geld, de week van de mediawijsheid en de week van de veiligheid. Met een abonnement kunnen gemeenten onder andere een campagne tot stand brengen en middels deze campagne het aantal spelers verhogen. Ook wordt HackShield genoemd in de «Cybersnackbox» van het CCV. Deze is aan alle gemeenten gestuurd en bevat een handreiking waarmee gemeenten op laagdrempelige wijze aan de slag kunnen met het thema cyberveiligheid en een aantal concrete en succesvolle cyberprojecten.
Momenteel hebben 138 gemeenten een abonnement bij HackShield. Een abonnement is niet noodzakelijk om HackShield te kunnen spelen. Het spel is gratis beschikbaar voor alle kinderen in Nederland. Inmiddels is het spel door 150.000 kinderen gespeeld.
Vraag 9

In hoeverre wordt op scholen aandacht besteed aan cybercrime? Lopen er pilots op scholen om cybercrime onder jongeren terug te dringen? Zo ja, op welke wijze is dit vormgegeven? Zo nee, waarom niet?

Zie de antwoorden op de vragen 3 en 4.
Vraag 10

In hoeverre wordt Hack_Right nu ingezet? Wat zijn hiervan tot dusver de resultaten? Zijn er verbetermogelijkheden hoe Hack_Right beter ingezet kan worden? Zo ja, wat zijn deze verbetermogelijkheden?

Hack_Right is een interventie voor first offenders (tussen 12–30 jaar) van cybercrimedelicten en kan nu worden ingezet als Halt(+) afdoening, als werkstraf bij de Raad voor de Kinderbescherming of als bijzondere voorwaarde met (jeugd)reclasseringtoezicht. Hack_Right kan ook worden ingezet naast een andere (taak)straf of interventie. Hack_Right kan dus zowel strafrechtelijk als buitenstrafrechtelijk (Halt) worden opgelegd.
Jongeren en jongvolwassenen kunnen deelnemen aan Hack_Right als ze voldoen aan de volgende (inclusie)criteria:
Hack_Right wordt nu nog zeer beperkt ingezet. Hier zijn meerdere redenen voor, zoals prioritering in opsporing en vervolging van dit type zaken, kennis over Hack_Right bij betrokken organisaties of dat de jongeren die een cyberdelict hebben gepleegd niet aan alle (inclusie)criteria voldoen. Voor de jaren 2022–2024 is een subsidie toegekend aan de uitvoeringspartners (Reclassering Nederland, Raad voor de Kinderbescherming en Halt) om Hack_Right te borgen binnen de justitiële processen. Hierbij zijn naast de uitvoeringspartners ook het OM en de politie betrokken. Aanvullend op de aandacht voor bovenstaande twee punten zijn er verbetermogelijkheden die verkend worden, waaronder het eerder inzetten van Hack_Right en het, daar waar aannemelijk effectief, verbreden van de inclusiecriteria.
Vraag 11

Hoeveel jonge daders van cybercrime zijn er sinds 2018 opgepakt?

In de politieregistraties zijn in de periode 2018 tot en met 22 november 2022 464 minderjarige verdachten van cybercrime geregistreerd. Het gaat hier om minderjarige verdachten die zijn aangehouden en/of zijn gehoord en/of in verzekering zijn gesteld.
Vraag 12

In hoeveel gevallen was er sprake van «dat tientallen tot honderden aangiften naar twee (enkele) daders leiden»?

Deze gegevens worden niet als zodanig geregistreerd. Wel is de ervaring van politie en OM dat in het gros van de zaken op het gebied van cybercriminaliteit en gedigitaliseerde criminaliteit waarbij de focus financieel gewin is, er sprake kan zijn van tientallen tot honderden slachtoffers.
Vraag 13

In hoeveel gevallen zijn kwetsbare geldezels door de «grote vissen» gedwongen om strafbare feiten te plegen?

Deze gegevens worden niet als zodanig geregistreerd. Meer in het algemeen geldt dat een belangrijke drijfveer voor jongeren dikwijls financieel gewin is. Daarbij is het soms lastig om helder te krijgen of sprake is van dwang door derden. Bij de afdoening van deze zogenoemde geldezelzaken is er vanuit politie en OM in het bijzonder aandacht voor de kwetsbare positie waarin sommige van deze jongeren zich bevinden en wordt hiermee ook rekening gehouden.
Vraag 14

Indien er sprake is van dwang is, worden de «grote vissen» in die gevallen dan vervolgd voor criminele uitbuiting?

Voor zover dwang door derden kan worden bewezen, volgt uit artikel 273f van het Wetboek van Strafrecht dat het mogelijk is deze personen te vervolgen voor mensenhandel als er bewijsbaar sprake is van criminele uitbuiting. Artikel 273f van het Wetboek van Strafrecht wordt aangepast om de mogelijkheden tot vervolging van uitbuiting uit te breiden.
Vraag 15

Welke maatregelen worden er vanuit het programma Preventie met Gezag getroffen, die specifiek zien op het voorkomen van cybercriminaliteit onder jongeren?

Vanuit de brede preventieaanpak van (georganiseerde en ondermijnende) jeugdcriminaliteit wordt onder de noemer «Preventie met gezag» de komende jaren fors en structureel geïnvesteerd in criminaliteitspreventie. Cybercriminaliteit maakt hier deel van uit. In samenwerking met de City Deal Lokale Weerbaarheid Cybercrime worden de kansrijke projecten HackShield, re_B00Tcmp en een interventie tegen geldezels verspreid in de deelnemende gemeenten. Vanuit de City Deal worden gemeenten die toetreden tot «Preventie met gezag» actief ondersteund met zowel het in kaart brengen van de lokale problematiek rondom cybercriminaliteit door jongeren als de implementatie van deze projecten. Ook projecten die buiten de City Deal Lokale Weerbaarheid Cybercrime vallen, zoals Mijn Cyberrijbewijs, worden actief aangeboden aan de gemeenten binnen Preventie met gezag. Daarnaast wordt binnen het programma Preventie met gezag vanuit Halt ingezet op voorlichtingen, klassendialogen en Halt-spreekuren en preventieve gesprekken op scholen.
Vraag 16

Bent u het ermee eens dat naast goede projecten zoals Hackshield, Framed en (B)adwords, het ook belangrijk is dat wanneer jongeren preventief zijn geïnformeerd over de gevaren en gevolgen van cybercrime, ze ook gekoppeld kunnen worden aan initiatieven, zoals een MKB-cybercampus, waar jongeren worden opgeleid tot een specialist op cybersafety en cybersecurity? Zo ja, op welke manier gaat u dit vormgeven? Zo nee, waarom niet?

Ik ben het met u eens dat het belangrijk is om positieve alternatieven aan te dragen, omdat dit de kans op gewenst gedrag vergroot en dus bijdraagt aan zowel preventie van cybercrime als het behoud van ICT-talent voor de samenleving. Vanuit deze gedachte werkt een landelijk netwerk van cybersecuritybedrijven en afdelingen mee aan Hack_Right. Ook dragen dergelijke bedrijven bij aan de door de politie ontwikkelde en uitgevoerde re_B00TCMPs, waarin jongeren leren welke kansen en risico’s de online wereld met zich mee brengt. De doelgroep van deze interventies is jongeren die zowel potentie hebben op het ontwikkelen van een ICT-carrière als een criminele carrière, en hun ouders.
Vraag 17

Bent u het ermee eens dat een complete en gezamenlijke aanpak met scholen, ouders, gemeenten, politie en OM nodig is om cybercrime onder jongeren aan te pakken? Zo ja, op welke manier gaan deze actoren dit gezamenlijk vormgeven? Zo nee, waarom niet?

Ja. Daarom ben ik ook erg blij dat er vanuit Preventie met gezag uitgebreid aandacht is voor de integrale aanpak van cybercrime onder jongeren.

24 november 2022 - 23 december 2022

29 dagen

Het bericht ‘Chipmaker Nexperia koopt Delftse start-up’
	Pim van Strien (VVD), Ruben Brekelmans (VVD), Queeny Rajkowski (VVD)
	Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Micky Adriaansens (minister economische zaken en klimaat) (VVD)

Bronnen

1. FD, 14 november 2022, «Chipmaker Nexperia koopt Delftse start-up». (h…

Vraag 1

Bent u bekend met het bericht «Chipmaker Nexperia koopt Delftse start-up»?1

Ja.
Vraag 2

Was u vooraf bekend met deze overname? Zo ja, wanneer en op welke wijze bent u ingelicht?

In het kader van de aflossing van eerdere verstrekte innovatiekredieten door de Rijksdienst voor Ondernemend Nederland is mijn ministerie op 17 augustus 2022 geïnformeerd over de intentie tot het aangaan van een mogelijke acquisitietransactie en op 11 oktober 2022 ingelicht over de op handen zijnde overname.
Vraag 3

Hoe beoordeelt u deze overname van een veelbelovende Nederlandse startup in de chipsector door Nexperia, een bedrijf dat in Chinese handen is, mede vanuit het perspectief van de Wet Veiligheidstoets investeringen, fusies en overnames (hierna: Wet Veiligheidstoets)?

Het kabinet heeft uiteenlopende, landenneutrale instrumenten om bij te dragen aan de borging van de nationale veiligheid. In de Kamerbrief borging investeringsklimaat, langetermijn waardecreatie en nationale veiligheid van 8 juli 2022 bent u hierover eerder geïnformeerd.
De Wet veiligheidstoets investeringen, fusies en overnames is aangenomen, maar nog niet in werking getreden. Na inwerkingtreding zal bij dergelijke overnames een meldplicht gelden bij het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken en Klimaat. Vanwege het ontbreken van een wettelijke basis, heb ik op dit moment nog geen onderzoeken kunnen doen op grond van deze wet en heeft er dus geen beoordeling plaatsgevonden van de overname van Nowi.
De overname van Nowi heeft desalniettemin mijn aandacht. De overname valt binnen de termijn van de terugwerkende kracht van de Wet Vifo. Na inwerkingtreding van deze wet zal ik onderzoeken of de overname van Nowi onder de reikwijdte van de Wet Vifo valt en een beoordeling mogelijk is. Dit wordt bepaald door het antwoord op de vraag of Nowi wel of niet gebruik maakt van sensitieve technologie zoals gedefinieerd in de Wet Vifo.2
Vraag 4

Vindt er vanuit deze wet nog een beoordeling van de overname van Nowi plaats, of heeft deze toets al plaatsgevonden? Zo nee, waarom niet, aangezien de Wet Veiligheidstoets terugwerkende kracht heeft?

Zie antwoord vraag 3.
Vraag 5

Kunt u, als er een beoordeling heeft plaatsgevonden, nader ingaan op de conclusies van deze beoordeling?

Zie antwoord vraag 3.
Vraag 6

Is er reeds voldoende capaciteit om op basis van de Wet Veiligheidstoets controles uit te voeren op overnames, zoals die van Nowi door Nexperia? Zo nee, wat gaat u eraan doen deze capaciteit op orde te brengen?

Ja.
Vraag 7

Biedt de Wet Veiligheidstoets voldoende handvatten om dusdanige overnames te beoordelen? Zo nee, wat gaat u eraan doen dusdanige overnames beter te laten toetsen?

De Wet Vifo biedt, zodra deze in werking is getreden, voldoende handvatten om overnames die betrekking hebben op vitale aanbieders of ondernemingen die over sensitieve technologie beschikken, te toetsen op risico’s voor de nationale veiligheid. De categorie sensitieve technologie omvat goederen voor tweeërlei gebruik en militaire goederen en daarnaast kunnen er bij algemene maatregel van bestuur technologieën worden toegevoegd.
Vraag 8

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot de European Chips Act?

De EU Chips Act speelt een belangrijke rol in het stimuleren van de Europese halfgeleiderindustrie en het vergroten van de Europese weerbaarheid. Investeren in de Europese waardeketen en het aantrekkelijk maken en behouden van het Europese investeringsklimaat is van groot belang. In de EU Chips Act is er o.a. ook aandacht voor de financiering van startups en scale-ups via het nog op te richten EU Chip Fund.
Het kabinet steunt de aanpak binnen de EU Chips Act en heeft daarom op 1 december 2022 ingestemd met de algemene oriëntatie. Hoewel de EU Chips Act zich richt op het versterken van Europa, is de halfgeleiderwaardeketen sterk mondiaal georganiseerd en daarom voor een groot deel afhankelijk van vrije handel en goede internationale samenwerking. Ook dit heeft aandacht in de EU Chips Act.
De EU Chips Act is geen instrument om investeringen of overnames te toetsen. Hiervoor bestaat andere wetgeving, zoals de Verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (EU/2019/452) en de Wet veiligheidstoets investeringen, fusies en overnames. Beschermende maatregelen zijn belangrijke instrumenten voor deze industrie.
Vraag 9

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van het Verenigd Koninkrijk om Nexperia juist te dwingen 86 procent van de grootste microchip fabriek te verkopen (op basis van een overheidsonderzoek naar de aankoop van Nexperia van deze fabriek)?

Het kabinet heeft kennisgenomen van de besluiten van het Verenigd Koninkrijk en Duitsland om respectievelijk de overname van 86% van de aandelen in Newport Wafer Fab met terugwerkende kracht terug te draaien en de overname van Elmos te blokkeren. Het is niet aan het kabinet om in te gaan op de beweegredenen van het Verenigd Koninkrijk of Duitsland, aangezien het in beide gevallende inzet van nationale wetgeving betreft. Net als het Verenigd Koninkrijk en Duitsland, zal het kabinet eigen maatregelen treffen in geval van risico’s voor de nationale veiligheid bij investeringen, fusies en overnames.
Toetsingsbesluiten genomen door Europese lidstaten en bondgenoten kunnen impact op Nederland hebben. Gegeven de relatief jonge investeringstoetsingswetgeving staan we in contact met lidstaten en bondgenoten om ook te leren van elkaars opgedane ervaringen en gemaakte afwegingen.
Vraag 10

Heeft u contact gehad met de regering van het Verenigd Koninkrijk over hun besluit om Nexperia tot gedeeltelijke verkoop van Britse onderdelen te dwingen? Zo ja, waarom zijn de Britse beweegredenen wel of niet relevant voor – of van toepassing op Nederland om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met het Verenigd Koninkrijk?

Zie antwoord vraag 9.
Vraag 11

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van Duitsland dat het Chinese Sai Microelectronics niet Elmos, een Duitse producent van halfgeleiders, mag overnemen?

Zie antwoord vraag 9.
Vraag 12

Heeft u contact gehad met de Duitse regering over hun besluit om deze verkoop te blokkeren? Zo ja, waarom zijn de Duitse beweegredenen wel of niet relevant voor – of van toepassing op Nederland – om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met de Duitse regering?

Zie antwoord vraag 9.

22 november 2022 - 31 januari 2023

70 dagen

Het bericht ‘ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen’
	Queeny Rajkowski (VVD), Fahid Minhas (VVD)
	Vivianne Heijnen (staatssecretaris infrastructuur en waterstaat) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 476. …

Vraag 1

Herinnert u zich uw antwoorden op de schriftelijke vragen van 12 september jl. over het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen»?1

Ja, wij herinneren ons deze antwoorden.
Vraag 2

Kunt u concreet aangeven hoe de aanwijzing van het proces van vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur als vitaal proces zich verhoudt tot de aanwezigheid van Chinese camera’s in treintoestellen, gegeven dat de Chinese overheid een offensieve cyberstrategie gericht tegen Nederland voert? Hoe beoordeelt u daarmee de aanwezigheid van Chinese camera’s binnen een Nederlandse vitale sector, kijkend naar de veiligheidsrisico’s waar onder andere de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) al eerder voor gewaarschuwd heeft? Kunt u dit toelichten?

Het proces van vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur is aangewezen als vitaal proces. In dit proces zijn vitale aanbieders op basis van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) verplicht tot het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen (zorgplicht). Daarnaast dienen zij inzicht te hebben in de risico’s die hun dienstverlening kunnen raken. Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het nemen van maatregelen tegen de risico’s voor de nationale veiligheid. De Inspectie Leefomgeving en Transport houdt binnen de spoorsector toezicht op de manier waarop Aanbieders van Essentiele Diensten (AED’s) invulling geven aan deze zorgplicht.
Ook dienen nationale veiligheidsoverwegingen te worden meegewogen bij het inkopen van producten en diensten. Hiervoor zijn er instrumenten ontwikkeld die organisaties, waaronder vitale aanbieders, helpen bij het nemen van passende maatregelen. Vitale aanbieders zijn zelf verantwoordelijk voor de toepassing van deze instrumenten en het meewegen van nationale veiligheidsrisico’s. Hierbij kan het Rijk gevraagd en ongevraagd advies en ondersteuning bieden.
Dat een bepaald product of dienst, in dit geval camera’s, binnen een vitale sector afkomstig is van een Chinese aanbieder is niet per definitie onwenselijk. Uitgangspunt bij het beoordelen van risico’s is dat altijd een afweging plaatsvindt op de hierboven genoemde punten. Zoals ook eerder aan uw Kamer gemeld2, is het daarbij van belang na te gaan of de partij die de dienst of het product levert banden heeft met of onder controle staat van landen met een offensief inlichtingenprogramma of specifieke verplichtende wetgeving kent. Daarnaast is van belang te onderzoeken waar de partij toegang toe kan verkrijgen via de dienst of het product en of er beheersmaatregelen mogelijk en realiseerbaar zijn.
Op een zeer zorgvuldige en case-by-case-basis dienen deze risico’s te worden onderzocht.
In algemene zin is het dus mogelijk om binnen vitale sectoren apparatuur uit China te gebruiken, als dit zorgvuldig wordt afgewogen, er voldoende rekening wordt gehouden met de risico’s en eventuele noodzakelijke maatregelen worden genomen om mogelijke risico’s te beheersen.
Vraag 3

Gegeven dat bij de aanschaf en implementatie van gevoelige apparatuur rekening wordt gehouden met eventuele risico’s in relatie tot de leverancier, waaronder in het bijzonder het hebben van een offensief cyberprogramma gericht tegen Nederland en gegeven het feit dat de leverancier in kwestie daadwerkelijk over een offensief cyberprogramma beschikt, in hoeverre zijn bovenstaande omstandigheden geïntegreerd in het meewegen van de nationale veiligheidsrisico’s door de NS? Kunt u de overwegingen hierbij toelichten?

Zoals ook geschetst in het antwoord op vraag 2 van de schriftelijke vragen van 12 september jl. over het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen?», heeft NS laten weten dat zij diverse maatregelen heeft genomen zodat (statelijke) actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen. Dat geldt niet alleen voor de Chinese camera’s, maar voor álle camera’s.
Het gaat onder andere om de volgende maatregelen:
NS heeft mij laten weten dat zij menen dat door het toepassen van risicobeperkende maatregelen de risico’s beheersbaar zijn. Daarnaast heeft NS aangegeven gebruik te maken van de adviezen van de rijksoverheid, zoals ook geschetst in antwoord op vraag 2. Hierop houdt de toezichthouder toezicht.
Vraag 4

In hoeverre acht u de mitigerende maatregelen die door de NS zijn genomen zoals vastgesteld op 24 oktober jl. toereikend? Kunt u dit toelichten? Zo nee, waarom niet?

Vitale aanbieders, zoals de NS, zijn zelf verantwoordelijk voor de toepassing van de instrumenten die de rijksoverheid aanbiedt en het meewegen van nationale veiligheidsrisico’s (zoals genoemd in antwoord op vraag 2). NS heeft laten weten dat zij een risicoanalyse heeft doorlopen waarbij cyberrisico’s zijn meegewogen. Naar aanleiding daarvan heeft NS diverse maatregelen genomen om de kans op/gevolgen van deze risico’s te beheersen (zie ook antwoord op vraag 3).
Vraag 5

Bent u het ermee eens dat het wenselijk kan zijn voor de nationale veiligheid om het Nationaal Cyber Security Centrum (NCSC) advies te laten geven over individuele producten en diensten wanneer deze worden afgenomen door aanbieders werkzaam binnen een vitale sector? Zo ja, bent u bereid om het NCSC onderzoek te laten doen naar de camera’s van Chinese makelij die de NS in bezit heeft? Zo nee, waarom niet?

Vitale aanbieders, zoals de NS, zijn zelf verantwoordelijk voor de toepassing van instrumenten die de rijksoverheid aanbiedt en het meewegen van nationale veiligheidsrisico’s (zie ook antwoord op vraag 2). Organisaties zoals NS hebben eigen expertise in huis en weten zelf het beste hoe bepaalde producten en diensten worden toegepast, waar de te beschermen belangen en risico’s zitten en welke maatregelen mogelijk zijn om risico’s te verminderen. Het NCSC geeft geen advies over individuele producten of diensten, maar adviseert vitale aanbieders om risicomanagement te organiseren.

4 november 2022 - 11 november 2022

7 dagen

Het bericht ‘Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers’
	Queeny Rajkowski (VVD), Hind Dekker-Abdulaziz (D66), Farid Azarkan (DENK), Danai van Weerdenburg (PVV), Henri Bontenbal (CDA), Marieke Koekkoek (D66), Renske Leijten (SP), Barbara Kathmann (PvdA), Bouchallikh , Joost Eerdmans (EénNL), Don Ceder (CU)
	Micky Adriaansens (minister economische zaken en klimaat) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. NOS, 3 november 2022, «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers» (nos.nl/artikel/2450877-chinese-tiktok-medewerkers-krijgen-toegang-tot-data-europese-gebruikers).
2. Wetgevingsoverleg inzake Begrotingsonderdelen van BiZa, EZK en J&V die zien op digitalisering d.d. 14 november 2022.

Vraag 1

Bent u bekend met het bericht «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers»?1

Ja, daarmee ben ik bekend.
Vraag 2

Kunt u een schatting geven hoeveel Nederlanders momenteel gebruik maken van TikTok? Hoeveel van deze gebruikers zijn kinderen?

In januari 2022 waren er ongeveer drie miljoen Nederlandse gebruikers van TikTok.2 De minimumleeftijd voor het gebruik van TikTok, volgens het beleid van TikTok, is 13 jaar. Bij TikTok is nagevraagd hoeveel van de gebruikers in Nederland minderjarig zijn. Hierbij heeft TikTok aangegeven dat zij deze informatie niet openbaar kunnen maken, omdat het voor TikTok bedrijfsgevoelige informatie betreft. Het is moeilijk met zekerheid vast te stellen hoeveel van de Nederlandse gebruikers minderjarig zijn. Hierbij speelt een rol dat de juistheid van de door gebruikers opgegeven leeftijd door TikTok niet wordt geverifieerd. Minderjarigen kunnen zich daarom als meerderjarigen voordoen. Uit onderzoek van de Britse (telecom) toezichthouder Office of Communications (Ofcom) bleek vorige maand dat één op de drie Britse kinderen een sociale media-account voor volwassenen heeft.3 Naar alle verwachting zijn er ook in Nederland kinderen die een account voor een volwassene hebben.
Vraag 3

Welke medewerkers hebben toegang tot de verzamelde informatie? Klopt het dat een deel van de medewerkers van TikTok een dubbelrol hebben bij de Chinese Communistische Partij en dat dus de Chinese overheid toegang krijgt tot al deze persoonlijke informatie?

Op dit moment weten we niet welke medewerkers van TikTok toegang hebben tot welke gegevens. TikTok is benaderd om hier meer informatie over te geven, maar TikTok heeft aangegeven hier geen antwoord op te kunnen geven. Uiteraard zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG) worden doorgegeven aan de Chinese overheid.
De voorwaarden waaronder persoonsgegevens vanuit de EU naar derde landen kunnen worden doorgegeven liggen vast in de AVG. Doorgifte van persoonsgegevens naar derde landen, waaronder China, dient plaats te vinden volgens hoofdstuk V van de AVG. Of er bij TikTok sprake is van een onrechtmatige doorgifte, is niet aan mij of dit kabinet om vast te stellen, maar aan de Autoriteit Persoonsgegevens (AP) of diens collega in de lidstaat waar TikTok haar hoofdzetel heeft.
Momenteel doet de Ierse toezichthouder (DPC) als leidende autoriteit van de EU onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het betreft een tweetal onderzoeken. Het eerste onderzoek richt zich op de verwerking van persoonsgegevens van minderjarige gebruikers in de context van de platforminstellingen van het TikTok-platform met betrekking tot accounts van gebruikers jonger dan 18 jaar en leeftijdsverificatiemaatregelen. Het onderzoek gaat ook na of TikTok heeft voldaan aan de transparantieverplichtingen van de AVG in het kader van de verwerking van persoonsgegevens van gebruikers jonger dan 18 jaar. Het tweede onderzoek richt zich op de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de AVG voor deze overdrachten.
De DPC is beide onderzoeken gestart in september 2021. De DPC heeft haar ontwerpbesluit in het eerste onderzoek begin september 2022 voorgelegd aan de toezichthouders – waaronder de AP – in de andere lidstaten. Dit maakt deel uit van het proces op grond van artikel 60 van de AVG. Voor het tweede onderzoek waar het gaat om de doorgifte naar derde landen heeft de Minister voor Rechtsbescherming de AP gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek.
Vraag 4

Kunt u toelichten om wat voor een data het hier gaat? Gaat het hier om persoonsgegevens, persoonlijke voorkeuren of psychologische profielen?

Het is mij niet bekend welke gegevens op welke manier verwerkt worden en welke TikTok-medewerkers toegang hebben tot welke gegevens. TikTok geeft in zijn privacybeleid aan welke gegevens worden verzameld. In zijn beleid schrijft TikTok dat gegevens onder drie categorieën wordt verzameld: (1) informatie die de gebruiker verstrekt, (2) automatisch verzamelde informatie en (3) informatie uit andere bronnen.
Het gaat hier o.a. om profielinformatie, gebruikerscontent en informatie uit directe berichten van gebruikers, maar ook om locatiegegevens van de gebruikers, technische gegevens met betrekking tot het apparaat van de gebruiker, gebruikers informatie en cookies. Ook wordt in gevallen door adverteerders op TikTok informatie over gebruikers gedeeld met TikTok.4
Vraag 5

Acht u het wenselijk dat de Chinese overheid toegang heeft tot dit soort informatie, met name ook over kinderen?

Zoals ik in antwoord op vraag 3 schreef, zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de AVG worden doorgegeven aan de Chinese overheid. Binnenkort ga ik met TikTok in gesprek in het kader van een serie gesprekken met verschillende grote tech-bedrijven. In dat gesprek zullen de hierboven genoemde uitgangspunten bij TikTok onder de aandacht worden gebracht.
Vraag 6

Bent u bereid om TikTok per direct op te roepen geen gegevens van Europese gebruikers opgeslagen binnen de Europese Unie met China te delen?

Zoals gemeld in antwoord op vraag 3 kan doorgifte van persoonsgegevens in derde landen rechtmatig plaatsvinden, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Op 18 juni 2021 heeft het Europees Comité voor Gegevensbescherming (EDPB) richtsnoeren vastgesteld die beogen bedrijven en organisaties handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG.
Ik vind het onacceptabel indien gegevens van Nederlandse burgers onrechtmatig worden gedeeld met de Chinese overheid. Binnenkort spreek ik met TikTok in het kader van een serie gesprekken met verschillende grote tech-bedrijven. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven.
Vraag 7

Welke stappen acht u noodzakelijk richting TikTok in Nederland en de Europese Unie zolang persoonlijke gegevens terecht komen in handen van de Chinese overheid?

Het is in de eerste plaats aan de onafhankelijke toezichthouder om onderzoek te doen naar rechtmatigheid van de verwerking van persoonsgegevens, en om daar vervolgens tegen op te treden. In het stelsel van de AVG zijn geen bevoegdheden toegekend aan het kabinet. Daarbij wil ik graag opmerken dat de toezichthouder binnen de AVG een breed scala aan bevoegdheden heeft tot het nemen van corrigerende maatregelen mocht zij dat nodig achten. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van betrokkene voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er ook een geldboete worden opgelegd en de toezichthouder kan ook een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten.
Zoals gezegd in het antwoord op vraag 3, voert de DPC momenteel onderzoek uit naar of de doorgifte van persoonsgegevens naar derde landen – waaronder China – voldoet aan de AVG-vereisten voor deze doorgifte. Daarnaast heeft de AP vorig jaar een boete van 750.000 euro aan TikTok opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers van TikTok kregen bij het installeren en gebruiken van de app was in het Engels en daardoor niet goed te begrijpen door jonge kinderen. Door de privacyverklaring niet in het Nederlands aan te bieden, legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Tijdens het onderzoek door de AP heeft TikTok zich gevestigd in Ierland en de AP was vanaf dat moment alleen nog bevoegd om te oordelen over de privacyverklaring van TikTok, omdat de overtreding was beëindigd.
Wat betreft de inzet van TikTok voor overheidscommunicatie kan ik u melden dat de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken (AZ) sinds september adviseert om de inzet van TikTok voor de rijksoverheid op te schorten vanwege zorgen over gegevensbescherming.
Vraag 8

Welke stappen worden er op dit moment binnen de Europese Unie gezet om de juridische kaders ten aanzien van adequate beveiliging van data-transfers wereldwijd te verduidelijken en uit te breiden om te voorkomen dat buitenlandse inlichtingendiensten toegang krijgen tot persoonsgegevens van Europese gebruikers?

Binnen de EU zijn bepalingen uit de AVG t.a.v. adequate beveiliging van data-transfer verduidelijkt via richtsnoeren van de EDPB (zie ook antwoord op vraag 6).5 Deze richtsnoeren beogen organisaties handvatten te bieden voor veiligheidsmaatregelen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG. Zo worden in deze richtsnoeren praktische voorbeelden gegeven van hoe veiligheidsmaatregelen getroffen kunnen worden. In deze richtlijnen staat bijvoorbeeld hoe gegevens gepseudonimiseerd kunnen worden doorgegeven en hoe gegevens versleuteld kunnen worden om deze te beschermen tegen toegang voor overheidsinstanties van het derde land.
Vraag 9

Welke stappen zet u richting de Europese Commissie om hier aandacht voor te vragen en actie op te ondernemen?

Zie het antwoord op vraag 10.
Vraag 10

Hoe geeft u uitvoering aan de afspraak uit het coalitieakkoord dat we kinderen beschermen door ze het recht te geven niet gevolgd te worden en geen dataprofielen te krijgen?

Wat betreft het recht van kinderen om niet gevolgd te worden en geen dataprofiel te krijgen is Europese wetgeving van belang. In het gegevensbeschermingsrecht hebben kinderen het recht op specifieke bescherming, met name bij het gebruik van hun persoonsgegevens voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). Deze bescherming zal versterkt worden door de Digital Services Act (DSA) die in 2024 in werking treedt. Het wordt dan voor zeer grote platforms zoals TikTok verboden om data van minderjarigen te verzamelen voor het profileren voor marketingdoeleinden
De Europese Commissie heeft in de geactualiseerde Better Internet For Kids (BIK+) strategie aangekondigd een EU gedragscode voor leeftijdsgeschikt ontwerpen te gaan publiceren. Deze gedragscode moet er aan bijdragen dat de verplichtingen neergelegd in de DSA en AVG worden nageleefd om zo te voorkomen dat kinderen gevolgd worden en dataprofielen krijgen. Wij zijn nauw betrokken bij deze Europese ontwikkelingen en maken ons er hard voor om de bescherming van kinderen in de digitale wereld verder te versterken.
Vraag 11

Kunt u deze vragen nog voor het begrotingsdebat Digitale Zaken op 14 november 2022 afzonderlijk beantwoorden?2

Ja.

4 november 2022 - 8 december 2022

34 dagen

Het bericht ‘Gestreste ondernemer is makkelijke prooi: trap niet in fraudeval’
	Queeny Rajkowski (VVD)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Micky Adriaansens (minister economische zaken en klimaat) (VVD)

Bronnen

1. Telegraaf, 2 november 2022 (https://www.telegraaf.nl/financieel/10630…

Vraag 1

Bent u bekend met het bericht «Gestreste ondernemer is makkelijke prooi: trap niet in fraudeval»1?

Ja.
Vraag 2

Herkent u de trend dat fraudeurs steeds geraffineerder te werk gaan waardoor ondernemers eerder slachtoffer zijn van phishing of gijzelsoftware? Zo ja, op welke manier worden ondernemers voorgelicht over deze steeds geraffineerdere manier van werken van fraudeurs?

Ja. Uit het in opdracht van het Ministerie van Economische Zaken en Klimaat uitgevoerde cybersecurity onderzoek Alert Online 2022 blijkt dat 56% van de onderzochte organisaties in de 12 maanden voor het onderzoek met phishing te maken heeft gehad. Dergelijke mails zijn een veel gebruikte methode om diverse vormen van criminaliteit te plegen, waaronder online fraude2 en computervredebreuk. Ransomware (ook wel gijzelsoftware genoemd) betreft een specifieke vorm van cybercrime.3 Uit het cybersecurity onderzoek Alert Online 2022 blijkt dat ongeveer 1% van de organisaties met ransomware te maken kreeg. Kleinere organisaties blijken er vaker last van te hebben dan grotere. Van de kleine organisaties betrof het 2,4%.4
Het Ministerie van Economische Zaken en Klimaat (EZK) heeft het Digital Trust Center (hierna ook: DTC) opgericht met als taak het digitaal weerbaarder maken van ondernemers tegen toenemende cyberdreigingen. Het DTC deelt via de website, social media kanalen en de DTC Community de voor ondernemers relevante algemene informatie over cyberdreigingen en kwetsbaarheden. Bedrijfsspecifieke dreigingsinformatie wordt – proactief ongevraagd en in specifieke gevallen gevraagd – gedeeld met individuele bedrijven. U bent hierover geïnformeerd in de brief van 27 juni 2022 met betrekking tot de voortgang van de informatiedienst van het DTC.5 Op deze manier kunnen bedrijven snel actie ondernemen om een cyberaanval te voorkomen of de schade te beperken.
Ook verspreidt het Digital Trust Center via de DTC Community dreigingsinformatie vanuit het Nationaal Cyber Security Centrum (hierna ook: NCSC), zijnde onderdeel van het Ministerie van Justitie en Veiligheid, en biedt het DTC via dit kanaal aangesloten bedrijven de mogelijkheid om, in een besloten omgeving, actuele en relevante informatie met elkaar uit te wisselen. Voorbeelden hiervan zijn vragen, discussies of onderzoeken over phishing en/of ransomware.
Tenslotte biedt het Digital Trust Center naast de phishing-quiz die op de website van het DTC staat, veel laagdrempelige informatie over onder andere phishing. Met een verscheidenheid aan tools en content op de website en social media kanalen van het DTC worden ondernemers geïnformeerd over het herkennen van phishing.
Het Ministerie van Justitie en Veiligheid is coördinator van de integrale aanpak online fraude en de integrale aanpak cybercrime. Voorts is in beide aanpakken aandacht voor de voorlichting van ondernemers over phishing. In het kader van de integrale aanpak online fraude loopt de verkenning naar welke wijze het bedrijfsleven het beste voorgelicht en ondersteund kan worden om slachtofferschap te voorkomen.
In de Kamerbrief naar aanleiding van de moties van de leden Ephraim en Hermans van 6 juli 20226 bent u geïnformeerd over de activiteiten om cybercrime in het midden- en kleinbedrijf tegen te gaan. In de Kamerbrief over de integrale aanpak van cybercrime van 4 november 20227 is een overzicht van activiteiten van de aanpak van cybercrime opgenomen. Het informeren van ondernemers over maatregelen die zij kunnen nemen om geen slachtoffer te worden en schade te beperken, maakt daar deel van uit. Het betreft onder meer een campagne voor het stimuleren van multi-factorauthenticatie, de City Deal Lokale Weerbaarheid Cybercrime waarin gemeenten worden ondersteund door het Ministerie van Justitie en Veiligheid, om preventieve maatregelen te stimuleren, de factsheet Ransomware waarmee het NCSC en het DTC een overzicht geven van de verschillende soorten ransomware en maatregelen die organisaties kunnen nemen om een aanval te voorkomen, en het Incidentresponsplan ransomware van het NCSC met praktische handvatten om bij een ransomwareaanval adequaat te reageren.
Vraag 3

In hoeverre hebben ondernemers aangifte gedaan van phishing? Is hier sprake van een stijgende of dalende trend? Welke mogelijkheden ziet u om de aangiftebereidheid onder ondernemers te verhogen?

Aangiften van bedrijven worden vaak gedaan door een persoon en het bedrijf wordt niet altijd genoemd in de registratie. Hierdoor is het moeilijk vast te stellen hoe vaak ondernemers aangifte doen van phishing. Uit de aangiftecijfers van 2022 blijkt dat 2,5% van de aangiften van phishing is gedaan door een ondernemer. Er is sinds juni 2022 een stijgende trend te zien in het aantal aangiften van phishing door ondernemers. De reden hiervoor is onbekend. In het algemeen wordt een ieder aangespoord om aangifte te doen van een strafbaar feit. Het is mogelijk om digitaal aangifte te doen voor meerdere vormen van online criminaliteit waaronder phishing. Met deze optie wordt de drempel om aangifte te doen verlaagd.
Vraag 4

Bent u het ermee eens dat het niet altijd makkelijk is om in te schatten of je met een bonafide bedrijf of persoon zaken doet en contact hebt? Zo ja, welke rol zou de overheid hierin kunnen spelen? Zo nee, waarom niet?

Ja. Fraudeurs en cybercriminelen maken namelijk gebruik van social engineering, een techniek waarbij misbruik wordt gemaakt van de menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
Het Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat, publiceert adviezen, handelingsperspectieven en tools om de kennis bij ondernemers te verhogen, bijvoorbeeld door voorbeelden te geven van phishingmails. Het Ministerie van Justitie en Veiligheid en het Ministerie van Algemene Zaken verkennen welke interventies kunnen worden ingezet om veilig gedrag te bevorderen.
Meerdere partijen waarschuwen daarnaast voor verschillende vormen van online fraude en zetten gerichte campagnes daartoe in. Bijvoorbeeld door de Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, tezamen met de Autoriteit Consument en Markt, de politie, het Europees Consumenten Centrum en de Consumentenbond waarschuwen het publiek rond Black Friday, Sinterklaas en Kerst voor nepwebshop en aan- en verkoopfraude met de campagne «Eerst Checken, dan bestellen».
Ook de Nederlandse Vereniging van Banken waarschuwt voor social engineering in de campagne «zo werkt een fraudeur». In deze campagne wordt de werkwijze van de fraudeurs uiteengezet, zodat men deze vormen van fraude snel kan herkennen.
Ten slotte heeft Slachtofferhulp Nederland in november een nieuwe campagne gelanceerd «online oplichting is een serieuze misdaad». Slachtoffers worden daarin opgeroepen hulp te zoeken bij Slachtofferhulp Nederland.
Vraag 5

Bent u het ermee eens dat de ondersteuning van gedupeerde ondernemers van phishing verbeterd moet worden? Zo ja, hoe gaat u dat doen? Zo nee, waarom niet?

Slachtoffer worden van phishing kan voor ondernemingen zeer ernstige gevolgen hebben. Daarom is het van groot belang dat ondernemers in eerste instantie zelf investeren in de eigen digitale veiligheid. Daarnaast is het mogelijk je te verzekeren bij een verzekeraar tegen schade als gevolg van cyberincidenten. Bij een cyberincident kan bovendien ondersteuning worden geboden door cybersecuritybedrijven. Met deze maatregelen kan een onderneming zelf de mogelijke schade voorkómen of beperken.
Er zijn verschillende instanties die ondernemers daarbij ondersteunen, zowel bij het voorkomen van schade als het oplossen daarvan. De Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, kan adviseren en doorverwijzen naar instanties die specifiek verder kunnen ondersteunen. Ook kunnen gedupeerde ondernemers aangifte doen bij de politie. Daarnaast biedt Slachtofferhulp Nederland de individuele slachtoffers van phishing ondersteuning en emotionele hulp.
Vraag 6

Bent u het ermee eens dat er ook voor de telecomsector een rol weggelegd is om frauduleuze telefoontjes en misbruik van nummers tegen te gaan? Zo ja, bent u bereid hierover met de sector in gesprek te gaan en te kijken waar aanvullende maatregelen mogelijk zijn en de Kamer hierover te informeren?

Ja. Hierover is de Minister van Economische Zaken en Klimaat, samen met de Autoriteit Consument en Markt, reeds in overleg met de sector. Dit overleg vindt plaats mede in het kader van een wetsvoorstel voor aanscherping van het spoofingverbod, een beperking van het gebruik van Nederlandse nummers vanuit het buitenland en flankerende maatregelen. Bij de aanpak door de telecomsector wordt aangesloten bij de integrale aanpak van online fraude. Hierover is uw Kamer geïnformeerd met de brief van 8 juli 2022.8
Vraag 7

Herkent u het beeld dat de vele campagnes en trainingen onvoldoende effect lijken te hebben en dat het essentieel is om van jongs af aan bewust te zijn van gevaren van de online wereld en bent u bereid om online oplichting een prominente plek te geven in de pilot cyberrijbewijs voor basisscholen? Zo nee, waarom niet? Zo ja, kunt u de Kamer hierover informeren?

Het effect van de combinatie van bewustwordingsmaatregelen is lastig te meten. Wel blijkt uit onder meer het Cybersecurity onderzoek Alert Online 2022 dat bewustwording nog nadere aandacht behoeft. Zo komt uit dit onderzoek naar voren dat een derde van de medewerkers van bedrijven hun kennis over online veiligheid als (zeer) slecht tot matig inschat.
Het project Mijn cyberrijbewijs is in samenwerking met FutureNL en het Ministerie van Justitie en Veiligheid ontwikkeld. Dit project maakt deel uit van de inspanningen om bewustwording te vergroten bij de jeugd. Begin oktober is de interventie Mijn Cyberrijbewijs gelanceerd: een gratis lesprogramma voor groep 7 en 8 van het primair onderwijs. Online oplichting krijgt hierin als fenomeen, een prominente plek. Naast kennis over schadelijke fenomenen geeft de verkenning «Online Ontspoord»9 van het Rathenau Instituut aanknopingspunten om digitale weerbaarheid onder van doelgroep verder te ontwikkelen. In dit onderzoek zijn 18 mechanisme in kaart gebracht die ervoor zorgen dat online gedrag sneller ontspoort dan in het fysieke domein. Mijn Cyberrijbewijs maakt jonge mensen bewust van deze mechanismes en de online risico’s.
Het ECP Platform voor de Informatiesamenleving vormt daarnaast samen met het expertisecentrum voor Online Kindermisbruik en het Netwerk Mediawijsheid Safer Internet Center voor kinderen een nationale invulling van de Europese strategie voor een beter internet voor kinderen. In het netwerk kijken overheid, bedrijfsleven en maatschappelijke organisaties hoe kinderen en jongeren op een veilige manier de digitale wereld kunnen betreden, bijvoorbeeld met lespakketten voor scholen of speciale uitgaven van de Donald Duck, de zogenaamde Digiducks.
Vraag 8

Welke belemmeringen ervaart de Fraudehelpdesk om ondernemers en burgers zo goed mogelijk te kunnen informeren over malafide personen, websites en bedrijven? Bent u bereid deze weg te nemen? Zo nee, waarom niet?

Bij de Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, kunnen slachtoffers melding maken van fraude en oplichting. De Fraudehelpdesk biedt voorlichting en verwijst slachtoffers zo nodig door voor hulp en het doen van aangifte. De Fraudehelpdesk wil voor een goed onderbouwd advies aan melders gegevens kunnen verwerken, zoals telefoonnummers, sms en mogelijk malafide links. De Fraudehelpdesk heeft hiervoor een vergunning aangevraagd, maar de Autoriteit Persoonsgegevens (AP) heeft de aanvraag afgewezen. De Fraudehelpdesk heeft hiertegen beroep ingesteld. Dit is nog onder de rechter.
Het is belangrijk dat relevante gegevens gedeeld kunnen worden, bijvoorbeeld over modus operandi. Zoals aangegeven in de brief van 8 juli jl. verkent het Ministerie van Justitie en Veiligheid o.a. met meldpunten, waaronder de Fraudehelpdesk, hoe we dit binnen de kaders van de AVG vorm kunnen geven.
Vraag 9

Bent u het ermee eens dat landen als België een zeer interessante aanpak hebben in het voorkomen van phishing door informatie over malafide websites snel binnen te halen en te verspreiden en daarmee slachtoffers te voorkomen? Zo nee, waarom niet? Zo ja, kunt u de Kamer informeren hoe u lessen gaat trekken van andere landen en daarmee Nederlanders een stukje veiliger houdt?

Ja. Zoals gemeld in de bijlage bij de Kamerbrief over de integrale aanpak van cybercrime van 4 november jl. verkent het Ministerie van Justitie en Veiligheid, tezamen met het NCSC of een «anti-phishing-schild» naar Belgisch voorbeeld ook in Nederland kan worden opgezet. Daarmee zou het mogelijk worden criminele links in berichten te melden om deze vervolgens onschadelijk te maken, dan wel van een waarschuwing te voorzien. Dit zou het slachtofferschap van phishing en daaropvolgende delicten kunnen tegengaan.

4 oktober 2022 - 10 november 2022

37 dagen

Het bericht ‘Tech-icoon Eline Leijten: Elke klik van onze kinderen wordt geregistreerd
	Mariëlle Paul (VVD), Queeny Rajkowski (VVD)
	Dennis Wiersma (minister zonder portefeuille onderwijs, cultuur en wetenschap) (VVD)

Bronnen

1. Financieel Dagblad, 25 augustus 2022 https://fd.nl/bedrijfsleven/1449…

Vraag 1

Bent u bekend met het artikel «Tech-icoon Eline Leijten: elke klik van onze kinderen wordt geregistreerd»?1

Ja.
Vraag 2

Hoe duidt u de tekst uit het artikel «Elke klik van onze kinderen wordt ergens geregistreerd. Zelfs op school worden hun activiteiten opgeslagen. Hun digitale profielen kunnen commercieel worden uitgebuit. Dan krijgen ze gepersonaliseerde advertenties en berichten»?

Scholen slaan gegevens op van leerlingen noodzakelijk voor het volgen van hun ontwikkelingsproces. Dat gaat met name om leerresultaten, maar in voorkomende gevallen ook over verrichte activiteiten. Om een veilige leeromgeving te kunnen garanderen is het belangrijk dat deze gegevens in het onderwijs blijven en niet voor andere doeleinden worden gebruikt. De Algemene verordening gegevensbescherming (AVG) verbiedt commercieel gebruik van digitale profielen van leerlingen. Schoolbesturen zijn als «verwerkingsverantwoordelijke» zelf verantwoordelijk voor de naleving daarvan en moeten afspraken maken met leveranciers van die producten waarin gegevens van leerlingen worden verwerkt. Om hen daarbij te ondersteunen hebben de PO-Raad en VO-raad samen met leveranciers het «Convenant digitale onderwijsmiddelen en privacy» (hierna: Privacyconvenant) opgesteld waarin is afgesproken dat leerlinggegevens nooit gebruikt mogen worden voor reclamedoeleinden. Meer dan 400 aanbieders van digitaal lesmateriaal hebben het Privacyconvenant ondertekend. Deze afspraken worden ook actief gecontroleerd door convenantpartijen (PO-Raad, VO-raad, MBO Raad en brancheverenigingen van leveranciers). De organisaties SIVON en SURF voeren daarnaast met scholen en instellingen centrale Data Protection Impact Assessments (DPIA’s) uit op digitale producten die veel worden gebruikt in het onderwijs. Een DPIA is het instrument om privacy risico’s van een product in kaart te brengen. Op basis van deze DPIA’s zijn er specifieke afspraken gemaakt om de privacy van leerlingen optimaal te beschermen. Schoolbesturen die de aanbevelingen uit de DPIA’s opvolgen en hun taak als verwerkingsverantwoordelijke juist invullen, borgen zo dat data van leerlingen veilig zijn en in het onderwijs blijven. Bij zorgen over privacy kunnen mensen zich melden bij de Autoriteit Persoonsgegevens, die houdt hier toezicht op.
Vraag 3

Wat vindt u ervan dat kinderen in digitale bubbels en echokamers terecht komen, waardoor hun gedachtengoed wordt beïnvloed en mogelijk verstoord? Hoe ziet u de taak van leraren om kinderen voor te lichten en toe te rusten, zodat zij op een veilige en vrije manier hun weg kunnen vinden in de online wereld? Op welke manier krijgt «omgaan met echo kamers en filterbubbels» een plek in het onderwijs, bijvoorbeeld bij «Mediawijsheid»? Deelt u de mening dat het onderwijs een rol heeft om kinderen te onderwijzen in de kansen en risico’s van het internet, bijvoorbeeld bij zaken zoals informatievergadering en cyberpesten? Zo ja, hoe ziet u die rol?

Ik vind het onwenselijk dat kinderen in digitale bubbels en echokamers terechtkomen. De digitale omgeving wordt steeds groter voor kinderen en volwassenen. En goed kunnen navigeren in deze digitale wereld, waarin ook rekening gehouden moet worden met de mogelijke beïnvloeding van kinderen, is onmisbaar in de samenleving. Het is belangrijk dat álle leerlingen goed onderwezen worden in digitale vaardigheden en de kansen en risico’s in de digitale wereld. Dat betekent onder andere dat kinderen goed moeten weten hoe zij informatie moeten kunnen vinden, beoordelen en verwerken, maar ook dat zij weten hoe zij zich moeten gedragen op bijvoorbeeld social media, hoe zij zich kunnen weren tegen cyberpesten en dat zij media bewust, kritisch en actief kunnen inzetten.
In het funderend onderwijs wordt hier de basis voor gelegd, daarom is de SLO (Stichting Leerplan Ontwikkeling) dit schooljaar gestart met de ontwikkeling van de kerndoelen voor onder andere digitale geletterdheid. Deze kerndoelen worden verankerd in het curriculum waarmee scholen verplicht worden hier onderwijs in te verzorgen. De invulling van deze kerndoelen voor digitale geletterdheid, en ook de invulling van thema’s als mediawijsheid, worden in de komende maanden verder vormgegeven.
In aanloop naar de kerndoelen voor digitale geletterdheid wordt vanaf 2023 middels een ondersteuningsstructuur de mogelijkheid aan scholen geboden om aan de slag te gaan met digitale geletterdheid. Dit is in aanvulling op het bestaande ondersteuningsaanbod en passend bij de behoeften in het onderwijsveld. Zo zijn bijvoorbeeld al verschillende lesmethoden ontwikkeld over mediawijsheid en online veiligheid door netwerkpartners binnen het Netwerk Mediawijsheid, zoals Mijn Cyberrijbewijs, Online Masters, Nationaal Media Paspoort, InternetHelden en HackShield in de klas. Voor het aankaarten van filterbubbels kunnen scholen onder andere gebruik maken van de website Isdatechtzo.nl, een initiatief van Netwerk Mediawijsheid in samenwerking met Beeld en Geluid Den Haag en ECP.
Ten slotte hebben de scholen op basis van de aangescherpte burgerschapsopdracht de plicht om de sociale en maatschappelijke competenties van leerlingen te ontwikkelen om hen zo in te staat stellen deel uit te maken van en bij te dragen aan de pluriforme, democratische Nederlandse samenleving. Daarnaast moeten zij hen onder meer kennis over en respect voor verschillen in godsdienst, levensovertuiging, politieke gezindheid, afkomst, geslacht, handicap of seksuele gerichtheid bijbrengen. Daarmee worden actief burgerschap en de sociale cohesie bevorderd, wat een tegenwicht biedt tegen onder andere cyberpesten, maar ook bubbels en echokamers.
Vraag 4

Welke stappen neemt u om scholen te vragen aandacht te besteden aan online veiligheid van kinderen? Kunt u de Kamer hiervan op de hoogte houden, ook ten aanzien van het tijdspad?

Zoals in het antwoord op vraag 3 is toegelicht, worden er in het funderend onderwijs voor digitale geletterdheid kerndoelen ontwikkeld, die verankerd worden in het curriculum. Vanaf 2023 wordt in aanloop van deze kerndoelen een ondersteuningsstructuur opgezet. De Kamer zal over het verdere proces van digitale geletterdheid vanuit het masterplan basisvaardigheden eind 2022 verder geïnformeerd worden.
Vraag 5

Wat is de status van de ambitie uit het regeerakkoord waarin staat dat kinderen worden beschermd tegen niet-passende «online» reclame en kindermarketing en waarin kinderen het recht krijgen om niet gevolgd te worden en geen dataprofielen te krijgen? Zo ja, welke stappen gaan er op nationaal en Europees niveau gezet worden om deze ambitie te verwezenlijken?

De Nederlandse overheid heeft maar beperkt invloed op dit speelveld en een groot deel van kindermarketing vindt online plaats. Aan deze ambitie wordt in Europees verband invulling gegeven. De in juli 2022 aangenomen Europese Verordening inzake digitale diensten (DSA) bevat een verbod op het gebruik van data van minderjarigen voor gerichte reclame. Daarnaast schrijft de Europese audiovisuele mediadienstenrichtlijn voor dat videoplatformdiensten zoals YouTube en TikTok transparant moeten zijn over reclame en maatregelen moeten treffen tegen niet-passende content voor minderjarigen. Voor de publieke omroep geldt overigens een verbod op reclame rondom kinderprogrammering. In de Kinder- en Jeugdreclamecode van de Stichting Reclame Code zijn verdere eisen met betrekking tot reclame gericht op kinderen en jongeren opgenomen.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

106 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

12 juni 2024 - 2 september 2024

82 dagen

Thierry Aartsen (VVD), Queeny Rajkowski (VVD)

Micky Adriaansens (VVD), Karien van Gennip (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

10 juni 2024 - 9 september 2024

91 dagen

Queeny Rajkowski (VVD)

Micky Adriaansens (VVD), Alexandra van Huffelen (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

9 april 2024 - 14 mei 2024

35 dagen

Queeny Rajkowski (VVD)

Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

4 oktober 2023 - 30 oktober 2023

26 dagen

Hawre Rahimi (VVD), Queeny Rajkowski (VVD)

Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

30 augustus 2023 - 23 oktober 2023

54 dagen

Queeny Rajkowski (VVD), Fahid Minhas (VVD)

Hugo de Jonge (minister binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7