Vraag 1

Bent u bekend met het bericht dat de Nederlandse Zorgautoriteit (NZa) verplicht gaat stellen dat bepaalde patiëntgegevens met haar gedeeld moeten worden?1

Ja, ik ben bekend met het bericht.

Vraag 2

Wat is de wettelijke grondslag voor de verplichting voor behandelaren om vanaf 1 juli verplicht gegevens over hun patiënten met de NZa te delen?

Ik wil in de eerste plaats opmerken dat de NZa informatie uitvraagt bij zorgaanbieders om te zorgen voor een toegankelijke en betaalbare geestelijke gezondheidszorg (ggz) in Nederland. Dit doet zij als zelfstandig bestuursorgaan (ZBO), waarbij zij primair zelf gaat over de invulling van haar rol als regulator en toezichthouder en in dit kader de mogelijkheid hebben om de hiertoe benodigde informatie te vergaren en verwerken. Daarbij moet de NZa vanzelfsprekend voldoen aan de privacy- wet- en regelgeving. De kaders voor uitvraag van gegevens en verwerking door de NZa liggen in de Wet marktordening gezondheidszorg (Wmg) en Algemene verordening gegevensbescherming (AVG).
Op grond van de Wmg kan de NZa regels stellen over het verstrekken van gegevens en inlichtingen. De NZa neemt hierbij onder meer de Regeling categorieën persoonsgegevens Wmg in acht. Voor de ggz en forensische zorg (fz) heeft de NZa in de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) voorschriften gegeven op het gebied van registratie, administratie, declaratie en informatie. In deze Regeling heeft de NZa ook de informatieverplichting opgenomen over de éénmalige aanlevering zorgvraagtypering.
De Autoriteit Persoonsgegevens (AP) heeft getoetst of de uitvraag en verwerking van data voldoet aan de hand van de vereisten die krachtens het Handvest van de Grondrechten van de Europese Unie en de AVG (moeten) worden gesteld aan een regeling (zoals die van de NZa) die voorzien in een inmenging in het recht op bescherming van persoonsgegevens. De AP geeft, kort gezegd, aan dat de wijze waarop de NZa met dataverzameling in het kader van de doorontwikkeling van de zorgvraagtypering in de ggz omgaat voldoet aan de gestelde wettelijke vereisten. Zie hiervoor ook mijn brief aan uw Kamer van 22 februari 2023.2 De AP geeft in haar (eind-)oordeel van 14 december 2022 (z2022–05490) ook aan dat de bevoegdheid van de NZa om een wettelijke verplichting op te nemen, die mede ziet op de doorbreking van de geheimhoudingsplicht voldoende verankerd ligt in de systematiek van de Wmg voor verwerking van persoonsgegevens.3

Vraag 3

Is bekend bij cliënten en patiënten wie de verstrekte gegevens in kan zien? Is het gerechtvaardigd dat deze personen de bepaalde gegevens van patiënten mogen bekijken? Zal er gebruik worden gemaakt van logging om bij te houden wie welke gegevens heeft bekeken?

Het is niet altijd bekend bij cliënten en patiënten welke gegevens met wie worden gedeeld. De NZa werkt daarom, samen met de koepel van patiëntenverenigingen MIND, aan een informatiefolder om cliënten en patiënten te informeren. Zo kunnen cliënten en patiënten beter kiezen of zij de informatie willen delen. De AP heeft geoordeeld dat het inrichten van de informatieverplichting zorgvraagtypering rechtmatig is.
Wanneer de zorgvraagtyperingsgegevens bij de NZa zijn aangeleverd worden deze beveiligd opgeslagen. Deze informatie is niet te herleiden tot individuele patiënten. Slechts een beperkt aantal medewerkers van de NZa zal het recht op toegang tot de gegevens krijgen op een strikte basis van noodzakelijkheid voor het verwerken van de gegevens. De NZa houdt via logging bij wie de gegevens benadert en wanneer.

Vraag 4

Kunt u aangeven waarom de NZa deze specifieke informatie uit de scorelijst nodig heeft? In hoeverre geven deze gegevens een indicatie voor toekomstige zorgvraagstukken?

Zoals bij het antwoord op vraag 2 aangegeven, vraagt de NZa informatie uit bij zorgaanbieders om te zorgen voor een toegankelijke en betaalbare ggz in Nederland. Het zorgprestatiemodel is in combinatie met de zorgvraagtypering een belangrijk middel om de wachtlijsten in de ggz te verminderen zodat mensen passende en tijdig zorg krijgen. Voor de doorontwikkeling van de zorgvraagtypering is gedetailleerde informatie nodig. Zorgvraagtypering geeft inzicht in zorgvraagzwaarte van patiëntengroepen. Hierdoor kunnen passende prijsafspraken worden gemaakt tussen zorgaanbieder en zorgverzekeraar en kunnen patiënten met een complexe zorgvraag kostendekkend worden behandeld. Ook kunnen personeel en middelen beter worden gepland. Zorgvraagtypering draagt op deze wijze bij aan de behandeling van patiënten met ernstige psychische aandoeningen en daarmee aan goed toegankelijke zorg voor deze patiënten. De NZa werkt de komende jaren aan een verbetering van de zorgvraagtypering in samenwerking met partijen in de ggz. In dit kader vraagt de NZa eenmalig gedetailleerde gegevens uit over zorgzwaarte en behandelinzet om een beter beeld te krijgen welke zorg voor welke groep patiënten passend is.
De NZa heeft mij laten weten vanaf 2024 de gegevensuitvraag sterk terug te brengen. Vanaf dat moment kan worden volstaan met een monitorings-uitvraag, eventueel aangevuld met uitvragen om specifieke hypotheses te toetsen, aldus de NZa.

Vraag 5

Wat is uw reactie op de stelling van de Autoriteit Persoonsgegevens dat het wenselijk zou zijn om een duidelijkere wettelijke grondslag te bieden voor deze verplichte gegevensverwerking met daarbij de noodzaak van de gegevensuitwisseling?

De AP heeft in haar brief van 14 december 2022 aan de NZa aangegeven dat de wijze waarop de NZa met dataverzameling in het kader van de doorontwikkeling van de zorgvraagtypering in de ggz omgaat voldoet aan de gestelde wettelijke vereisten. Daarnaast geeft de AP nog verschillende voorwaarden mee. Zo geeft de AP aan dat de gegevens slechts eenmalig over één jaar mogen worden uitgevraagd, waardoor betere afbakening in de tijd plaatsvindt. Voor volgende jaren zal opnieuw zorgvuldig moeten worden bezien of een nieuwe uitvraag nodig is en vervolgens welke gegevens en welke omvang noodzakelijk zijn. Mocht de NZa op een later moment opnieuw gegevens nodig hebben voor zorgvraagtypering, dan moet daarvoor eerst een nieuwe wettelijke regeling komen met een onderbouwing van de noodzaak en moet die nieuwe regeling eerst worden voorgelegd aan de AP. Daarnaast heeft de AP de NZa gevraagd in de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) vast te leggen dat de gegevens alleen voor het verder ontwikkelen van zorgvraagtypering gebruikt zullen worden en dat geen koppeling gemaakt zal worden met andere bronnen. De NZa heeft daar de regeling op aangepast, in lijn met de uitkomst van de toets op rechtmatigheid van de AP.

Vraag 6

Op welk metaniveau worden de gegevens gedeeld? Kunnen er specifieke persoonsprofielen gekoppeld worden aan de gedeelde gegevens? Hoe kunnen de gegevens meer geanonimiseerd worden om dit te voorkomen?

Voor de beoogde doelen van zorgvraagtypering bij het verhelpen van grote problemen in de ggz en fz is het nodig op het niveau van het individu te weten hoe de relatie is tussen de scorelijst en het zorgvraagtype en de daaropvolgende behandelinzet. De NZa heeft vastgelegd dat zij geen koppeling met andere bronnen maakt. Deze gegevens zijn zonder koppeling met andere databronnen niet te herleiden tot een persoon. De gegevens die worden uitgevraagd, worden alleen door de NZa geanalyseerd en worden niet gedeeld.
In aanvulling op bovenstaande heeft de NZa ook juridische maatregelen genomen. In de regelgeving heeft de NZa daarom opgenomen dat er geen koppeling gemaakt wordt met andere gegevensbronnen.

Vraag 7

Op welke manier wordt, of is de belofte van de NZa om de verschillende informatiestromen niet te koppelen en zo herleidbaarheid te voorkomen bestendigd?

De garantie dat de NZa de gegevens met scorelijsten van zorgvraagtypering niet zal koppelen aan databronnen is vastgelegd in dezelfde regeling waarin de informatieverplichting is opgenomen, de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a).

Vraag 8

Kunt u aangeven of na 1 juli een patiënt of cliënt bij de NZa en/of betreffende behandelaren een verzoek kan doen op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg voor een overzicht, waarin is opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en/of heeft ingezien? Zo ja, hoe wordt dit recht aan de patiënt/cliënt kenbaar gemaakt? Zo nee, waarom niet?

De NZa weet niet welke gegevens bij welk individu horen. Daarom kan een patiënt niet bij de NZa opvragen wie wanneer bepaalde informatie heeft ingezien. De patiënt kan wel bij de zorgaanbieder navragen of en wanneer de gegevens zijn gedeeld met de NZa.

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan»?1

Ja.

Vraag 2

Is bekend of ook ziekenhuizen in andere landen te maken hebben (gehad) met DDoS-aanvallen? Is bekend of hierbij patiëntgegevens of continuïteit van zorg in gevaar is gebracht?

Dat klopt. Andere landen hebben bevestigd dat ziekenhuizen getroffen zijn door DDoS-aanvallen. Wij hebben geen volledig beeld van de gevolgen in andere landen van deze DDoS-aanvallen.

Vraag 3

Wat is de (potentiële) schade die Killnet, en mogelijk andere hackerscollectieven, aan hebben kunnen richten aan de zorginfrastructuur in Nederland? Hoe zien de effecten van dit soort veiligheidsrisico’s eruit voor patiënten en zorginstellingen? Zijn zorgorganisaties of ziekenhuizen of websites onbereikbaar geweest? Kunt u meer vertellen over de modus operandi van de aanvallen? Welke lessen worden hieruit getrokken?

De Russische groep Killnet gebruikt DDoS-aanvallen voornamelijk om de dagelijkse dienstverlening van de beoogde slachtoffers te frustreren. Deze aanvallen passen in het huidige digitale dreigingsbeeld. Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. De aanvallen hebben vooral geleid tot het beperkt beschikbaar zijn van de websites van ziekenhuizen. Ziekenhuizen zijn via andere kanalen wel bereikbaar gebleven.
De geleerde les is in hoofdlijnen dat cybersecurity een continu proces is dat geborgd dient te worden binnen de bedrijfsvoering van organisaties en ook periodiek dient te worden geëvalueerd: welke dreigingen zijn er, welke belangen zijn relevant, tot welke risico’s leidt dat en welke maatregelen moeten er genomen worden om te komen tot een passend niveau van weerbaarheid. Een DDoS-aanval is een scenario dat daarin kan worden meegenomen.

Vraag 4

Kunt u een stand van zaken geven over het lopende proces om de ziekenhuissector als vitale sector te identificeren zoals aangegeven in het commissiedebat Online veiligheid en cybersecurity en zoals aangegeven in het debat over de Wet elektronische gegevensuitwisseling in de zorg?

De Minister van Volksgezondheid, Welzijn en Sport zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.

Vraag 5

Bestaat er een «scrubbing center» voor de zorg en de nu al aangewezen vitale infrastructuren/sectoren, waarin dataverkeer wordt opgeschoond en geanalyseerd, en kwaadaardig dataverkeer zoals DDoS wordt verwijderd? Zo nee, wat vindt u van een dergelijke «veiligheidsklep» voor deze infrastructuren/sectoren?

Er zijn leveranciers waar deze maatregel («scrubbing straat») in diverse vormen als dienst kan worden afgenomen. Diverse Nederlandse ziekenhuizen maken hier ook gebruik van. Er bestaat echter geen wasstraat specifiek voor de zorg en de nu al aangewezen vitale infrastructuur/sectoren. Behalve een wasstraat («scrubbing straat») zijn er nog andere maatregelen die genomen kunnen worden op het niveau van applicatie/diensten, netwerk en servers. Organisaties besluiten individueel welke maatregelen voor hen nodig zijn om DDoS-aanvallen af te weren. Of een wasstraat een noodzakelijke maatregel is, dient iedere organisatie voor zichzelf af te wegen op basis van het risicoprofiel en de overige maatregelen die er al zijn genomen. Ook is het goed mogelijk dat internetproviders reeds scrubbing diensten hebben opgenomen in hun dienstverlening, waarover de organisatie zelf afspraken kan maken over hoe en wanneer dergelijke technologie wordt geactiveerd.

Vraag 6

Het Ministerie van Volksgezondheid, Welzijn en Sport wil de zorg bewust maken van cyberveiligheid door onder andere de diensten van expertisecentrum Z-Cert uit te breiden naar de gehele zorgsector, waarom zijn diensten van Z-Cert nu alleen van toepassing op ziekenhuizen en de geestelijke gezondheidszorg (GGZ) en niet bijvoorbeeld op de Geestelijke Gezondheidsdiensten (GGD’en)? Welke termijn heeft u voor ogen om de diensten voor de gehele zorgsector beschikbaar te maken? In hoeverre gaat de inwerkingtreding van de NIS2 deze situatie veranderen?2

Zoals eerder aan uw Kamer gecommuniceerd4 kiezen het Ministerie van VWS en Z-CERT ervoor om de verschillende sub-sectoren in het zorgveld aan te sluiten volgens een risicogebaseerde aansluitstrategie. Concreet betekent dit dat de sub-sectoren waarin de risico’s op cyberincidenten en de bijbehorende gevolgen het grootst zijn als eerste worden aangesloten bij Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Ook de GGD’en zijn via de koepelorganisatie aangesloten. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Voor de zomer zal de Minister van VWS de Kamer informeren over de implementatie van de nieuwe Europese Netwerk en Informatiebeveiligingsrichtlijn (NIB2) en zal hij ingaan op wat dit voor de zorgsector betekent.

Vraag 7

Bent u bereid actief te communiceren dat zorginstellingen zich aan kunnen sluiten bij Z-Cert en hoe wordt gestimuleerd dat straks de gehele zorgsector zich aansluit, aangezien in de beantwoording van eerdere schriftelijke vragen is aangegeven dat aangesloten zorginstellingen bij ICT-incidenten kunnen rekenen op de hulp van Z-Cert?3

Zie antwoord vraag 6.

Vraag 8

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van Killnet hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Onze eerste prioriteit lag bij het mitigeren van deze aanvallen en de getroffen systemen weer online te krijgen. Daarna kan er een onderzoek worden verricht naar de mogelijke dader(s) en kan bezien worden of sancties of strafrechtelijke vervolging tot de mogelijkheden behoren. Nederland zal hierbij zo mogelijk optrekken met de EU en afzonderlijke lidstaten, omdat een reactie sterker is als deze in coalitie-verband wordt vormgegeven.
Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Op dit moment wordt de Toolbox herzien, hier nemen we een actieve rol in. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 1

Bent u bekend met het artikel «ChatGPT glipt langs docenten: «Ik gebruik het om snel huiswerk te maken»»1?

Ja, wij zijn bekend met dit bericht.

Vraag 2

Deelt u de mening dat kunstmatige intelligentie als systeemtechnologie een ingrijpend effect heeft en gaat hebben op het onderwijs?

Ja, wij delen de mening dat artificiële intelligentie (AI) als systeemtechnologie belangrijke gevolgen op het onderwijs kan hebben.

Vraag 3

Welke kansen en risico's voor scholen ziet u door het toegankelijker en geavanceerder worden van kunstmatige intelligentie? Hoe gaat u ervoor zorgen dat de kansen om het onderwijs door middel van kunstmatige intelligentie te verrijken optimaal worden benut, terwijl de risico’s en valkuilen adequaat worden getackeld?

De opkomst van AI is een gegeven en heeft impact op de maatschappij en het onderwijs. AI kan het onderwijs verbeteren door het leren motiverender en meer op maat te maken en docenten te ondersteunen. Tegelijkertijd zijn er risico’s en kan de inzet van AI bijvoorbeeld door biases leiden tot grotere verschillen tussen groepen leerlingen en studenten waardoor groepen leerlingen en studenten onterecht benadeeld kunnen worden.2 De ontwikkeling van AI zal een aanpassing vragen van docenten en leerlingen en studenten om goed met intelligente technologieën in het onderwijs om te gaan.
De sleutel ligt vooral bij de didactische aanpak in de klas, bijvoorbeeld door leerlingen niet te beoordelen op het eindproduct maar op het schrijfproces of door opdrachten in de klas te laten maken met pen en papier. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden.
Aanvullend faciliteren wij een verantwoorde ontwikkeling van AI in het onderwijs, door het benutten van kansen en met oog voor de risico’s. Met behulp van het Nationaal Groeifonds investeren wij substantieel in deze ontwikkelingen tot 2035. Zo is er voor de komende tien jaar € 80 miljoen toegekend aan het Nationaal Onderwijslab AI (NOLAI) in het funderend onderwijs. Leraren en scholen in het funderend onderwijs kunnen deelnemen aan co-creatie projecten waarin zij samen met wetenschappers en leermiddelenmakers werken aan een goede inzet van intelligente technologieën in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren.

Vraag 4

Zijn schoolbesturen en leraren voldoende op de hoogte van de risico's van kunstmatige intelligentie voor het onderwijs?

Het is belangrijk dat schoolbesturen en leraren naast de kansen ook voldoende op de hoogte zijn van de risico’s van AI voor het onderwijs. Van onderwijsinstellingen vraagt de ontwikkeling van AI om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden. Ook hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over kunstmatige intelligentie vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.

Vraag 5

Op welke manier passen scholen zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en leerlingen hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Zie het antwoord op vraag 3.
Aanvullend is het belangrijk dat scholieren, leraren en de maatschappij in gesprek blijven over het gebruik van AI in de klas. Dit vraagt ook iets van docenten op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023 waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid.

Vraag 6

Wordt er al onderzoek gedaan naar de manier waarop kunstmatige intelligentie het onderwijs gaat veranderen? Zo ja, welk onderzoek? Zo nee, bent u bereid dit in gang te zetten?

Ja, binnen het Nationaal Onderwijslab AI is tot 2035 voorzien in een wetenschappelijk onderzoeksprogramma waarbij in een breed perspectief gekeken wordt naar de kansen en risico’s van intelligente technologieën in het onderwijs. Deze breedte levert een unieke samenwerking tussen wetenschappers om de pedagogisch-didactische, sociaal-maatschappelijke en ethische aspecten van AI in onderwijs in kaart te brengen.
Vorig jaar zijn het rapport «Naar hoogwaardig digitaal onderwijs» van het Rathenau Instituut en de verkenning «Inzet van intelligente technologie» van de Onderwijsraad verschenen. De Onderwijsraad wijst op het belang van een actieve rol voor zowel leraren en docenten als schoolleiders, bestuurders en de overheid bij de inzet van intelligente technologie. Schoolleiders en bestuurders hebben een belangrijke rol in het borgen dat leerlingen, studenten, leraren en docenten digitaal geletterd zijn en intelligente technologie zinvol en verantwoord inzetten. Voor de overheid ziet de Onderwijsraad een faciliterende rol door kaders te scheppen, algemene leerdoelen te formuleren voor digitale geletterdheid en te stimuleren dat er samen met de beroepsgroep toepassingen van intelligente technologie worden ontwikkeld.

Vraag 7

Bent u bekend met hat artikel «ChatGPT te lijf met pen en papier»2?

Ja, wij zijn bekend met dit bericht.

Vraag 8

Op welke manier passen onderwijsinstellingen in het mbo, hbo en wo zich aan op deze snelle ontwikkeling? Op welke manier wordt het ontwikkelen van vaardigheden voor docenten en studenten hierin meegenomen? Hoe ziet u uw eigen rol hierin?

Mbo-, hbo- en wo-instellingen zetten AI al in voor bijvoorbeeld het optimaliseren van onderwijsprocessen en het vindbaar maken van leermaterialen. Met de komst van ChatGPT kunnen ook studenten en docenten gebruik maken van dergelijke technologie, om bijvoorbeeld het leerproces te verbeteren. Ten slotte zijn er gevallen bekend dat studenten ChatGPT gebruiken om fraude te plegen.
Docenten en opleidingen zijn als eerste aan zet om in te spelen op de toepassing van ChatGPT, alsook andere vormen van generatieve AI. Zoals aangegeven in de beantwoording op vraag 3, kunnen docenten de onderwijsvorm aanpassen, waardoor de inzet van ChatGPT minder gevolgen heeft op het leerproces. Docenten worden hierbij ondersteund door Kennisnet en SURF, die hun kennis delen in de vorm van webinars en artikelen.
Voor de opleidingen geldt dat zij moeten inspelen op maatschappelijke en technologische ontwikkelingen. Doordat opleidingen de opleidingscurricula steeds vernieuwen, kunnen studenten binnen de opleidingen de benodigde en relevante (AI-) vaardigheden verwerven.
OCW ziet haar rol vooral als verbinder en facilitator. Met het Nationaal Groeifondsprogramma Digitaliseringsimpuls Onderwijs, investeert het kabinet in digitalisering in het mbo, hbo en wo. Onderdeel van het netgenoemde programma zijn de Centers for Teaching and Learning (CTL), die ervoor zorgt dat de nationale ICT-voorzieningen en kennis beschikbaar is voor docenten en lerenden, op een manier die past bij de eigen context, structuur en cultuur van de opleiding en instelling. Hierbij is ook aandacht voor technologieën zoals AI. Deze CTL dragen dus bij aan kennisdeling waardoor docenten ondersteund worden in hun werk.
Daarnaast biedt OCW een eenmalige subsidie aan de werkgroep Onderwijs van de Nederlandse AI Coalitie (NL AIC). Met deze subsidie wordt gewerkt aan concrete AI-pilots die bijdragen aan beter onderwijs voor leerlingen en studenten en meer ondersteuning voor docenten.

Vraag 9

Is voldoende expertise over kunstmatige intelligentie aanwezig op het ministerie en breder binnen de rijksoverheid? Zo ja, op welke manieren ondersteunt u scholen en andere onderwijspartijen? Zo nee, hoe gaat u dat in de (nabije) toekomst alsnog doen?

Binnen de rijksoverheid is expertise aanwezig om de genoemde ondersteuning aan scholen te faciliteren. Zoals aangegeven in de kabinetsreactie op het WRR-rapport «Opgave AI: de nieuwe systeemtechnologie» van 7 oktober 2022 wordt de komende jaren verder geïnvesteerd in kennisontwikkeling voor management en medewerkers op het gebied van kunstmatige intelligentie. Op dit moment is voor Rijksambtenaren een up-to-date aanbod aan opleidingen op het gebied van kunstmatige intelligentie beschikbaar, zowel voor beginners als voor gevorderden. De Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO) geeft in 2023 extra aandacht aan dit aanbod en biedt ook de mogelijkheid AI-opleidingen op maat te ontwikkelen, passend bij de context van de verschillende onderdelen van de rijksoverheid.
Voor de wijze waarop het Ministerie van OCW het onderwijs ondersteunt, verwijzen wij u graag naar de beantwoording van de vragen 3, 4, 5, 6 en 8.

Vraag 10

Hoe zorgt u ervoor dat u onderwijsinstellingen in het gehele onderwijs voldoende kunt ondersteunen als het gaat om omgang met kunstmatige intelligentie?

Zie antwoord vraag 9.

Vraag 11

Deelt u de mening dat de kennis in de samenleving, en dus ook in het onderwijs over AI moet worden vergroot, zoals ook de WRR adviseert en dat de nationale AI cursus hier een mooi instrument voor kan zijn? Zo nee, waarom niet? Zo ja, hoeveel mensen hebben de gratis AI cursus gedaan en wat kan er nog gebeuren om deze meer bekendheid te geven?3

Ja, het is van groot belang dat de kennis over AI in de samenleving en in het onderwijs wordt vergroot. Dat wordt op verschillende manieren gedaan, zoals het ontwikkelen van verantwoorde AI-innovaties in het primair en voortgezet onderwijs door het Nationaal Onderwijslab AI (NOLAI).
Ook de nationale AI cursus draagt bij aan bewustwording en kennisoverdracht bij burgers en professionals te vergroten. Daarvoor hebben zich tot nu toe 364.000 mensen aangemeld.
Daarnaast zijn er ook sectorspecifieke AI cursussen via de Nederlandse AI Coalitie gekomen voor o.a. zorg, energie en onderwijs, met een bereik van 50.000 mensen tot nu toe. Door de komst van ChatGPT is er een grote stijging in deelnemers van de AI cursus voor het onderwijs geweest. De komende tijd wordt de AI cursusaanpak doorontwikkeld en wordt ingezet op bredere bekendheid, o.a. via de inzet van de Nederlandse AI Coalitie en haar partners, zowel online als via events.

Vraag 12

Bent u bereid in gesprek te gaan met de Nederlandse AI-coalitie over kansen en risico’s van kunstmatige intelligentie voor het onderwijs?

Ja, we zijn reeds in gesprek met de NLAIC. Zoals aangegeven in de beantwoording van vraag 8 subsidieert OCW de werkgroep Onderwijs van de NLAIC. Ook zijn de ministeries van OCW en van EZK en deze werkgroep nauw betrokken bij de realisatie van het nieuwe innovatielab NOLAI. Het kabinet investeert € 80 mln uit het Groeifonds in NOLAI om samen met onderwijspartijen op AI gebaseerde lesmaterialen voor het onderwijs te ontwikkelen, die verantwoord en veilig zijn.

Vraag 1

Bent u bekend met het bericht «Jongeren vaker betrokken bij fraude en cybercrime, politie maakt zich zorgen»1?

Ja.

Vraag 2

Hoe verklaart u dat jongeren steeds vaker betrokken zijn bij fraude en cybercrime?

Voor zover bekend blijkt niet uit het huidige inzicht dat jongeren steeds vaker betrokken zijn bij online fraude en cybercrime in 2022. Tegen het einde van het eerste kwartaal van 2023 komt het OM met een overzicht dat specifiek ziet op het aantal cybercrimezaken dat in 2022 is afgedaan, volgend uit de afspraken uit de Veiligheidsagenda. Ik vind het belangrijk om meer inzicht te vergaren in de rol van jongeren in criminaliteit. Daarom voert de politie in opdracht van mijn ministerie een onderzoek uit naar de daders achter online fraude, waaronder geldezeldelicten.

Vraag 3

Op welke manier probeert u het besef te creëren bij jonge daders en hun ouders dat ze echte slachtoffers treffen, hetgeen nu vaak lijkt te ontbreken?

De overheid organiseert of stimuleert verschillende initiatieven om het besef van online gedrag bij jongeren en hun ouders in het digitale domein te vergroten. Hiervan wordt een aantal hieronder toegelicht.
Begin oktober 2022 is «Mijn Cyberrijbewijs» gelanceerd, een gratis lesprogramma voor groep 7 en 8 van het basisonderwijs. Mijn Cyberrijbewijs gebruikt vijf lessen om jonge mensen bewust te maken van de eigenschappen en risico’s van het internet. Het materiaal is breed beschikbaar via de website of via educatieve platforms zoals LessonUp en Gynzy. Bij Mijn Cyberrijbewijs is het, naast het uitzetten van de interventie binnen het onderwijs, een optie om de lessen door vrijwilligers te laten geven.
De politie maakt met de mobiele game Framed leerlingen bewuster van strafbare gedragingen in de online wereld. Leerlingen kunnen vanuit hun eigen leefwereld ervaren welke ernstige gevolgen door online gedrag kunnen worden veroorzaakt. Bij de afronding van het spel verkrijgt de leerling een fictief strafblad. De campagne Framed is het derde (school)jaar ingegaan. Inmiddels heeft meer dan de helft van alle middelbare scholen zich aangemeld voor het gratis lespakket Framed en hebben ruim 135.000 leerlingen Framed gespeeld.
Halt geeft voorlichting in het voortgezet onderwijs over de risico’s en gevolgen van online fraude en cybercrime. In de lessen maakt de Halt-medewerker leerlingen bewust van de risico’s van online fraude en cybercriminaliteit. Daarnaast krijgen leerlingen handelingsperspectieven aangereikt die moeten helpen bij het herkennen en voorkomen van online fraude en cybercrime. De module bevat de volgende onderwerpen: geldezels, identiteitsfraude, aan- en verkoopfraude, hulpvraagfraude, phishing en hacken.
Via de politie is de interventie re_B00Tcmp ontwikkeld. Re_B00Tcmp maakt jongeren die affiniteit met IT hebben weerbaar tegen het ontwikkelen van een criminele cybercarrière. Jongeren en hun ouders worden geïnformeerd over wat wel en niet mag op het internet. Ook leren jongeren hoe zij hun IT-skills op een positieve manier kunnen inzetten en krijgen carrièreadvies aangeboden.
Daarnaast is er HackShield, dat een module «online grenzen» heeft, waarin jongeren leren hoe zij cybercrime kunnen herkennen en hoe zij kunnen voorkomen dat ze zelf dader of slachtoffer hiervan worden.
In 2020 is de City Deal Lokale Weerbaarheid Cybercrime van start gegaan met als doel om gemeenten en lokale samenwerkingsverbanden of partijen aan te sporen in de (preventieve) aanpak van cybercriminaliteit. Ook de initiatieven re_B00Tcmp en HackShield zijn vanuit de City Deal gestimuleerd. Succesvolle pilots vanuit de City Deal worden verspreid via de regionale samenwerkingsverbanden openbare orde en veiligheid en in het kader van de preventieve aanpak van (georganiseerde en ondermijnende) jeugdcriminaliteit (Preventie met gezag).

Vraag 4

Worden ouders meegenomen bij de aanpak om cybercrime bij jongeren terug te dringen? Zo ja, op welke manier? Zo nee, waarom niet?

Ja. In verschillende interventies wordt aandacht besteed aan de rol die ouders kunnen spelen in het voorkomen van criminaliteit van hun kinderen. Zo is er binnen Mijn Cyberrijbewijs een begeleidende ouderbrief en praatplaat ontwikkeld. Deze ouderbrief en praatplaat helpen ouders een gesprek met hun kinderen over hun online gedrag te voeren.
Binnen de Halt-interventie is het een standaardwerkwijze om ouders te betrekken. Halt heeft een module over online fraude en cybercrime, bedoeld voor de ouders. De Halt-medewerker attendeert de ouders op welke gedraging online strafbaar is en geeft hen handvatten voor het aangaan van een gesprek met hun kinderen. Ook is er standaard aandacht voor een vorm van excuus/herstel en, indien van toepassing, schadebemiddeling met het slachtoffer. In de interventie re_B00Tcmp worden ouders voorgelicht over cybercrime en de grenzen die online gelden.

Vraag 5

Worden ouders risicoaansprakelijk gesteld voor de financiële schade die de slachtoffers door toedoen van de strafbare handelingen van hun kinderen lopen. Zo ja, hoe vaak gebeurt dit per jaar?

Ouders van kinderen tot en met 15 jaar zijn aansprakelijk, als er schade is als gevolg van een strafbaar feit dat hun kind heeft gepleegd (artikel 6: 169 Burgerlijk Wetboek). Ouders van kinderen vanaf 16 jaar zijn niet aansprakelijk voor de schade die is veroorzaakt door hun kind. Ouders die aansprakelijk zijn voor de schade die is veroorzaakt door hun kind, kunnen in de regel een beroep doen op een aansprakelijkheidsverzekering indien aanwezig. Ik beschik niet over cijfers hoe vaak en in welke mate ouders in dergelijke gevallen daadwerkelijk aansprakelijk worden gesteld voor schade veroorzaakt door hun kind, of hoe vaak verzekeraars in deze gevallen schade uitkeren. Navraag bij het Verbond van Verzekeraars wijst uit dat ook het Verbond geen gegevens bijhoudt over ingediende claims door ouders die aansprakelijk zijn gesteld voor schade veroorzaakt door hun kind.

Vraag 6

Wat zijn de knelpunten bij het vaststellen van risicoaansprakelijkheid van ouders voor financiële schade die hun kinderen aan slachtoffers hebben toegebracht en welke maatregelen zijn er mogelijk om deze knelpunten op te lossen?

Er zijn mij geen specifieke knelpunten bekend bij het vaststellen van risicoaansprakelijkheid van ouders.

Vraag 7

Op welke manier zijn gemeenten nu druk bezig om te kijken hoe ze kunnen bijdragen om cybercrime bij jongeren terug te dringen?

Gemeenten worden actief aangemoedigd om cybercrime bij jongeren terug te dringen. Dit gebeurt voornamelijk via de City Deal Lokale Weerbaarheid en Cybercrime.
Verschillende succesvolle initiatieven worden in 2023 vanuit de City Deal actief aangeboden aan gemeenten: re_B00Tcmp, HackShield en een interventie tegen geldezels. Dit gebeurt voornamelijk via de regionale samenwerkingsverbanden openbare orde en veiligheid. Deze samenwerkingsverbanden ontvangen vanuit de City Deal Lokale Weerbaarheid Cybercrime de middelen om gemeenten aan te moedigen en te faciliteren in de lokale aanpak van cybercrime door jongeren. Ten eerste worden gemeenten aangemoedigd om op lokaal niveau projecten in dit kader te initiëren. Daarnaast wordt ingezet op het borgen van de aanpak cybercrime in de lokale veiligheidsplannen van de gemeenten.
Tot slot is voor de periode 2022–2025 vanuit het programma Preventie met gezag jaarlijks 1 miljoen euro beschikbaar voor de doelgroep jongeren en digitale criminaliteit. In deze periode worden Mijn Cyberrijbewijs, de projecten en opgedane kennis uit de City Deal verder naar gemeenten verspreid.

Vraag 8

Wat gaat u eraan doen om de cybersecuritygame «Hackshield» zo snel mogelijk uit te rollen in alle 344 gemeenten?

Zoals te lezen bij de beantwoording van vraag 3, zet het ministerie breed in op het versterken van digitale weerbaarheid van jongeren. De rijksoverheid draagt bij aan de naamsbekendheid en verdere uitrol van HackShield via de City Deal en via het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).
Het komende jaar worden gemeenten door HackShield, in samenwerking met het CCV en de regionale samenwerkingsverbanden openbare orde en veiligheid, actief benaderd om een abonnement af te sluiten. Hierbij wordt de koppeling gezocht met themaweken, zoals de week van het geld, de week van de mediawijsheid en de week van de veiligheid. Met een abonnement kunnen gemeenten onder andere een campagne tot stand brengen en middels deze campagne het aantal spelers verhogen. Ook wordt HackShield genoemd in de «Cybersnackbox» van het CCV. Deze is aan alle gemeenten gestuurd en bevat een handreiking waarmee gemeenten op laagdrempelige wijze aan de slag kunnen met het thema cyberveiligheid en een aantal concrete en succesvolle cyberprojecten.
Momenteel hebben 138 gemeenten een abonnement bij HackShield. Een abonnement is niet noodzakelijk om HackShield te kunnen spelen. Het spel is gratis beschikbaar voor alle kinderen in Nederland. Inmiddels is het spel door 150.000 kinderen gespeeld.

Vraag 9

In hoeverre wordt op scholen aandacht besteed aan cybercrime? Lopen er pilots op scholen om cybercrime onder jongeren terug te dringen? Zo ja, op welke wijze is dit vormgegeven? Zo nee, waarom niet?

Zie de antwoorden op de vragen 3 en 4.

Vraag 10

In hoeverre wordt Hack_Right nu ingezet? Wat zijn hiervan tot dusver de resultaten? Zijn er verbetermogelijkheden hoe Hack_Right beter ingezet kan worden? Zo ja, wat zijn deze verbetermogelijkheden?

Hack_Right is een interventie voor first offenders (tussen 12–30 jaar) van cybercrimedelicten en kan nu worden ingezet als Halt(+) afdoening, als werkstraf bij de Raad voor de Kinderbescherming of als bijzondere voorwaarde met (jeugd)reclasseringtoezicht. Hack_Right kan ook worden ingezet naast een andere (taak)straf of interventie. Hack_Right kan dus zowel strafrechtelijk als buitenstrafrechtelijk (Halt) worden opgelegd.
Jongeren en jongvolwassenen kunnen deelnemen aan Hack_Right als ze voldoen aan de volgende (inclusie)criteria:
Hack_Right wordt nu nog zeer beperkt ingezet. Hier zijn meerdere redenen voor, zoals prioritering in opsporing en vervolging van dit type zaken, kennis over Hack_Right bij betrokken organisaties of dat de jongeren die een cyberdelict hebben gepleegd niet aan alle (inclusie)criteria voldoen. Voor de jaren 2022–2024 is een subsidie toegekend aan de uitvoeringspartners (Reclassering Nederland, Raad voor de Kinderbescherming en Halt) om Hack_Right te borgen binnen de justitiële processen. Hierbij zijn naast de uitvoeringspartners ook het OM en de politie betrokken. Aanvullend op de aandacht voor bovenstaande twee punten zijn er verbetermogelijkheden die verkend worden, waaronder het eerder inzetten van Hack_Right en het, daar waar aannemelijk effectief, verbreden van de inclusiecriteria.

Vraag 11

Hoeveel jonge daders van cybercrime zijn er sinds 2018 opgepakt?

In de politieregistraties zijn in de periode 2018 tot en met 22 november 2022 464 minderjarige verdachten van cybercrime geregistreerd. Het gaat hier om minderjarige verdachten die zijn aangehouden en/of zijn gehoord en/of in verzekering zijn gesteld.

Vraag 12

In hoeveel gevallen was er sprake van «dat tientallen tot honderden aangiften naar twee (enkele) daders leiden»?

Deze gegevens worden niet als zodanig geregistreerd. Wel is de ervaring van politie en OM dat in het gros van de zaken op het gebied van cybercriminaliteit en gedigitaliseerde criminaliteit waarbij de focus financieel gewin is, er sprake kan zijn van tientallen tot honderden slachtoffers.

Vraag 13

In hoeveel gevallen zijn kwetsbare geldezels door de «grote vissen» gedwongen om strafbare feiten te plegen?

Deze gegevens worden niet als zodanig geregistreerd. Meer in het algemeen geldt dat een belangrijke drijfveer voor jongeren dikwijls financieel gewin is. Daarbij is het soms lastig om helder te krijgen of sprake is van dwang door derden. Bij de afdoening van deze zogenoemde geldezelzaken is er vanuit politie en OM in het bijzonder aandacht voor de kwetsbare positie waarin sommige van deze jongeren zich bevinden en wordt hiermee ook rekening gehouden.

Vraag 14

Indien er sprake is van dwang is, worden de «grote vissen» in die gevallen dan vervolgd voor criminele uitbuiting?

Voor zover dwang door derden kan worden bewezen, volgt uit artikel 273f van het Wetboek van Strafrecht dat het mogelijk is deze personen te vervolgen voor mensenhandel als er bewijsbaar sprake is van criminele uitbuiting. Artikel 273f van het Wetboek van Strafrecht wordt aangepast om de mogelijkheden tot vervolging van uitbuiting uit te breiden.

Vraag 15

Welke maatregelen worden er vanuit het programma Preventie met Gezag getroffen, die specifiek zien op het voorkomen van cybercriminaliteit onder jongeren?

Vanuit de brede preventieaanpak van (georganiseerde en ondermijnende) jeugdcriminaliteit wordt onder de noemer «Preventie met gezag» de komende jaren fors en structureel geïnvesteerd in criminaliteitspreventie. Cybercriminaliteit maakt hier deel van uit. In samenwerking met de City Deal Lokale Weerbaarheid Cybercrime worden de kansrijke projecten HackShield, re_B00Tcmp en een interventie tegen geldezels verspreid in de deelnemende gemeenten. Vanuit de City Deal worden gemeenten die toetreden tot «Preventie met gezag» actief ondersteund met zowel het in kaart brengen van de lokale problematiek rondom cybercriminaliteit door jongeren als de implementatie van deze projecten. Ook projecten die buiten de City Deal Lokale Weerbaarheid Cybercrime vallen, zoals Mijn Cyberrijbewijs, worden actief aangeboden aan de gemeenten binnen Preventie met gezag. Daarnaast wordt binnen het programma Preventie met gezag vanuit Halt ingezet op voorlichtingen, klassendialogen en Halt-spreekuren en preventieve gesprekken op scholen.

Vraag 16

Bent u het ermee eens dat naast goede projecten zoals Hackshield, Framed en (B)adwords, het ook belangrijk is dat wanneer jongeren preventief zijn geïnformeerd over de gevaren en gevolgen van cybercrime, ze ook gekoppeld kunnen worden aan initiatieven, zoals een MKB-cybercampus, waar jongeren worden opgeleid tot een specialist op cybersafety en cybersecurity? Zo ja, op welke manier gaat u dit vormgeven? Zo nee, waarom niet?

Ik ben het met u eens dat het belangrijk is om positieve alternatieven aan te dragen, omdat dit de kans op gewenst gedrag vergroot en dus bijdraagt aan zowel preventie van cybercrime als het behoud van ICT-talent voor de samenleving. Vanuit deze gedachte werkt een landelijk netwerk van cybersecuritybedrijven en afdelingen mee aan Hack_Right. Ook dragen dergelijke bedrijven bij aan de door de politie ontwikkelde en uitgevoerde re_B00TCMPs, waarin jongeren leren welke kansen en risico’s de online wereld met zich mee brengt. De doelgroep van deze interventies is jongeren die zowel potentie hebben op het ontwikkelen van een ICT-carrière als een criminele carrière, en hun ouders.

Vraag 17

Bent u het ermee eens dat een complete en gezamenlijke aanpak met scholen, ouders, gemeenten, politie en OM nodig is om cybercrime onder jongeren aan te pakken? Zo ja, op welke manier gaan deze actoren dit gezamenlijk vormgeven? Zo nee, waarom niet?

Ja. Daarom ben ik ook erg blij dat er vanuit Preventie met gezag uitgebreid aandacht is voor de integrale aanpak van cybercrime onder jongeren.

Vraag 1

Bent u bekend met het bericht «Chipmaker Nexperia koopt Delftse start-up»?1

Ja.

Vraag 2

Was u vooraf bekend met deze overname? Zo ja, wanneer en op welke wijze bent u ingelicht?

In het kader van de aflossing van eerdere verstrekte innovatiekredieten door de Rijksdienst voor Ondernemend Nederland is mijn ministerie op 17 augustus 2022 geïnformeerd over de intentie tot het aangaan van een mogelijke acquisitietransactie en op 11 oktober 2022 ingelicht over de op handen zijnde overname.

Vraag 3

Hoe beoordeelt u deze overname van een veelbelovende Nederlandse startup in de chipsector door Nexperia, een bedrijf dat in Chinese handen is, mede vanuit het perspectief van de Wet Veiligheidstoets investeringen, fusies en overnames (hierna: Wet Veiligheidstoets)?

Het kabinet heeft uiteenlopende, landenneutrale instrumenten om bij te dragen aan de borging van de nationale veiligheid. In de Kamerbrief borging investeringsklimaat, langetermijn waardecreatie en nationale veiligheid van 8 juli 2022 bent u hierover eerder geïnformeerd.
De Wet veiligheidstoets investeringen, fusies en overnames is aangenomen, maar nog niet in werking getreden. Na inwerkingtreding zal bij dergelijke overnames een meldplicht gelden bij het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken en Klimaat. Vanwege het ontbreken van een wettelijke basis, heb ik op dit moment nog geen onderzoeken kunnen doen op grond van deze wet en heeft er dus geen beoordeling plaatsgevonden van de overname van Nowi.
De overname van Nowi heeft desalniettemin mijn aandacht. De overname valt binnen de termijn van de terugwerkende kracht van de Wet Vifo. Na inwerkingtreding van deze wet zal ik onderzoeken of de overname van Nowi onder de reikwijdte van de Wet Vifo valt en een beoordeling mogelijk is. Dit wordt bepaald door het antwoord op de vraag of Nowi wel of niet gebruik maakt van sensitieve technologie zoals gedefinieerd in de Wet Vifo.2

Vraag 4

Vindt er vanuit deze wet nog een beoordeling van de overname van Nowi plaats, of heeft deze toets al plaatsgevonden? Zo nee, waarom niet, aangezien de Wet Veiligheidstoets terugwerkende kracht heeft?

Zie antwoord vraag 3.

Vraag 5

Kunt u, als er een beoordeling heeft plaatsgevonden, nader ingaan op de conclusies van deze beoordeling?

Zie antwoord vraag 3.

Vraag 6

Is er reeds voldoende capaciteit om op basis van de Wet Veiligheidstoets controles uit te voeren op overnames, zoals die van Nowi door Nexperia? Zo nee, wat gaat u eraan doen deze capaciteit op orde te brengen?

Ja.

Vraag 7

Biedt de Wet Veiligheidstoets voldoende handvatten om dusdanige overnames te beoordelen? Zo nee, wat gaat u eraan doen dusdanige overnames beter te laten toetsen?

De Wet Vifo biedt, zodra deze in werking is getreden, voldoende handvatten om overnames die betrekking hebben op vitale aanbieders of ondernemingen die over sensitieve technologie beschikken, te toetsen op risico’s voor de nationale veiligheid. De categorie sensitieve technologie omvat goederen voor tweeërlei gebruik en militaire goederen en daarnaast kunnen er bij algemene maatregel van bestuur technologieën worden toegevoegd.

Vraag 8

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot de European Chips Act?

De EU Chips Act speelt een belangrijke rol in het stimuleren van de Europese halfgeleiderindustrie en het vergroten van de Europese weerbaarheid. Investeren in de Europese waardeketen en het aantrekkelijk maken en behouden van het Europese investeringsklimaat is van groot belang. In de EU Chips Act is er o.a. ook aandacht voor de financiering van startups en scale-ups via het nog op te richten EU Chip Fund.
Het kabinet steunt de aanpak binnen de EU Chips Act en heeft daarom op 1 december 2022 ingestemd met de algemene oriëntatie. Hoewel de EU Chips Act zich richt op het versterken van Europa, is de halfgeleiderwaardeketen sterk mondiaal georganiseerd en daarom voor een groot deel afhankelijk van vrije handel en goede internationale samenwerking. Ook dit heeft aandacht in de EU Chips Act.
De EU Chips Act is geen instrument om investeringen of overnames te toetsen. Hiervoor bestaat andere wetgeving, zoals de Verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (EU/2019/452) en de Wet veiligheidstoets investeringen, fusies en overnames. Beschermende maatregelen zijn belangrijke instrumenten voor deze industrie.

Vraag 9

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van het Verenigd Koninkrijk om Nexperia juist te dwingen 86 procent van de grootste microchip fabriek te verkopen (op basis van een overheidsonderzoek naar de aankoop van Nexperia van deze fabriek)?

Het kabinet heeft kennisgenomen van de besluiten van het Verenigd Koninkrijk en Duitsland om respectievelijk de overname van 86% van de aandelen in Newport Wafer Fab met terugwerkende kracht terug te draaien en de overname van Elmos te blokkeren. Het is niet aan het kabinet om in te gaan op de beweegredenen van het Verenigd Koninkrijk of Duitsland, aangezien het in beide gevallende inzet van nationale wetgeving betreft. Net als het Verenigd Koninkrijk en Duitsland, zal het kabinet eigen maatregelen treffen in geval van risico’s voor de nationale veiligheid bij investeringen, fusies en overnames.
Toetsingsbesluiten genomen door Europese lidstaten en bondgenoten kunnen impact op Nederland hebben. Gegeven de relatief jonge investeringstoetsingswetgeving staan we in contact met lidstaten en bondgenoten om ook te leren van elkaars opgedane ervaringen en gemaakte afwegingen.

Vraag 10

Heeft u contact gehad met de regering van het Verenigd Koninkrijk over hun besluit om Nexperia tot gedeeltelijke verkoop van Britse onderdelen te dwingen? Zo ja, waarom zijn de Britse beweegredenen wel of niet relevant voor – of van toepassing op Nederland om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met het Verenigd Koninkrijk?

Zie antwoord vraag 9.

Vraag 11

Hoe verhoudt de overname van een veelbelovende Nederlandse startup in de chipsector door een bedrijf dat in Chinese handen is, zich tot het oordeel van Duitsland dat het Chinese Sai Microelectronics niet Elmos, een Duitse producent van halfgeleiders, mag overnemen?

Zie antwoord vraag 9.

Vraag 12

Heeft u contact gehad met de Duitse regering over hun besluit om deze verkoop te blokkeren? Zo ja, waarom zijn de Duitse beweegredenen wel of niet relevant voor – of van toepassing op Nederland – om een overname van Nowi wel of niet toe te staan? Zo nee, bent u bereid alsnog in contact te treden met de Duitse regering?

Zie antwoord vraag 9.

Vraag 1

Herinnert u zich uw antwoorden op de schriftelijke vragen van 12 september jl. over het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen»?1

Ja, wij herinneren ons deze antwoorden.

Vraag 2

Kunt u concreet aangeven hoe de aanwijzing van het proces van vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur als vitaal proces zich verhoudt tot de aanwezigheid van Chinese camera’s in treintoestellen, gegeven dat de Chinese overheid een offensieve cyberstrategie gericht tegen Nederland voert? Hoe beoordeelt u daarmee de aanwezigheid van Chinese camera’s binnen een Nederlandse vitale sector, kijkend naar de veiligheidsrisico’s waar onder andere de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) al eerder voor gewaarschuwd heeft? Kunt u dit toelichten?

Het proces van vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur is aangewezen als vitaal proces. In dit proces zijn vitale aanbieders op basis van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) verplicht tot het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen (zorgplicht). Daarnaast dienen zij inzicht te hebben in de risico’s die hun dienstverlening kunnen raken. Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het nemen van maatregelen tegen de risico’s voor de nationale veiligheid. De Inspectie Leefomgeving en Transport houdt binnen de spoorsector toezicht op de manier waarop Aanbieders van Essentiele Diensten (AED’s) invulling geven aan deze zorgplicht.
Ook dienen nationale veiligheidsoverwegingen te worden meegewogen bij het inkopen van producten en diensten. Hiervoor zijn er instrumenten ontwikkeld die organisaties, waaronder vitale aanbieders, helpen bij het nemen van passende maatregelen. Vitale aanbieders zijn zelf verantwoordelijk voor de toepassing van deze instrumenten en het meewegen van nationale veiligheidsrisico’s. Hierbij kan het Rijk gevraagd en ongevraagd advies en ondersteuning bieden.
Dat een bepaald product of dienst, in dit geval camera’s, binnen een vitale sector afkomstig is van een Chinese aanbieder is niet per definitie onwenselijk. Uitgangspunt bij het beoordelen van risico’s is dat altijd een afweging plaatsvindt op de hierboven genoemde punten. Zoals ook eerder aan uw Kamer gemeld2, is het daarbij van belang na te gaan of de partij die de dienst of het product levert banden heeft met of onder controle staat van landen met een offensief inlichtingenprogramma of specifieke verplichtende wetgeving kent. Daarnaast is van belang te onderzoeken waar de partij toegang toe kan verkrijgen via de dienst of het product en of er beheersmaatregelen mogelijk en realiseerbaar zijn.
Op een zeer zorgvuldige en case-by-case-basis dienen deze risico’s te worden onderzocht.
In algemene zin is het dus mogelijk om binnen vitale sectoren apparatuur uit China te gebruiken, als dit zorgvuldig wordt afgewogen, er voldoende rekening wordt gehouden met de risico’s en eventuele noodzakelijke maatregelen worden genomen om mogelijke risico’s te beheersen.

Vraag 3

Gegeven dat bij de aanschaf en implementatie van gevoelige apparatuur rekening wordt gehouden met eventuele risico’s in relatie tot de leverancier, waaronder in het bijzonder het hebben van een offensief cyberprogramma gericht tegen Nederland en gegeven het feit dat de leverancier in kwestie daadwerkelijk over een offensief cyberprogramma beschikt, in hoeverre zijn bovenstaande omstandigheden geïntegreerd in het meewegen van de nationale veiligheidsrisico’s door de NS? Kunt u de overwegingen hierbij toelichten?

Zoals ook geschetst in het antwoord op vraag 2 van de schriftelijke vragen van 12 september jl. over het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen?», heeft NS laten weten dat zij diverse maatregelen heeft genomen zodat (statelijke) actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen. Dat geldt niet alleen voor de Chinese camera’s, maar voor álle camera’s.
Het gaat onder andere om de volgende maatregelen:
NS heeft mij laten weten dat zij menen dat door het toepassen van risicobeperkende maatregelen de risico’s beheersbaar zijn. Daarnaast heeft NS aangegeven gebruik te maken van de adviezen van de rijksoverheid, zoals ook geschetst in antwoord op vraag 2. Hierop houdt de toezichthouder toezicht.

Vraag 4

In hoeverre acht u de mitigerende maatregelen die door de NS zijn genomen zoals vastgesteld op 24 oktober jl. toereikend? Kunt u dit toelichten? Zo nee, waarom niet?

Vitale aanbieders, zoals de NS, zijn zelf verantwoordelijk voor de toepassing van de instrumenten die de rijksoverheid aanbiedt en het meewegen van nationale veiligheidsrisico’s (zoals genoemd in antwoord op vraag 2). NS heeft laten weten dat zij een risicoanalyse heeft doorlopen waarbij cyberrisico’s zijn meegewogen. Naar aanleiding daarvan heeft NS diverse maatregelen genomen om de kans op/gevolgen van deze risico’s te beheersen (zie ook antwoord op vraag 3).

Vraag 5

Bent u het ermee eens dat het wenselijk kan zijn voor de nationale veiligheid om het Nationaal Cyber Security Centrum (NCSC) advies te laten geven over individuele producten en diensten wanneer deze worden afgenomen door aanbieders werkzaam binnen een vitale sector? Zo ja, bent u bereid om het NCSC onderzoek te laten doen naar de camera’s van Chinese makelij die de NS in bezit heeft? Zo nee, waarom niet?

Vitale aanbieders, zoals de NS, zijn zelf verantwoordelijk voor de toepassing van instrumenten die de rijksoverheid aanbiedt en het meewegen van nationale veiligheidsrisico’s (zie ook antwoord op vraag 2). Organisaties zoals NS hebben eigen expertise in huis en weten zelf het beste hoe bepaalde producten en diensten worden toegepast, waar de te beschermen belangen en risico’s zitten en welke maatregelen mogelijk zijn om risico’s te verminderen. Het NCSC geeft geen advies over individuele producten of diensten, maar adviseert vitale aanbieders om risicomanagement te organiseren.

Vraag 1

Bent u bekend met het bericht «Chinese TikTok-medewerkers krijgen toegang tot data Europese gebruikers»?1

Ja, daarmee ben ik bekend.

Vraag 2

Kunt u een schatting geven hoeveel Nederlanders momenteel gebruik maken van TikTok? Hoeveel van deze gebruikers zijn kinderen?

In januari 2022 waren er ongeveer drie miljoen Nederlandse gebruikers van TikTok.2 De minimumleeftijd voor het gebruik van TikTok, volgens het beleid van TikTok, is 13 jaar. Bij TikTok is nagevraagd hoeveel van de gebruikers in Nederland minderjarig zijn. Hierbij heeft TikTok aangegeven dat zij deze informatie niet openbaar kunnen maken, omdat het voor TikTok bedrijfsgevoelige informatie betreft. Het is moeilijk met zekerheid vast te stellen hoeveel van de Nederlandse gebruikers minderjarig zijn. Hierbij speelt een rol dat de juistheid van de door gebruikers opgegeven leeftijd door TikTok niet wordt geverifieerd. Minderjarigen kunnen zich daarom als meerderjarigen voordoen. Uit onderzoek van de Britse (telecom) toezichthouder Office of Communications (Ofcom) bleek vorige maand dat één op de drie Britse kinderen een sociale media-account voor volwassenen heeft.3 Naar alle verwachting zijn er ook in Nederland kinderen die een account voor een volwassene hebben.

Vraag 3

Welke medewerkers hebben toegang tot de verzamelde informatie? Klopt het dat een deel van de medewerkers van TikTok een dubbelrol hebben bij de Chinese Communistische Partij en dat dus de Chinese overheid toegang krijgt tot al deze persoonlijke informatie?

Op dit moment weten we niet welke medewerkers van TikTok toegang hebben tot welke gegevens. TikTok is benaderd om hier meer informatie over te geven, maar TikTok heeft aangegeven hier geen antwoord op te kunnen geven. Uiteraard zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG) worden doorgegeven aan de Chinese overheid.
De voorwaarden waaronder persoonsgegevens vanuit de EU naar derde landen kunnen worden doorgegeven liggen vast in de AVG. Doorgifte van persoonsgegevens naar derde landen, waaronder China, dient plaats te vinden volgens hoofdstuk V van de AVG. Of er bij TikTok sprake is van een onrechtmatige doorgifte, is niet aan mij of dit kabinet om vast te stellen, maar aan de Autoriteit Persoonsgegevens (AP) of diens collega in de lidstaat waar TikTok haar hoofdzetel heeft.
Momenteel doet de Ierse toezichthouder (DPC) als leidende autoriteit van de EU onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het betreft een tweetal onderzoeken. Het eerste onderzoek richt zich op de verwerking van persoonsgegevens van minderjarige gebruikers in de context van de platforminstellingen van het TikTok-platform met betrekking tot accounts van gebruikers jonger dan 18 jaar en leeftijdsverificatiemaatregelen. Het onderzoek gaat ook na of TikTok heeft voldaan aan de transparantieverplichtingen van de AVG in het kader van de verwerking van persoonsgegevens van gebruikers jonger dan 18 jaar. Het tweede onderzoek richt zich op de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de AVG voor deze overdrachten.
De DPC is beide onderzoeken gestart in september 2021. De DPC heeft haar ontwerpbesluit in het eerste onderzoek begin september 2022 voorgelegd aan de toezichthouders – waaronder de AP – in de andere lidstaten. Dit maakt deel uit van het proces op grond van artikel 60 van de AVG. Voor het tweede onderzoek waar het gaat om de doorgifte naar derde landen heeft de Minister voor Rechtsbescherming de AP gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek.

Vraag 4

Kunt u toelichten om wat voor een data het hier gaat? Gaat het hier om persoonsgegevens, persoonlijke voorkeuren of psychologische profielen?

Het is mij niet bekend welke gegevens op welke manier verwerkt worden en welke TikTok-medewerkers toegang hebben tot welke gegevens. TikTok geeft in zijn privacybeleid aan welke gegevens worden verzameld. In zijn beleid schrijft TikTok dat gegevens onder drie categorieën wordt verzameld: (1) informatie die de gebruiker verstrekt, (2) automatisch verzamelde informatie en (3) informatie uit andere bronnen.
Het gaat hier o.a. om profielinformatie, gebruikerscontent en informatie uit directe berichten van gebruikers, maar ook om locatiegegevens van de gebruikers, technische gegevens met betrekking tot het apparaat van de gebruiker, gebruikers informatie en cookies. Ook wordt in gevallen door adverteerders op TikTok informatie over gebruikers gedeeld met TikTok.4

Vraag 5

Acht u het wenselijk dat de Chinese overheid toegang heeft tot dit soort informatie, met name ook over kinderen?

Zoals ik in antwoord op vraag 3 schreef, zou ik het absoluut onacceptabel vinden als persoonsgegevens in strijd met de AVG worden doorgegeven aan de Chinese overheid. Binnenkort ga ik met TikTok in gesprek in het kader van een serie gesprekken met verschillende grote tech-bedrijven. In dat gesprek zullen de hierboven genoemde uitgangspunten bij TikTok onder de aandacht worden gebracht.

Vraag 6

Bent u bereid om TikTok per direct op te roepen geen gegevens van Europese gebruikers opgeslagen binnen de Europese Unie met China te delen?

Zoals gemeld in antwoord op vraag 3 kan doorgifte van persoonsgegevens in derde landen rechtmatig plaatsvinden, mits voldaan aan de voorwaarden van hoofdstuk V van de AVG. Op 18 juni 2021 heeft het Europees Comité voor Gegevensbescherming (EDPB) richtsnoeren vastgesteld die beogen bedrijven en organisaties handvatten te bieden bij de beoordeling welke aanvullende maatregelen zij kunnen treffen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG.
Ik vind het onacceptabel indien gegevens van Nederlandse burgers onrechtmatig worden gedeeld met de Chinese overheid. Binnenkort spreek ik met TikTok in het kader van een serie gesprekken met verschillende grote tech-bedrijven. De hierboven genoemde uitgangspunten zullen bij TikTok onder de aandacht worden gebracht, mede naar aanleiding van de berichtgeving hierover. Het blijft aan de onafhankelijke toezichthouder om de rechtmatigheid van gegevensverwerkingen te onderzoeken en daar op te handhaven.

Vraag 7

Welke stappen acht u noodzakelijk richting TikTok in Nederland en de Europese Unie zolang persoonlijke gegevens terecht komen in handen van de Chinese overheid?

Het is in de eerste plaats aan de onafhankelijke toezichthouder om onderzoek te doen naar rechtmatigheid van de verwerking van persoonsgegevens, en om daar vervolgens tegen op te treden. In het stelsel van de AVG zijn geen bevoegdheden toegekend aan het kabinet. Daarbij wil ik graag opmerken dat de toezichthouder binnen de AVG een breed scala aan bevoegdheden heeft tot het nemen van corrigerende maatregelen mocht zij dat nodig achten. De toezichthouder kan bijvoorbeeld de verwerkingsverantwoordelijke of verwerker waarschuwen, berispen of gelasten een verzoek van betrokkene voor de uitoefening van zijn of haar rechten in te willigen. Ook kan er ook een geldboete worden opgelegd en de toezichthouder kan ook een tijdelijk of definitief verwerkingsverbod opleggen of gelasten de gegevensstromen naar een ontvanger in een derde land op te schorten.
Zoals gezegd in het antwoord op vraag 3, voert de DPC momenteel onderzoek uit naar of de doorgifte van persoonsgegevens naar derde landen – waaronder China – voldoet aan de AVG-vereisten voor deze doorgifte. Daarnaast heeft de AP vorig jaar een boete van 750.000 euro aan TikTok opgelegd wegens het schenden van de privacy van jonge kinderen. De informatie die de Nederlandse gebruikers van TikTok kregen bij het installeren en gebruiken van de app was in het Engels en daardoor niet goed te begrijpen door jonge kinderen. Door de privacyverklaring niet in het Nederlands aan te bieden, legde TikTok onvoldoende uit hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Tijdens het onderzoek door de AP heeft TikTok zich gevestigd in Ierland en de AP was vanaf dat moment alleen nog bevoegd om te oordelen over de privacyverklaring van TikTok, omdat de overtreding was beëindigd.
Wat betreft de inzet van TikTok voor overheidscommunicatie kan ik u melden dat de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken (AZ) sinds september adviseert om de inzet van TikTok voor de rijksoverheid op te schorten vanwege zorgen over gegevensbescherming.

Vraag 8

Welke stappen worden er op dit moment binnen de Europese Unie gezet om de juridische kaders ten aanzien van adequate beveiliging van data-transfers wereldwijd te verduidelijken en uit te breiden om te voorkomen dat buitenlandse inlichtingendiensten toegang krijgen tot persoonsgegevens van Europese gebruikers?

Binnen de EU zijn bepalingen uit de AVG t.a.v. adequate beveiliging van data-transfer verduidelijkt via richtsnoeren van de EDPB (zie ook antwoord op vraag 6).5 Deze richtsnoeren beogen organisaties handvatten te bieden voor veiligheidsmaatregelen bij de verwerking – waaronder doorgifte – van persoonsgegevens met derde landen om te voldoen aan de voorwaarden van de AVG. Zo worden in deze richtsnoeren praktische voorbeelden gegeven van hoe veiligheidsmaatregelen getroffen kunnen worden. In deze richtlijnen staat bijvoorbeeld hoe gegevens gepseudonimiseerd kunnen worden doorgegeven en hoe gegevens versleuteld kunnen worden om deze te beschermen tegen toegang voor overheidsinstanties van het derde land.

Vraag 9

Welke stappen zet u richting de Europese Commissie om hier aandacht voor te vragen en actie op te ondernemen?

Zie het antwoord op vraag 10.

Vraag 10

Hoe geeft u uitvoering aan de afspraak uit het coalitieakkoord dat we kinderen beschermen door ze het recht te geven niet gevolgd te worden en geen dataprofielen te krijgen?

Wat betreft het recht van kinderen om niet gevolgd te worden en geen dataprofiel te krijgen is Europese wetgeving van belang. In het gegevensbeschermingsrecht hebben kinderen het recht op specifieke bescherming, met name bij het gebruik van hun persoonsgegevens voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen (overweging 38 AVG). Deze bescherming zal versterkt worden door de Digital Services Act (DSA) die in 2024 in werking treedt. Het wordt dan voor zeer grote platforms zoals TikTok verboden om data van minderjarigen te verzamelen voor het profileren voor marketingdoeleinden
De Europese Commissie heeft in de geactualiseerde Better Internet For Kids (BIK+) strategie aangekondigd een EU gedragscode voor leeftijdsgeschikt ontwerpen te gaan publiceren. Deze gedragscode moet er aan bijdragen dat de verplichtingen neergelegd in de DSA en AVG worden nageleefd om zo te voorkomen dat kinderen gevolgd worden en dataprofielen krijgen. Wij zijn nauw betrokken bij deze Europese ontwikkelingen en maken ons er hard voor om de bescherming van kinderen in de digitale wereld verder te versterken.

Vraag 11

Kunt u deze vragen nog voor het begrotingsdebat Digitale Zaken op 14 november 2022 afzonderlijk beantwoorden?2

Ja.

Vraag 1

Bent u bekend met het bericht «Gestreste ondernemer is makkelijke prooi: trap niet in fraudeval»1?

Ja.

Vraag 2

Herkent u de trend dat fraudeurs steeds geraffineerder te werk gaan waardoor ondernemers eerder slachtoffer zijn van phishing of gijzelsoftware? Zo ja, op welke manier worden ondernemers voorgelicht over deze steeds geraffineerdere manier van werken van fraudeurs?

Ja. Uit het in opdracht van het Ministerie van Economische Zaken en Klimaat uitgevoerde cybersecurity onderzoek Alert Online 2022 blijkt dat 56% van de onderzochte organisaties in de 12 maanden voor het onderzoek met phishing te maken heeft gehad. Dergelijke mails zijn een veel gebruikte methode om diverse vormen van criminaliteit te plegen, waaronder online fraude2 en computervredebreuk. Ransomware (ook wel gijzelsoftware genoemd) betreft een specifieke vorm van cybercrime.3 Uit het cybersecurity onderzoek Alert Online 2022 blijkt dat ongeveer 1% van de organisaties met ransomware te maken kreeg. Kleinere organisaties blijken er vaker last van te hebben dan grotere. Van de kleine organisaties betrof het 2,4%.4
Het Ministerie van Economische Zaken en Klimaat (EZK) heeft het Digital Trust Center (hierna ook: DTC) opgericht met als taak het digitaal weerbaarder maken van ondernemers tegen toenemende cyberdreigingen. Het DTC deelt via de website, social media kanalen en de DTC Community de voor ondernemers relevante algemene informatie over cyberdreigingen en kwetsbaarheden. Bedrijfsspecifieke dreigingsinformatie wordt – proactief ongevraagd en in specifieke gevallen gevraagd – gedeeld met individuele bedrijven. U bent hierover geïnformeerd in de brief van 27 juni 2022 met betrekking tot de voortgang van de informatiedienst van het DTC.5 Op deze manier kunnen bedrijven snel actie ondernemen om een cyberaanval te voorkomen of de schade te beperken.
Ook verspreidt het Digital Trust Center via de DTC Community dreigingsinformatie vanuit het Nationaal Cyber Security Centrum (hierna ook: NCSC), zijnde onderdeel van het Ministerie van Justitie en Veiligheid, en biedt het DTC via dit kanaal aangesloten bedrijven de mogelijkheid om, in een besloten omgeving, actuele en relevante informatie met elkaar uit te wisselen. Voorbeelden hiervan zijn vragen, discussies of onderzoeken over phishing en/of ransomware.
Tenslotte biedt het Digital Trust Center naast de phishing-quiz die op de website van het DTC staat, veel laagdrempelige informatie over onder andere phishing. Met een verscheidenheid aan tools en content op de website en social media kanalen van het DTC worden ondernemers geïnformeerd over het herkennen van phishing.
Het Ministerie van Justitie en Veiligheid is coördinator van de integrale aanpak online fraude en de integrale aanpak cybercrime. Voorts is in beide aanpakken aandacht voor de voorlichting van ondernemers over phishing. In het kader van de integrale aanpak online fraude loopt de verkenning naar welke wijze het bedrijfsleven het beste voorgelicht en ondersteund kan worden om slachtofferschap te voorkomen.
In de Kamerbrief naar aanleiding van de moties van de leden Ephraim en Hermans van 6 juli 20226 bent u geïnformeerd over de activiteiten om cybercrime in het midden- en kleinbedrijf tegen te gaan. In de Kamerbrief over de integrale aanpak van cybercrime van 4 november 20227 is een overzicht van activiteiten van de aanpak van cybercrime opgenomen. Het informeren van ondernemers over maatregelen die zij kunnen nemen om geen slachtoffer te worden en schade te beperken, maakt daar deel van uit. Het betreft onder meer een campagne voor het stimuleren van multi-factorauthenticatie, de City Deal Lokale Weerbaarheid Cybercrime waarin gemeenten worden ondersteund door het Ministerie van Justitie en Veiligheid, om preventieve maatregelen te stimuleren, de factsheet Ransomware waarmee het NCSC en het DTC een overzicht geven van de verschillende soorten ransomware en maatregelen die organisaties kunnen nemen om een aanval te voorkomen, en het Incidentresponsplan ransomware van het NCSC met praktische handvatten om bij een ransomwareaanval adequaat te reageren.

Vraag 3

In hoeverre hebben ondernemers aangifte gedaan van phishing? Is hier sprake van een stijgende of dalende trend? Welke mogelijkheden ziet u om de aangiftebereidheid onder ondernemers te verhogen?

Aangiften van bedrijven worden vaak gedaan door een persoon en het bedrijf wordt niet altijd genoemd in de registratie. Hierdoor is het moeilijk vast te stellen hoe vaak ondernemers aangifte doen van phishing. Uit de aangiftecijfers van 2022 blijkt dat 2,5% van de aangiften van phishing is gedaan door een ondernemer. Er is sinds juni 2022 een stijgende trend te zien in het aantal aangiften van phishing door ondernemers. De reden hiervoor is onbekend. In het algemeen wordt een ieder aangespoord om aangifte te doen van een strafbaar feit. Het is mogelijk om digitaal aangifte te doen voor meerdere vormen van online criminaliteit waaronder phishing. Met deze optie wordt de drempel om aangifte te doen verlaagd.

Vraag 4

Bent u het ermee eens dat het niet altijd makkelijk is om in te schatten of je met een bonafide bedrijf of persoon zaken doet en contact hebt? Zo ja, welke rol zou de overheid hierin kunnen spelen? Zo nee, waarom niet?

Ja. Fraudeurs en cybercriminelen maken namelijk gebruik van social engineering, een techniek waarbij misbruik wordt gemaakt van de menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid.
Het Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat, publiceert adviezen, handelingsperspectieven en tools om de kennis bij ondernemers te verhogen, bijvoorbeeld door voorbeelden te geven van phishingmails. Het Ministerie van Justitie en Veiligheid en het Ministerie van Algemene Zaken verkennen welke interventies kunnen worden ingezet om veilig gedrag te bevorderen.
Meerdere partijen waarschuwen daarnaast voor verschillende vormen van online fraude en zetten gerichte campagnes daartoe in. Bijvoorbeeld door de Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, tezamen met de Autoriteit Consument en Markt, de politie, het Europees Consumenten Centrum en de Consumentenbond waarschuwen het publiek rond Black Friday, Sinterklaas en Kerst voor nepwebshop en aan- en verkoopfraude met de campagne «Eerst Checken, dan bestellen».
Ook de Nederlandse Vereniging van Banken waarschuwt voor social engineering in de campagne «zo werkt een fraudeur». In deze campagne wordt de werkwijze van de fraudeurs uiteengezet, zodat men deze vormen van fraude snel kan herkennen.
Ten slotte heeft Slachtofferhulp Nederland in november een nieuwe campagne gelanceerd «online oplichting is een serieuze misdaad». Slachtoffers worden daarin opgeroepen hulp te zoeken bij Slachtofferhulp Nederland.

Vraag 5

Bent u het ermee eens dat de ondersteuning van gedupeerde ondernemers van phishing verbeterd moet worden? Zo ja, hoe gaat u dat doen? Zo nee, waarom niet?

Slachtoffer worden van phishing kan voor ondernemingen zeer ernstige gevolgen hebben. Daarom is het van groot belang dat ondernemers in eerste instantie zelf investeren in de eigen digitale veiligheid. Daarnaast is het mogelijk je te verzekeren bij een verzekeraar tegen schade als gevolg van cyberincidenten. Bij een cyberincident kan bovendien ondersteuning worden geboden door cybersecuritybedrijven. Met deze maatregelen kan een onderneming zelf de mogelijke schade voorkómen of beperken.
Er zijn verschillende instanties die ondernemers daarbij ondersteunen, zowel bij het voorkomen van schade als het oplossen daarvan. De Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, kan adviseren en doorverwijzen naar instanties die specifiek verder kunnen ondersteunen. Ook kunnen gedupeerde ondernemers aangifte doen bij de politie. Daarnaast biedt Slachtofferhulp Nederland de individuele slachtoffers van phishing ondersteuning en emotionele hulp.

Vraag 6

Bent u het ermee eens dat er ook voor de telecomsector een rol weggelegd is om frauduleuze telefoontjes en misbruik van nummers tegen te gaan? Zo ja, bent u bereid hierover met de sector in gesprek te gaan en te kijken waar aanvullende maatregelen mogelijk zijn en de Kamer hierover te informeren?

Ja. Hierover is de Minister van Economische Zaken en Klimaat, samen met de Autoriteit Consument en Markt, reeds in overleg met de sector. Dit overleg vindt plaats mede in het kader van een wetsvoorstel voor aanscherping van het spoofingverbod, een beperking van het gebruik van Nederlandse nummers vanuit het buitenland en flankerende maatregelen. Bij de aanpak door de telecomsector wordt aangesloten bij de integrale aanpak van online fraude. Hierover is uw Kamer geïnformeerd met de brief van 8 juli 2022.8

Vraag 7

Herkent u het beeld dat de vele campagnes en trainingen onvoldoende effect lijken te hebben en dat het essentieel is om van jongs af aan bewust te zijn van gevaren van de online wereld en bent u bereid om online oplichting een prominente plek te geven in de pilot cyberrijbewijs voor basisscholen? Zo nee, waarom niet? Zo ja, kunt u de Kamer hierover informeren?

Het effect van de combinatie van bewustwordingsmaatregelen is lastig te meten. Wel blijkt uit onder meer het Cybersecurity onderzoek Alert Online 2022 dat bewustwording nog nadere aandacht behoeft. Zo komt uit dit onderzoek naar voren dat een derde van de medewerkers van bedrijven hun kennis over online veiligheid als (zeer) slecht tot matig inschat.
Het project Mijn cyberrijbewijs is in samenwerking met FutureNL en het Ministerie van Justitie en Veiligheid ontwikkeld. Dit project maakt deel uit van de inspanningen om bewustwording te vergroten bij de jeugd. Begin oktober is de interventie Mijn Cyberrijbewijs gelanceerd: een gratis lesprogramma voor groep 7 en 8 van het primair onderwijs. Online oplichting krijgt hierin als fenomeen, een prominente plek. Naast kennis over schadelijke fenomenen geeft de verkenning «Online Ontspoord»9 van het Rathenau Instituut aanknopingspunten om digitale weerbaarheid onder van doelgroep verder te ontwikkelen. In dit onderzoek zijn 18 mechanisme in kaart gebracht die ervoor zorgen dat online gedrag sneller ontspoort dan in het fysieke domein. Mijn Cyberrijbewijs maakt jonge mensen bewust van deze mechanismes en de online risico’s.
Het ECP Platform voor de Informatiesamenleving vormt daarnaast samen met het expertisecentrum voor Online Kindermisbruik en het Netwerk Mediawijsheid Safer Internet Center voor kinderen een nationale invulling van de Europese strategie voor een beter internet voor kinderen. In het netwerk kijken overheid, bedrijfsleven en maatschappelijke organisaties hoe kinderen en jongeren op een veilige manier de digitale wereld kunnen betreden, bijvoorbeeld met lespakketten voor scholen of speciale uitgaven van de Donald Duck, de zogenaamde Digiducks.

Vraag 8

Welke belemmeringen ervaart de Fraudehelpdesk om ondernemers en burgers zo goed mogelijk te kunnen informeren over malafide personen, websites en bedrijven? Bent u bereid deze weg te nemen? Zo nee, waarom niet?

Bij de Fraudehelpdesk, die volledig wordt gesubsidieerd door het Ministerie van Justitie en Veiligheid, kunnen slachtoffers melding maken van fraude en oplichting. De Fraudehelpdesk biedt voorlichting en verwijst slachtoffers zo nodig door voor hulp en het doen van aangifte. De Fraudehelpdesk wil voor een goed onderbouwd advies aan melders gegevens kunnen verwerken, zoals telefoonnummers, sms en mogelijk malafide links. De Fraudehelpdesk heeft hiervoor een vergunning aangevraagd, maar de Autoriteit Persoonsgegevens (AP) heeft de aanvraag afgewezen. De Fraudehelpdesk heeft hiertegen beroep ingesteld. Dit is nog onder de rechter.
Het is belangrijk dat relevante gegevens gedeeld kunnen worden, bijvoorbeeld over modus operandi. Zoals aangegeven in de brief van 8 juli jl. verkent het Ministerie van Justitie en Veiligheid o.a. met meldpunten, waaronder de Fraudehelpdesk, hoe we dit binnen de kaders van de AVG vorm kunnen geven.

Vraag 9

Bent u het ermee eens dat landen als België een zeer interessante aanpak hebben in het voorkomen van phishing door informatie over malafide websites snel binnen te halen en te verspreiden en daarmee slachtoffers te voorkomen? Zo nee, waarom niet? Zo ja, kunt u de Kamer informeren hoe u lessen gaat trekken van andere landen en daarmee Nederlanders een stukje veiliger houdt?

Ja. Zoals gemeld in de bijlage bij de Kamerbrief over de integrale aanpak van cybercrime van 4 november jl. verkent het Ministerie van Justitie en Veiligheid, tezamen met het NCSC of een «anti-phishing-schild» naar Belgisch voorbeeld ook in Nederland kan worden opgezet. Daarmee zou het mogelijk worden criminele links in berichten te melden om deze vervolgens onschadelijk te maken, dan wel van een waarschuwing te voorzien. Dit zou het slachtofferschap van phishing en daaropvolgende delicten kunnen tegengaan.

Vraag 1

Bent u bekend met het artikel «Tech-icoon Eline Leijten: elke klik van onze kinderen wordt geregistreerd»?1

Ja.

Vraag 2

Hoe duidt u de tekst uit het artikel «Elke klik van onze kinderen wordt ergens geregistreerd. Zelfs op school worden hun activiteiten opgeslagen. Hun digitale profielen kunnen commercieel worden uitgebuit. Dan krijgen ze gepersonaliseerde advertenties en berichten»?

Scholen slaan gegevens op van leerlingen noodzakelijk voor het volgen van hun ontwikkelingsproces. Dat gaat met name om leerresultaten, maar in voorkomende gevallen ook over verrichte activiteiten. Om een veilige leeromgeving te kunnen garanderen is het belangrijk dat deze gegevens in het onderwijs blijven en niet voor andere doeleinden worden gebruikt. De Algemene verordening gegevensbescherming (AVG) verbiedt commercieel gebruik van digitale profielen van leerlingen. Schoolbesturen zijn als «verwerkingsverantwoordelijke» zelf verantwoordelijk voor de naleving daarvan en moeten afspraken maken met leveranciers van die producten waarin gegevens van leerlingen worden verwerkt. Om hen daarbij te ondersteunen hebben de PO-Raad en VO-raad samen met leveranciers het «Convenant digitale onderwijsmiddelen en privacy» (hierna: Privacyconvenant) opgesteld waarin is afgesproken dat leerlinggegevens nooit gebruikt mogen worden voor reclamedoeleinden. Meer dan 400 aanbieders van digitaal lesmateriaal hebben het Privacyconvenant ondertekend. Deze afspraken worden ook actief gecontroleerd door convenantpartijen (PO-Raad, VO-raad, MBO Raad en brancheverenigingen van leveranciers). De organisaties SIVON en SURF voeren daarnaast met scholen en instellingen centrale Data Protection Impact Assessments (DPIA’s) uit op digitale producten die veel worden gebruikt in het onderwijs. Een DPIA is het instrument om privacy risico’s van een product in kaart te brengen. Op basis van deze DPIA’s zijn er specifieke afspraken gemaakt om de privacy van leerlingen optimaal te beschermen. Schoolbesturen die de aanbevelingen uit de DPIA’s opvolgen en hun taak als verwerkingsverantwoordelijke juist invullen, borgen zo dat data van leerlingen veilig zijn en in het onderwijs blijven. Bij zorgen over privacy kunnen mensen zich melden bij de Autoriteit Persoonsgegevens, die houdt hier toezicht op.

Vraag 3

Wat vindt u ervan dat kinderen in digitale bubbels en echokamers terecht komen, waardoor hun gedachtengoed wordt beïnvloed en mogelijk verstoord? Hoe ziet u de taak van leraren om kinderen voor te lichten en toe te rusten, zodat zij op een veilige en vrije manier hun weg kunnen vinden in de online wereld? Op welke manier krijgt «omgaan met echo kamers en filterbubbels» een plek in het onderwijs, bijvoorbeeld bij «Mediawijsheid»? Deelt u de mening dat het onderwijs een rol heeft om kinderen te onderwijzen in de kansen en risico’s van het internet, bijvoorbeeld bij zaken zoals informatievergadering en cyberpesten? Zo ja, hoe ziet u die rol?

Ik vind het onwenselijk dat kinderen in digitale bubbels en echokamers terechtkomen. De digitale omgeving wordt steeds groter voor kinderen en volwassenen. En goed kunnen navigeren in deze digitale wereld, waarin ook rekening gehouden moet worden met de mogelijke beïnvloeding van kinderen, is onmisbaar in de samenleving. Het is belangrijk dat álle leerlingen goed onderwezen worden in digitale vaardigheden en de kansen en risico’s in de digitale wereld. Dat betekent onder andere dat kinderen goed moeten weten hoe zij informatie moeten kunnen vinden, beoordelen en verwerken, maar ook dat zij weten hoe zij zich moeten gedragen op bijvoorbeeld social media, hoe zij zich kunnen weren tegen cyberpesten en dat zij media bewust, kritisch en actief kunnen inzetten.
In het funderend onderwijs wordt hier de basis voor gelegd, daarom is de SLO (Stichting Leerplan Ontwikkeling) dit schooljaar gestart met de ontwikkeling van de kerndoelen voor onder andere digitale geletterdheid. Deze kerndoelen worden verankerd in het curriculum waarmee scholen verplicht worden hier onderwijs in te verzorgen. De invulling van deze kerndoelen voor digitale geletterdheid, en ook de invulling van thema’s als mediawijsheid, worden in de komende maanden verder vormgegeven.
In aanloop naar de kerndoelen voor digitale geletterdheid wordt vanaf 2023 middels een ondersteuningsstructuur de mogelijkheid aan scholen geboden om aan de slag te gaan met digitale geletterdheid. Dit is in aanvulling op het bestaande ondersteuningsaanbod en passend bij de behoeften in het onderwijsveld. Zo zijn bijvoorbeeld al verschillende lesmethoden ontwikkeld over mediawijsheid en online veiligheid door netwerkpartners binnen het Netwerk Mediawijsheid, zoals Mijn Cyberrijbewijs, Online Masters, Nationaal Media Paspoort, InternetHelden en HackShield in de klas. Voor het aankaarten van filterbubbels kunnen scholen onder andere gebruik maken van de website Isdatechtzo.nl, een initiatief van Netwerk Mediawijsheid in samenwerking met Beeld en Geluid Den Haag en ECP.
Ten slotte hebben de scholen op basis van de aangescherpte burgerschapsopdracht de plicht om de sociale en maatschappelijke competenties van leerlingen te ontwikkelen om hen zo in te staat stellen deel uit te maken van en bij te dragen aan de pluriforme, democratische Nederlandse samenleving. Daarnaast moeten zij hen onder meer kennis over en respect voor verschillen in godsdienst, levensovertuiging, politieke gezindheid, afkomst, geslacht, handicap of seksuele gerichtheid bijbrengen. Daarmee worden actief burgerschap en de sociale cohesie bevorderd, wat een tegenwicht biedt tegen onder andere cyberpesten, maar ook bubbels en echokamers.

Vraag 4

Welke stappen neemt u om scholen te vragen aandacht te besteden aan online veiligheid van kinderen? Kunt u de Kamer hiervan op de hoogte houden, ook ten aanzien van het tijdspad?

Zoals in het antwoord op vraag 3 is toegelicht, worden er in het funderend onderwijs voor digitale geletterdheid kerndoelen ontwikkeld, die verankerd worden in het curriculum. Vanaf 2023 wordt in aanloop van deze kerndoelen een ondersteuningsstructuur opgezet. De Kamer zal over het verdere proces van digitale geletterdheid vanuit het masterplan basisvaardigheden eind 2022 verder geïnformeerd worden.

Vraag 5

Wat is de status van de ambitie uit het regeerakkoord waarin staat dat kinderen worden beschermd tegen niet-passende «online» reclame en kindermarketing en waarin kinderen het recht krijgen om niet gevolgd te worden en geen dataprofielen te krijgen? Zo ja, welke stappen gaan er op nationaal en Europees niveau gezet worden om deze ambitie te verwezenlijken?

De Nederlandse overheid heeft maar beperkt invloed op dit speelveld en een groot deel van kindermarketing vindt online plaats. Aan deze ambitie wordt in Europees verband invulling gegeven. De in juli 2022 aangenomen Europese Verordening inzake digitale diensten (DSA) bevat een verbod op het gebruik van data van minderjarigen voor gerichte reclame. Daarnaast schrijft de Europese audiovisuele mediadienstenrichtlijn voor dat videoplatformdiensten zoals YouTube en TikTok transparant moeten zijn over reclame en maatregelen moeten treffen tegen niet-passende content voor minderjarigen. Voor de publieke omroep geldt overigens een verbod op reclame rondom kinderprogrammering. In de Kinder- en Jeugdreclamecode van de Stichting Reclame Code zijn verdere eisen met betrekking tot reclame gericht op kinderen en jongeren opgenomen.

Vraag 1

Bent u bekend met het bericht «Ruim 900 Nederlandse bedrijven in handen van Chinezen: «Risico op spionage»»?1

Ja.

Vraag 2

Herkent u de zorgen en signalen uit dit artikel en, zo ja, hoe apprecieert u deze?

Buitenlandse investeringen en internationale samenwerking zijn belangrijke pijlers voor het verdienvermogen van de Nederlandse economie. Het levert een belangrijke bijdrage aan de Nederlandse innovatiepositie, concurrentievermogen en welvaart. Tegelijkertijd zien we dat heimelijke en niet-heimelijke middelen, waaronder spionage, door statelijke actoren in het economische domein worden ingezet. Hierbij kunnen andere motieven spelen dan strikt financieel-economische, waardoor onder meer onze nationale veiligheidsbelangen kunnen worden geschaad.2 Het kabinet neemt gepaste maatregelen om Nederland weerbaar te maken tegen de dreiging van statelijke actoren. Zo wordt er onder andere gewerkt aan de invoering van de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo), het Wetsvoorstel uitbreiding strafbaarheid spionage en kennisveiligheidsbeleid. Sinds 2020 is ook de Wet ongewenste zeggenschap telecommunicatie (Wozt) in werking. Het kabinet zet ook in op meer algemene maatregelen ter versterking van digitale weerbaarheid, zoals in de telecomsector is gedaan middels het Besluit veiligheid en integriteit telecommunicatie en de daaruit volgende beschikkingen en een ministeriële regeling. Daarnaast kijken we nauwlettender naar risicovolle strategische afhankelijkheden, van Rusland, van China en van andere derde landen, en het mitigeren van risico’s voor onze nationale veiligheid die daaruit voortvloeien.

Vraag 3

Was de Nederlandse staat al bekend met het feit dat dit aantal Nederlandse bedrijven in Chinese handen is?

De meest recente cijfers (CBS: Nederland Handelsblad 20223) laten zien dat het aantal Chinese multinationals in Nederland tussen 2018 en 2022 met 45 bedrijven afnam naar 510. Een andere bron is het Ultimate Beneficial Owner (UBO) register van de Kamer van Koophandel. Deze informatie is beschikbaar via openbare bronnen.
Bovendien hoeven dergelijke gegevens niet direct iets te zeggen over risico’s voor nationale veiligheid. Afhankelijkheid van derde landen is een gegeven in Nederland. De aanwezigheid van Chinese bedrijven is dat ook en niet per definitie onwenselijk. Het wordt onwenselijk als de aanwezigheid van de buitenlandse partijen onze belangen schaadt, indien de continuïteit van vitale processen, de integriteit en exclusiviteit van informatie en kennis wordt aangetast en/of risicovolle strategische afhankelijkheden ontstaan. Om ons daar weerbaar tegen te maken neemt het kabinet in het kader van het tegengaan van de dreiging tegen statelijke actoren gepaste maatregelen, zoals ook genoemd onder het antwoord op vraag 2.
De rijksoverheid houdt middels de inlichtingen- en veiligheidsdiensten zicht op actuele dreigingen. De diensten hebben onder meer tot wettelijke taak onderzoek te verrichten naar (de inlichtingenactiviteiten van) andere landen. Ook hebben zij tot taak maatregelen ter bescherming van o.a. de nationale veiligheid te bevorderen, waaronder de vitale sectoren. In dat kader onderhouden de diensten nauwe contacten met relevante onderdelen van het Nederlandse bedrijfsleven.

Vraag 4

Zo nee, wat is de reden dat dit niet wordt bijgehouden en deelt u de mening dat actueel inzicht in de Chinese aanwezigheid in Nederland van belang is voor de nationale veiligheid, mede gezien de conclusie van de Algemene Inlichtingen- en Veiligheidsdienst eerder dit jaar dat China op dit moment de grootste bedreiging voor de economische veiligheid in Nederland is?

Zie antwoord vraag 3.

Vraag 5

Hoeveel bedrijven in Nederland hebben een aanmerkelijke Chinese minderheidsaandeelhouder, in de orde van grootte van vijf tot 50 procent van de eigendom? Als hier geen zicht op is, waarom niet?

Het kabinet houdt geen actief overzicht bij van eigendomsstructuren van bedrijven – ook omdat aandelenbelangen continu van eigenaar veranderen – en kan indien nodig gebruikmaken van reeds beschikbare data. Openbare bronnen, zoals het hierboven genoemde CBS, waar aandeelhouderschap van bedrijven wordt bijgehouden hebben meestal enkel data waarbij het aandelenpercentage 50% of hoger is. Er zijn daarnaast ook private partijen die dergelijke aandeelhoudersstructuren bijhouden.

Vraag 6

Deelt u de mening dat het onwenselijk is dat in de haven van Rotterdam meerdere strategische bedrijven in Chinese handen zijn, gezien de vitale functie van de Rotterdamse haven in onze economie en samenleving? Zo ja, kunt u dit toelichten? Zo nee, waarom niet?

Ik ben met u van mening dat het essentieel is dat de Rotterdamse haven haar belangrijke maritiem-logistieke functie voor onze economie onafhankelijk en veilig kan blijven uitoefenen. Het mitigeren van risico’s als gevolg van risicovolle strategische afhankelijkheden en het tegengaan van ongewenste kennisoverdracht is binnen alle vitale processen een aandachtspunt. Een scenario-onderzoek – in opdracht van het interdepartementale Kennisnetwerk China – dat recentelijk is uitgevoerd toont aan dat Chinese actoren reeds zeer invloedrijk zijn in het internationale maritiem-logistieke domein en dat China-gerelateerde goederenstromen een grote rol in de Nederlandse maritiem-logistieke hub-functie spelen. Het zowel behouden van deze prominente hub-functie als het beschermen van strategische bewegingsruimte staat daarmee onder druk. Dit vraagt om een zorgvuldige afweging tussen economisch belang, open strategische autonomie en nationale veiligheid. Het is daarbij belangrijk om te blijven bezien of het instrumentarium dat voorhanden is om risico’s te voorkomen of te verminderen, afdoende is. Afstemming met onze buurlanden en de Europese Commissie is daarbij tevens essentieel. Het kabinet onderzoekt daarom momenteel – samen met deze partijen – in hoeverre reeds bestaand instrumentarium een antwoord kan bieden en hoe dit, indien nodig, aangepast kan worden.

Vraag 7

Welke mogelijkheden biedt de Wet veiligheidstoets, investeringen, fusies en overnames om toezicht te houden op de huidige Nederlandse bedrijven in Chinese handen?

De Wet Vifo is landenneutraal en is gericht op het toetsen van verwervingsactiviteiten, ongeacht waar de investeerder vandaan komt. Dit om onder meer omzeilingsconstructies en afhankelijkheden van anderen te voorkomen. Inwerkingtreding van de wet is voorzien in het eerste kwartaal 2023. Artikel 58 van de wet biedt de tijdelijke mogelijkheid om verwervingsactiviteiten in vitale aanbieders en/of bedrijven die actief zijn op sensitieve technologie, die hebben plaatsgevonden voorafgaand aan de inwerkingtreding, maar na 8 september 2020, alsnog aan een toets te onderwerpen. Dit kan indien er een redelijk vermoeden is ontstaan dat deze verwervingsactiviteiten een risico voor de nationale veiligheid zouden kunnen vormen. De Wet Vifo biedt geen mogelijkheid om toezicht te houden op verwervingsactiviteiten die voor 8 september 2020 hebben plaatsgevonden en/of niet onder het toepassingsbereik van de wet vallen. Het toezicht van de Wet Vifo is uiteraard ook na inwerkingtreding van toepassing op verwervingsactiviteiten in huidige Nederlandse bedrijven die onder het toepassingsbereik vallen. Hierbij zal naar verwachting steeds beter inzicht ontstaan over investeringen uit specifieke landen die onder de wet vallen.

Vraag 8

Vindt u dat er momenteel voldoende mogelijkheden zijn om zicht te houden op ongewenste investeringen en overnames en deze tegen te gaan? Als dit niet het geval is, deelt u dan de mening dat dit een lacune in de huidige wetgeving betreft? Zo ja, hoe bent u voornemens deze lacune te dichten? Bijvoorbeeld door de Wet veiligheidstoets, investeringen, fusies en overnames uit te breiden?

Het kabinet beschikt over een uitgebreid stelsel van investeringstoetsingen. Dit stelsel bestaat naast de Wet Vifo ook uit sectorale investeringstoetsen op het gebied van telecommunicatie, gas en elektriciteit. Daarnaast is een sectorspecifiek wetsvoorstel voor de defensie-gerelateerde industrie in voorbereiding. De Wet Vifo fungeert hierin als vangnet voor vitale processen. Daarnaast heeft de Wet Vifo betrekking op bedrijven die actief zijn op het gebied van sensitieve technologie. Momenteel wordt gewerkt aan een algemene maatregel van bestuur om het toepassingsbereik van de Wet Vifo te verfijnen. Deze algemene maatregel van bestuur zal volgens amendement-Van Strien4 worden voorgehangen in uw Kamer.
Daarnaast investeert het kabinet in meer kennisopbouw over investeringen en overnames in Nederland, zoals het onderzoek naar de invloed van Chinese actoren in het internationale maritiem-logistieke domein.

Vraag 9

Welke mogelijkheden ziet u om, in het licht van de ontwikkelingen in de de afgelopen tijd, waarbij bepaalde landen evident een kwalijke rol spelen, van een «landenneutraal» beleid richting een meer landenspecifiek en proactief beleid te gaan? Deelt u de mening dat betreffende statelijke dreigingen dermate structureel, grootschalig, vergaand en moeilijk te bestrijden zijn dat de bewijslast moet worden omgekeerd, zodat proactief en schaalbaar gehandeld kan worden? Welke mogelijkheden ziet u om een dergelijk effectief beleid op te tuigen?

De kracht van de Nederlandse economie is haar open karakter, waarbij het principe is dat buitenlandse activiteiten in beginsel welkom zijn. Ook is Nederland een groot voorstander van het op regels gebaseerde multilaterale handelssysteem en de WTO, waar het non-discriminatiebeginsel fundamenteel is. Dit heeft een goede reden: Nederland wil immers ook dat andere landen niet tegen ons discrimineren. Landenneutrale wetgeving respecteert tevens het verbod op discriminatie zoals neergelegd in artikel 14 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Daarnaast is het van belang dat instrumentarium toepasbaar blijft op veranderende dreigingen en geopolitieke ontwikkelingen en omzeilingsconstructies voorkomen kunnen worden.
Om deze redenen geeft het kabinet de voorkeur aan een landenneutraal wettelijk instrumentarium; maar waar nodig worden binnen die kaders of in de toepassing gerichte(re) maatregelen getroffen om de dreiging van bepaalde statelijke actoren te verminderen, statelijke actoren te ontmoedigen of de weerbaarheid van Nederland te vergroten. Daarvoor is een samenhangende en diverse set aan maatregelen en instrumenten nodig die Nederland in staat stelt zich hiertegen te verweren. In de Kamerbrief tegengaan statelijke dreigingen is nader ingegaan op de aanpak rondom het tegengaan van statelijke dreigingen5. Op korte termijn zal uw Kamer nader worden geïnformeerd over de aanpak van statelijke dreigingen.

Vraag 10

Hoeveel van de in het artikel genoemde 900 bedrijven zijn direct actief in of voeren werkzaamheden uit gerelateerd aan de vitale sectoren of sensitieve technologie?

Departementen wijzen onder hun beleidsverantwoordelijkheid organisaties aan als vitale aanbieders wanneer deze partij essentieel is voor de continuïteit en weerbaarheid van een vitaal proces. Hierdoor heeft het kabinet goed zicht op de organisaties binnen de vitale sectoren en worden er passende weerbaarheidsmaatregelen getroffen.
Het kabinet heeft geen alomvattende lijst van bedrijven die direct actief zijn in of werkzaamheden uitvoeren gerelateerd aan sensitieve technologieën. Wel heeft het kabinet zicht op de export van goederen en technologie met een dual-use karakter die voorkomen op de bijlagen van de EU Dual-Use Verordening (EUR2.021/821) naar buiten de Europese Unie. Daarnaast is er ook zicht op de totale export van goederen en technologie die voorkomen op de Gemeenschappelijke EU-Lijst van Militaire Goederen. Relevante bedrijven zijn bekend bij de douane en het Ministerie van Buitenlandse Zaken. Bedrijven hebben, na inwerkingtreding, ook een meldplicht bij het Bureau Toetsing Investeringen in het kader van de Wet Vifo. Daarnaast is er uiteraard veel contact met bedrijven, wat ook bijdraagt aan zicht op deze categorieën bedrijven.
Tegelijkertijd is het voor het kabinet niet mogelijk en vanwege de impact op het vestigings- en ondernemersklimaat ook niet wenselijk om bij ieder bedrijf te komen controleren wat zij precies doen, mits zij zich aan de bestaande wet- en regelgeving houden.

Vraag 11

Welke instrumenten heeft de overheid op dit moment om te monitoren of sensitieve kennis en technologie niet via deze 900 bedrijven weglekt naar China? Zijn dat er voldoende? Zo niet, waar ontbreekt het momenteel aan en welke mogelijkheden ziet u om dit te verhelpen?

Het kabinet zet zich actief in om Nederland weerbaar te maken tegen de dreiging vanuit statelijke actoren.6 Hiervoor beschikken we over een breed palet aan instrumenten om ongewenste kennis- en technologieoverdracht tegen te gaan. Naast de al genoemde instrumenten als exportcontrole en investeringstoetsing, zijn dat onder meer de uitbreiding strafbaarstelling spionage, het aanwijzen van vertrouwensposities, maatregelen op veilige inkoop en kennisveiligheidsmaatregelen. Over dit bredere bestuurlijke en juridische instrumentarium is uw Kamer geïnformeerd per brief op 8 juli 2022 (Kamerstuk 32 637 / 30 821, nr. 501).

Vraag 12

Hoeveel van deze 900 bedrijven zijn tevens erkend referent bij de Immigratie- en Naturalisatiedienst?

Zonder uitspraken te doen over de status van de bedrijven op de lijst van RTL en Follow the Money, hebben van de 903 bedrijven op deze lijst, inclusief hun dochters (1.369), 243 bedrijven de erkend referentstatus. Dit is openbare informatie, aangezien alle bedrijven met een erkend referentstatus te vinden zijn in het openbaar register erkende referenten.
De kennismigrantenregeling, en daarbij de erkend referentsystematiek, is in het leven geroepen om de Nederlandse kenniseconomie te stimuleren en hoogopgeleide medewerkers van buiten de EU aan te trekken en te behouden. Alleen bedrijven die de status van erkend referent hebben kunnen vreemdelingen via de kennismigrantenregeling naar Nederland halen. Misbruik wordt zo veel mogelijk voorkomen, onderkend en aangepakt. In dit verband is het nuttig om te benadrukken dat momenteel in een interdepartementaal traject in brede zin wordt onderzocht hoe ongewenste kennis- en technologieoverdracht naar statelijke actoren zich onder meer verhoudt tot het erkend referentschap en hoe mogelijke ongewenste overdracht kan worden tegengegaan. Hierover wordt uw Kamer binnenkort verder geïnformeerd in de Kamerbrief Aanpak statelijke dreigingen en aanbieding dreigingsbeeld statelijke actoren 2.

Vraag 13

Hoeveel van deze 900 bedrijven ontvangen tevens staatssteun in eigen land, in directe dan wel in indirecte vorm, door bijvoorbeeld te profiteren van een onevenredig afgeschermde thuismarkt?

Als bedrijven staatssteun ontvangen is er niet zonder meer sprake van oneerlijke concurrentie. Ook binnen de EU ontvangen bedrijven staatssteun. Binnen de EU is staatssteun echter aan strikte regels gebonden om te voorkomen dat het gelijk speelveld verstoord wordt. Als bedrijven uit derde landen subsidie ontvangen hoeven zij zich niet aan de Europese staatssteunregels te houden. Dit kan als gevolg hebben dat zij een sterke positie op de Europese interne markt opbouwen en zelfs de concurrentie kunnen verstoren. Op die manier is het dus mogelijk dat er dan sprake is van oneerlijke concurrentie bij subsidies uit derde landen, maar dit is lastig algemeen te stellen omdat veel afhangt van de specifieke omstandigheden van het geval. Om verstoring van de concurrentie op de interne markt door staatsgesteunde bedrijven uit derde landen tegen te gaan is recent de verordening buitenlandse subsidies aangenomen.

Vraag 14

Deelt u de mening dat, als deze bedrijven staatssteun ontvangen, dit een oneerlijke vorm van concurrentie is?

Vraag 15

Per wanneer verwacht u dat het mogelijk is om op basis van het instrument buitenlandse subsidies van de Europese Unie maatregelen te nemen om deze oneerlijke situatie recht te trekken? Bent u bereid zich in te zetten voor het zo spoedig mogelijk daadwerkelijk toepassen van dit instrument op Chinese bedrijven die via staatssteun zorgen voor een ongelijk speelveld?

De Verordening buitenlandse subsidies zal het mogelijk maken op te treden indien er op de Europese interne markt overnames worden gedaan waarbij sprake is van verstorende subsidies uit derde landen of als bedrijven die deze subsidies ontvangen inschrijven op aanbestedingen. Daarnaast is het voor de Europese Commissie ook mogelijk om op eigen initiatief alle andere marktsituaties te onderzoeken en een ad hoc-aanmelding te vragen voor kleinere concentraties en openbare aanbestedingen, als zij vermoedt dat er sprake kan zijn van een verstorende buitenlandse subsidie.
Ik ben blij dat de onderhandelingen over dit belangrijke instrument recent zijn afgerond. Wanneer de verordening precies in werking treedt, is nu nog onduidelijk, maar de verwachting is vanaf het derde kwartaal van 2023.
Nederland heeft zich vanaf het begin ingezet voor dit instrument. Nu is het belangrijk dat de Commissie de verordening snel na inwerkingtreding gaat toepassen en waar nodig zal het kabinet dit bij de Commissie onder de aandacht brengen.

Vraag 1

Bent u bekend met het bericht «Internet kan tientallen euro’s goedkoper in Nederland»?1

Ja.

Vraag 2

Herkent u de suggestie die het artikel wekt, dat de prijzen in Nederland voor toegang tot het internet veel hoger zijn dan in andere relevante landen met vergelijkbare open en kennisintensieve economieën? Zo ja, hoe heeft deze prijs zich de afgelopen jaren ontwikkeld? Zo nee, waarom niet?

Uit internationaal vergelijkende onderzoeken blijkt dat de prijzen voor internettoegang in Nederland relatief hoog zijn.2 Uit de Europese Digital Economy and Society Index (DESI) komt naar voren dat het prijsniveau in Nederland zich de afgelopen jaren richting het EU-gemiddelde beweegt maar daar nog altijd boven ligt. In de tabel is de breedbandprijsindex van de top 4 van landen in de DESI weergegeven (hogere prijzen vertalen zich in een lagere score op deze indicator).
Prijsindex breedband (score 0–100)
DESI 2020
DESI 2021
DESI 2022
Finland
DESI: 1
connectiviteit: 8
75
74
79
Denemarken
DESI: 2
connectiviteit: 1
61
60
58
Nederland
DESI: 3
connectiviteit: 2
56
61
68
Zweden
DESI: 4
connectiviteit: 9
65
69
76
EU
64
69
73

Vraag 3

Hoe verhouden deze prijzen voor toegang tot het internet zich tot de zin in het coalitieakkoord: «Nederland wordt het digitale knooppunt van Europa en krijgt robuust, supersnel en veilig internet in alle delen van het land»?

Deze ambitie in het coalitieakkoord richt zich – naast het behouden en verder versterken van de positie van Nederland als digitaal knooppunt in Europa – in de eerste plaats op de beschikbaarheid van snel internet in alle delen van het land, inclusief de resterende buitengebieden waar nu nog niet overal snel internet is uitgerold.3 Uiteraard moet snel internet niet alleen beschikbaar zijn in de zin dat de infrastructuur aanwezig is, maar moet het afnemen van internettoegangsdiensten ook beschikbaar zijn tegen een redelijke prijs, oftewel betaalbaar zijn. Hoge prijzen leiden ertoe dat consumenten, ondanks de zeer hoge beschikbaarheid van snel internet in Nederland, relatief lage snelheden afnemen. Meer dan 99% van de huishoudens in Nederland kan beschikken over een vaste verbinding van tenminste 100 Megabit per seconde (Mbps), maar slechts 54% van de huishoudens neemt dit af als abonnementsnelheid.4 Nederland scoort in de DESI-index de tiende plaats op het percentage huishoudens dat tenminste 100 Mbps afneemt.

Vraag 4

Herkent u het beeld, zoals geschetst in het artikel, dat toetreding tot de internetmarkt belemmerend kan zijn voor nieuwe partijen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Op grond van de Europese Telecomcode (richtlijn (EU) 2018/1972) is het aan de onafhankelijke markttoezichthouder, in Nederland de ACM, om een oordeel te vellen over de concurrentie op de internetmarkt. In het besluit van de ACM van 25 augustus jl.5 concludeert de ACM dat de internetmarkt zich kenmerkt als oligopolie en dat de prijzen voor internettoegang in Nederland relatief hoog zijn. Daarom heeft de ACM toezeggingen van KPN en Glaspoort inzake verbeterde toegangstarieven en -voorwaarden bindend verklaard in dit besluit. De ACM werkt momenteel aan een nieuwe marktanalyse.6 In de marktanalyse zal de ACM rekening houden met de verbeterde toegangstarieven en -voorwaarden waar KPN en Glaspoort aan gebonden zijn op grond van het besluit van 25 augustus.

Vraag 5

Erkent u dat het van belang is dat de Autoriteit Consument & Markt (ACM) snel de onderzoeksresultaten van de marktanalyse publiceert op basis waarvan de openstelling kan worden bewerkstelligd? Wanneer verwacht u de resultaten?

Ja, waarbij zorgvuldigheid voorop staat. De ACM heeft mij laten weten dat deze grondige marktanalyse meer tijd vergt dan in augustus was voorzien en niet meer voor het einde van het jaar zal worden gepubliceerd. De ACM streeft ernaar de marktanalyse zo spoedig mogelijk te publiceren voor consultatie.

Vraag 6

Deelt u de mening dat het wenselijk is dat het internet door een gezonde en open markt betaalbaar, toegankelijk en aantrekkelijk is, zodat iedereen meegenomen kan worden in de digitaliserende samenleving? Zo ja, wat gaat u hieraan doen? Zo nee, waarom niet?

Ja. Het is mijn rol om te zorgen voor goede wettelijke kaders die de ACM in staat stellen de rol als onafhankelijk markttoezichthouder goed te kunnen vervullen. Nederland heeft zich bij de Europese onderhandelingen over de Telecomcode (richtlijn (EU) 2018/1972) met succes ingezet voor een goed reguleringsinstrumentarium voor de ACM en een voortvarende implementatie daarvan in de Telecommunicatiewet.7 Het is aan de ACM als onafhankelijk markttoezichthouder om te bepalen welke regulering zij passend acht om de concurrentie op de internetmarkt te waarborgen, en vervolgens aan de rechter om de ACM-besluiten te toetsen. Ik volg dit nauwlettend gezien het grote belang van goede concurrentie, betaalbaarheid en keuzevrijheid op de Nederlandse internetmarkt.

Vraag 7

Bent u bereid om met een voorstel te komen, mede op basis van het onderzoek van de ACM, om barrières en belemmeringen weg te nemen zodat de markt toegankelijker wordt voor toetreders en consumenten hiervan kunnen profiteren? Zo ja, wanneer kan de Kamer dit voorstel ontvangen? Zo nee, waarom niet?

Deze voorstellen heeft uw Kamer eerder ontvangen in de vorm van de twee wetsvoorstellen waarmee de Europese Telecomcode is geïmplementeerd in de Telecommunicatiewet8 en die beiden als hamerstuk door uw Kamer zijn aangenomen. Hiermee is onder andere een nieuw instrument voor toegangsregulering geïmplementeerd waar Nederland zich in Europa sterk voor heeft gemaakt en zijn overstapdrempels om te wisselen van internetaanbieder verder verlaagd. Het toepassen van het reguleringsinstrumentarium geschiedt op grond van de Telecomcode door de ACM als onafhankelijk markttoezichthouder.

Vraag 1

Bent u bekend met het bericht «De meest gehate sites ter wereld, in de lucht via Flevoland»1?

Ja, wij hebben kennisgenomen van dit bericht.

Vraag 2

Klopt het bericht dat het Russische hostingbedrijf «VDSina» direct, dan wel indirect, illegale websites online kon/kan hosten via Nederlandse datacenters van bedrijven als Serverius? Zo ja, hoe beoordeelt u dit?

In Nederland zijn het aanzetten tot haat en geweld en het vervaardigen en verspreiden van kinderporno strafbaar. Dat geldt ook op het internet. Internet-tussenpersonen zijn gehouden op te treden indien zij weten dat er illegaal materiaal op hun servers of platformen staat. Daar spreken wij hen ook op aan. Gelukkig werkt het grootste gedeelte van de internetbedrijven goed mee om illegale content snel te verwijderen. Desondanks kan nooit helemaal worden voorkomen dat hun klanten illegaal materiaal opslaan of online zetten. Voor de aanpak van illegale online content is samenwerking met de internetsector cruciaal.
Het is niet eenvoudig om het opslaan of online plaatsen van illegale content aan te pakken. Het is bij wet verboden om aan internettussenpersonen een algehele monitoringsverplichting op te leggen. Veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Zij kunnen de ruimte bijvoorbeeld gebruiken om hun eigen website in te richten. Datacentra hebben daarom niet altijd zicht op wie aan het eind van de keten precies gebruik maken van hun diensten en welke content er wordt gehost. Wel zijn zij gehouden te acteren indien ze er weet van krijgen dat de content die ze hosten illegaal is. In dit specifieke geval is dat ook gebeurd en is de content niet meer bereikbaar via een Nederlandse server.
De inzet op het bestrijden van illegale content is er in eerste instantie op gericht om deze content zo snel mogelijk te verwijderen danwel ontoegankelijk te maken. Illegaal online materiaal kan worden gemeld en verwijderd via de afspraken in het kader van de zelfregulering van de internetsector (Notice and Take Down). Is er sprake van kinderpornografisch materiaal, dan is er binnenkort ook de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (ATKM), die een bestuursrechtelijk verwijderbevel kan uitvaardigen en een last onder dwangsom of bestuurlijke boete kan opleggen indien de content niet wordt verwijderd.

Vraag 3

Klopt het dat websites met rechts-extremistische en neonazistische content, zoals als 8kun en Daily Stormer, in heel weinig landen hun websites online kunnen zetten maar dat hiervoor wel mogelijkheden zijn in Nederland? Zo ja, hoe beoordeelt u dit?

Nee, dat klopt niet. Ook in Nederland kan actie worden ondernomen tegen illegale content die aanzet tot discriminatie, haat en geweld, zoals bedoeld in artikel 137d Sr. In Nederland geldt voor wat betreft de aansprakelijkheid van datacentra de Richtlijn Elektronische Handel zoals geïmplementeerd in artikel 6:196c BW en artikel 54a Sr jo artikel 125p Sv. Die richtlijn, die vanaf begin 2024 wordt vervangen door de Digital Services Act (DSA), geldt ook in andere lidstaten van de Europese Unie. Wel kunnen de mogelijkheden om actie te ondernemen en de daarop toepasselijke regelgeving in landen verschillen.
Zoals ook aangegeven in het antwoord op vraag 2, is de inzet op het bestrijden van illegale content er in eerste instantie op gericht om deze content zo snel mogelijk te verwijderen danwel ontoegankelijk te maken. Illegaal online materiaal kan worden gemeld en verwijderd via de afspraken in het kader van de zelfregulering van de internetsector (Notice and Take Down). Is er sprake van kinderpornografisch materiaal, dan is er binnenkort ook de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (ATKM), die een bestuursrechtelijk verwijderbevel kan uitvaardigen en een last onder dwangsom of bestuurlijke boete kan opleggen indien de content niet wordt verwijderd.

Vraag 4

Bent u het ermee eens dat het zeer problematisch is wanneer rechts-extremistische en illegale content online staan via Nederlandse digitale infrastructuur? Zo ja, op welke manieren pakt u dit aan?

Ja die mening delen wij. Nederland is koploper in de aanpak van online seksueel kindermisbruik en zet zich in voor een Europese aanpak daarvan. Ook met betrekking tot de oprichting van de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) loopt Nederland voorop in het bestrijden van strafbare online content. In Nederland wordt al een aantal jaren succesvol samengewerkt tussen de internetsector en overheid op het gebied van illegale content. Overheid en internetsector richten zich daarbij op het zo snel mogelijk offline halen van de aangetroffen illegale content. Een hostingprovider moet acteren als hij er weet van krijgt dat de online content die hij host een illegaal karakter heeft. Het beleid richt zich daarom op het notificeren en doen verwijderen van illegale (dat wil zeggen strafbare of anderszins onrechtmatige) content. Bij het tegengaan van strafbare content (terroristisch of kinderpornografisch materiaal en hate speech) heeft de overheid een actieve rol in de opsporing en vervolging. Bij onrechtmatige (maar niet strafbare) content – content die schade toebrengt aan individuen, zoals privacy-schendingen – is die rol vooral faciliterend, bijvoorbeeld door het subsidiëren van een meldpunt. Via zo’n meldpunt wordt strafbare en onrechtmatige content onder de aandacht gebracht van een internettussenpersoon, die op grond van bestaande wet- en regelgeving gehouden is daarop te acteren. Ongewenste (maar niet onrechtmatige) content (zoals de meeste vormen van desinformatie) wordt niet verwijderd. Wel zijn er andere instrumenten om hierop te reageren (o.a. fact checking, counterspeech, verwijzen naar officiële websites, aanpassen (zoek)algoritmes, etc.).

Vraag 5

Welke instrumenten heeft de overheid om in te grijpen wanneer illegale content het wereldwijde web in wordt geslingerd via Nederlandse bedrijven? Worden desbetreffende instrumenten daadwerkelijk ingezet? Zijn er bijvoorbeeld verzoeken gedaan aan Serverius om de dienstverlening aan VDSina en daarmee 8kun en Daily Storm stop te zetten? Zo ja, door wie zijn die verzoeken gedaan en wat was hiervan het resultaat? Zo nee, waarom niet?

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv kan de officier van justitie met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is ter beëindiging van een strafbaar feit. Dit is geregeld in artikel 125p Sv. Onrechtmatige content kan ontoegankelijk worden gemaakt na een bevel daartoe van de civiele rechter.
Zoals reeds bekend bij uw Kamer, heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. De Raad van State heeft op 4 mei jl. geadviseerd over het wetsvoorstel bestuursrechtelijke aanpak online kinderpornografisch materiaal. Dit advies wordt nu verwerkt, zodat het wetsvoorstel daarna op korte termijn aan de Kamer kan worden aangeboden. Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader. Zoals de naam al zegt, zal de ATKM zich alleen richten op terroristisch en kinderpornografisch materiaal, en blijft online hate speech zoals verspreid via Daily Stormer en 8kun buiten de reikwijdte van deze Autoriteit. Online hate speech kan worden gemeld bij het Meldpunt Internet Discriminatie (MiND). Dit meldpunt wordt door de sector beschouwd als een trusted flagger, waardoor meldingen vanuit dit meldpunt richting de sector in vrijwel alle gevallen leiden tot het verwijderen of ontoegankelijk maken van de gewraakte content.
De inzet bij de bestrijding van illegale content gaat voor een belangrijk deel uit van zelfregulering door de internetsector. De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is er al in 2008 een Notice-and-Takedown (NTD) gedragscode overeengekomen tussen overheden, internetaanbieders, hostingbedrijven, en andere tussenpersonen.2 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten. Tenslotte zijn ook in EU-verband afspraken gemaakt, zoals de Code of conduct on countering illegal hate speech uit 2016.
De Digital Service Act (DSA) biedt in vergelijking met de Richtlijn Elektronische Handel een meer gepreciseerd kader waarbinnen hostingbedrijven een beroep kunnen doen op uitsluiting van aansprakelijkheid met betrekking tot de informatie die zij hosten. Ook bevat de DSA onderdelen die de bestrijding van illegale content in de toekomst verder kunnen verbeteren. Om hier optimaal uitvoering aan te geven en gebruik van te maken zal de huidige NTD gedragscode de komende tijd vanuit een publiek-private samenwerking nog eens tegen het licht worden gehouden. Bij de onderhandelingen over de DSA heeft Nederland er overigens voor gepleit om aanvullend op dit alles een zorgplicht voor hostingbedrijven op te nemen. Dit voorstel kreeg helaas onvoldoende steun bij andere Lidstaten.3
Aanvullend subsidieert de overheid een aantal meldpunten om illegale content onder de aandacht te brengen van platformen, providers en hosters. Deze meldpunten hebben veelal de status van trusted flagger, en hebben daarmee ook het vertrouwen van de sector. Content die zij als «illegaal» betitelen wordt in dat kader in de meeste gevallen ook daadwerkelijk ontoegankelijk gemaakt. Het kabinet zet de komende jaren in op het verder optimaliseren van opvolging van meldingen van deze meldpunten en zal daarbij ook bezien voor welke andere vormen van illegale content een meldvoorziening dient te worden ingericht.

Vraag 6

Klopt het dat 8kun en Daily Stormer niet meer via Nederlandse bedrijven online staan? Zo ja, kunt u dit bevestigen en toelichten? Zo nee, waarom niet?

Ja, dat klopt. Op het moment dat de tussenpersoon die de content had ondergebracht bij de Nederlandse hoster werd geïnformeerd dat deze websites via zijn servers online werden gezet, is de content verwijderd door deze tussenpersoon. Het Nederlandse datacenter Serverius heeft hiervoor zelf geen actie hoeven te ondernemen.

Vraag 7

Welke invloed gaat de Digital Services Act hebben op het ingrijpen bij dit soort praktijken? Is Nederland al klaar voor de komst van de Digital Services Act wat betreft het voorkomen dat websites als 8kun en Daily Stormer via Nederland online kunnen worden gezet? Zo ja, in welke genomen maatregelen is dit zichtbaar? Zo nee, welke stappen moeten nog genomen worden?

De DSA is een volgende stap in de richting om verplichtingen en verantwoordelijkheden van internettussenpersonen én de overheid voor de bestrijding van illegale content aan te scherpen. Zoals onder meer de verplichting voor tussenpersonen om een contactpersoon te hebben voor overheden zodat er snel kan worden opgetreden tegen illegale content. Wanneer websites illegale content bevatten, kunnen deze instrumenten worden benut. De verplichtingen uit de DSA worden op 17 februari 2024 van kracht. De komende tijd wordt gewerkt aan de voorbereiding daarvan in Nederland.

Vraag 8

Is de Minister het ermee eens dat het zeer wenselijke is om zo snel mogelijk de structuren en processen in orde te hebben om de Digital Services Act uit te kunnen voeren? Zo nee, waarom niet?

Ja. Dit vereist allereerst keuzes over de organisatie van het toezicht, zodat de toekomstig toezichthouder(s) zich kunnen voorbereiden op hun taken, en de noodzakelijke uitvoeringswetgeving tot stand kan worden gebracht. In het verslag houdende vragen en antwoorden op de begrotingsstaten van de Ministeries van EZK, JenV en BZK die zien op digitale zaken is hier meer informatie over gegeven. In het bijzonder in de antwoorden op vragen 58 t/m 61, 162, 184 t/m 186.
Uitgangspunt voor een succesvolle uitvoering is ook een samenwerking tussen internetsector en overheid die is gebaseerd op wederzijds begrip, vertrouwen en op het wederzijds belang om illegale content te bestrijden. De eerdere zelfreguleringsafspraken uit de genoemde NTD gedragscode illustreren dat dit mogelijk is en dat er bij een groot deel van de internetsector bereidheid bestaat om haar verantwoordelijkheid te nemen in de bestrijding van illegale content online.

Vraag 9

Is de Minister het ermee eens dat het onwenselijk is dat Nederlandse bedrijven zaken doen met partijen die berucht zijn om het faciliteren van botnets? Zo nee, waarom niet?

Ja, dat vinden wij onwenselijk. Internettussenpersonen die ervan op de hoogte worden gebracht dat de content die zij hosten illegaal is, dienen op grond daarvan te acteren om niet aansprakelijkheid gesteld te kunnen worden. Dat geldt niet alleen voor kinderporno, maar ook voor andere illegale content zoals evident racistische of haatzaaiende teksten.

Vraag 10

Wat heeft tot nu toe de inventarisatie van het Nationaal Cyber Security Centrum (NCSC) samen met het Digital Trust Center (DTC) en de Anti-Abuse Network coalitie opgeleverd? Zijn er concrete aanbevelingen of maatregelen op tafel gekomen om meer informatie te delen over kwetsbaarheden? Zo nee, wat is de laatste stand van zaken van de inventarisatie?

Het Anti-Abuse Netwerk (AAN-coalitie) is een samenwerkingsverband waarvan zowel het Digital Trust Center (DTC), het Ministerie van EZK als de politie deelnemer zijn en waarbij het Nationaal Cyber Security Centrum (NCSC), het Ministerie van Justitie en Veiligheid en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) als agenda lid zijn aangesloten. Daarnaast nemen onderzoeksinstellingen en private organisaties deel aan de coalitie. Het AAN werkt aan een veilige en betrouwbare online infrastructuur. De inventarisatie van het AAN heeft knelpunten en randvoorwaarden opgeleverd welke mede als input hebben gediend voor de Nederlandse Cybersecuritystrategie (NLCS) welke eerder met uw Kamer is gedeeld. De AAN-coalitie heeft de uitkomsten van haar inventarisatie verwerkt in de «Metrokaart en knelpunten «Technisch Abuse»»4 uit december 2020 waarnaar wordt verwezen in het Cyclotron rapport. Dit rapport is eerder als bijlage bij de brief5 over de NLCS met uw Kamer gedeeld. Op dit moment zijn er bijeenkomsten van de AAN-coalitie en zijn de deelnemers actief betrokken bij de actieplannen die worden uitgewerkt naar aanleiding van de NLCS.

Vraag 11

Hoe ziet u het spanningsveld tussen vrij ondernemen met daarbij het vrij verhuren van serverruimte aan (onbekende) partijen en het misbruik maken van de Nederlandse digitale infrastructuur waarbij websites met illegale en rechts-extremistische content online kunnen worden gezet?

In veel gevallen gaat het ondernemerschap goed samen met verantwoordelijk gedrag richting de samenleving. In het geval van de hostingsector blijkt dat onder meer bij bedrijven die zich vrijwillig houden aan de Gedragscode Abusebestrijding en de NTD gedragscode.
Het verhuren van serverruimte aan partijen die daar vervolgens illegale content plaatsen maakt een hosting service provider (HSP) nog geen kwaadwillende actor. Daarvan is pas sprake als evident is dat zij niet slechts slachtoffer zijn van misbruik van hun faciliteiten maar bewust illegale content faciliteren. Zo heeft het Gerechtshof in Den Haag recentelijk bepaald dat een telecommunicatiedienstprovider die zich ervan bewust is dat zijn klanten crimineel gedrag vertonen en/of criminele content aanwezig hebben dan wel verspreiden, en deze klanten daarbij desalniettemin faciliteert, mogelijk strafrechtelijk aansprakelijk kan worden gehouden, ook als de Officier van Justitie niet vooraf een verwijderbevel heeft afgegeven. Of daar sprake van is, dient per geval te worden beoordeeld.

Vraag 1

Bent u bekend met het bericht «ProRail dumpt Chinese bewakingscamera’s, de NS laat ze hangen»?1

Ja, wij zijn bekend met het bericht.

Vraag 2

Klopt het bericht dat de NS duizenden nieuwe Chinese camera’s heeft besteld? Zo ja, hoe beoordeelt u dit?

De camera's vormen onderdeel van een Europese aanbesteding voor de modernisering van de materieelserie VIRM2/3 en een Europese aanbesteding van de nieuwbouw van de materieelserie ICNG. Deze aanbestedingen zijn gegund aan Europese treinfabrikanten, die op hun beurt voor een deel van deze levering gebruik maken van Chinese onderleveranciers.
NS heeft bij de Staatssecretaris van IenW aangegeven dat zij diverse maatregelen heeft getroffen zodat (statelijke) actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen. Eén van de maatregelen is dat deze camera’s zich bevinden in een afgesloten en beveiligd (intern) netwerk dat niet is gekoppeld aan het internet. Dit betekent volgens NS dat niemand van buitenaf bij de inhoud of besturing van de camera’s kan komen. Daarnaast heeft NS bij de Staatssecretaris aangegeven gebruik te maken van de adviezen van de rijksoverheid, zie ook het antwoord op vraag 7.

Vraag 3

Op welke plekken heeft de NS momenteel Chinese camera’s hangen en op welke plekken komen de Chinese camera’s nog te hangen? Hoeveel Chinese camera’s hangen er op dit moment binnen treinen en op en rondom stations?

NS heeft geen camera’s van Chinese makelij op stations. Momenteel gebruikt NS camera’s van Chinese makelij alleen in een aantal type treinen. Na modernisering bevat de materieelserie VIRM 2/3 camera’s van Chinese makelij evenals de (nieuwe) materieelserie ICNG.

Vraag 4

Welke eisen gaat u opnemen in de nieuwe Hoofdrailnetconcessie ten aanzien van het gebruik van Chinese camera’s op stations en in treinen?

In het Programma van Eisen vraagt de Staatssecretaris van IenW de beoogd concessiehouder, een rol te spelen op het gebied van terrorismebestrijding, o.a. door het beschikbaar hebben van cameratoezicht in de trein. De Staatssecretaris van IenW vindt het belangrijk om de beoogd concessiehouder vrij te laten in de bedrijfsvoering, opdat zij haar kennis en expertise optimaal kan benutten. Er is daarom gekozen voor outputsturing waar het kan en inputsturing waar ik dat nodig acht met het oog op de maatschappelijke meerwaarde. Het meegeven van specificaties voor het type te gebruiken camera’s past daar niet in. Ook hanteert NS nu ook al de adviezen van de rijksoverheid, zie ook het antwoord op vraag 7.

Vraag 5

Bent u ervan op de hoogte dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) vervoer van personen en goederen over (hoofd)spoorweginfrastructuur aanmerkt als vitale infrastructuur? Zo ja, hoe weegt u de aanschaf van producten en diensten van landen met een offensieve cyberstrategie gericht tegen Nederland in de vitale infrastructuur?

Ja. Voor het identificeren van vitale processen zijn de betrokken Ministers van vakdepartementen verantwoordelijk. Het proces vervoer van personen en goederen over de (hoofd)spoorweginfrastructuur is door de Minister van Infrastructuur en Waterstaat aangemerkt als een vitaal proces2. Dit betekent dat aanbieders van een dienst binnen dit proces kunnen worden aangemerkt als vitale aanbieder en aanbieder van een essentiële dienst (AED), waarmee ze onder het regime van de Wet bescherming netwerk- en informatiesystemen (Wbni) vallen. Zie ook het antwoord op vraag 7.

Vraag 6

Deelt u de mening dat het zeer onwenselijk is dat de NS camera’s inzet en aankoopt die worden gemaakt door Chinese techbedrijven die deels in handen zijn van de Chinese staat? Zo ja, in hoeverre zit het kabinet strak op de aanbestedingen uit landen met een offensief cyberprogramma (onder andere China) bij organisaties waar de overheid aandelen in heeft? Zo nee, waarom niet?

Ten aanzien van de inkoop van producten en diensten is het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen. Ter ondersteuning van dit beleid zijn er instrumenten voor de rijksoverheid, medeoverheden en vitale aanbieders ontwikkeld die organisaties handvatten bieden bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s, waarbij het Rijk gevraagd en ongevraagd advies en ondersteuning kan bieden.
Zo wordt bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden met eventuele risico’s in relatie tot de leverancier (zoals een offensief cyberprogramma gericht tegen Nederland), en met risico’s die zich kunnen voordoen het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Daarbij kunnen als mitigerende maatregelen bijvoorbeeld strenge eisen worden gesteld door de opdrachtgever aan de (informatie)beveiliging van producten en diensten. Zie ook het antwoord op vraag 7.

Vraag 7

Geeft de rijksoverheid adviezen aan derde belanghebbenden die deel uitmaken van de door de NCTV gekwalificeerde vitale infrastructuur over de aanschaf van camera’s? Zo ja, hoe zou de aanschaf van de Chinese camera’s door de NS passen in het advies van de rijksoverheid? Zo nee, waarom niet?

Vitale aanbieders zijn onder meer op basis van wetgeving, waaronder de Wbni, verplicht tot het treffen van passende maatregelen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Ook dienen zij inzicht te hebben in de risico’s die hun dienstverlening ten aanzien van het vitale proces kunnen raken.
Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het treffen van de juiste maatregelen. Sectorale toezichthouders houden toezicht op de wijze waarop vitale aanbieders invulling geven aan deze zorgplicht.
Ten aanzien van de inkoop van producten en diensten is het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen. Ter ondersteuning van dit beleid zijn er instrumenten voor de rijksoverheid, medeoverheden en vitale aanbieders ontwikkeld die organisaties handvatten bieden bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s, waarbij het Rijk gevraagd en ongevraagd advies en ondersteuning kan bieden.
Zo wordt bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden met eventuele risico’s in relatie tot de leverancier (zoals een offensief cyberprogramma gericht tegen Nederland), en met risico’s die zich kunnen voordoen in het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Daarbij kunnen als mitigerende maatregelen bijvoorbeeld strenge eisen worden gesteld door de opdrachtgever aan de (informatie)beveiliging van producten en diensten.
NS heeft bij de verwerving van de camera’s, in lijn met dit beleid, nationale veiligheidsrisico’s meegewogen aan de hand van het genoemde instrumentarium en hiertoe nadere maatregelen getroffen zoals toegelicht in het antwoord op vraag 2.

Vraag 8

Klopt het bericht dat het Nationaal Cyber Security Centrum (NCSC) nog geen negatief advies heeft gegeven over de merken Dahua en Hikvision? Zo ja, waarom is er tot op heden nog geen negatief advies gegeven? Zo nee, wat is hiervoor nodig?

Het NCSC geeft geen advies over individuele producten of diensten. Het NCSC raadt organisaties aan om risicomanagement te implementeren in hun organisatie en dit ook toe te passen bij het aanschaffen van producten en diensten. De risico’s die verbonden zijn aan bepaalde producten of diensten zijn erg afhankelijk van hoe een product of dienst wordt ingezet bij een individuele organisatie. Om daar duidelijkheid over te krijgen adviseert het NCSC om een specifieke risicoanalyse uit te voeren. Hiermee kan op basis van dreigingen, de te beschermen belangen, nationale veiligheidsoverwegingen en mogelijke maatregelen een risicoafweging worden gemaakt. Daardoor kan een passend pakket aan weerbaarheidsmaatregelen geïmplementeerd worden. Vitale aanbieders zijn hier zelf verantwoordelijk voor.

Vraag 9

Bent u het ermee eens dat het onacceptabel is dat miljoenen Nederlanders worden gefilmd door omstreden Chinese camera’s waarvan niet duidelijk is wat er met deze beelden wordt gedaan? Zo ja, welke stappen bent u bereid te zetten om ervoor te zorgen dat deze Chinese camera’s er niet komen?

De toepassing van camera’s in de openbare ruimte en op stations hebben een rol in het borgen van veiligheid voor het publiek dat daar aanwezig is. Zoals ook aangegeven in het antwoord op vraag 2 heeft NS diverse maatregelen getroffen zodat statelijke actoren niet van buitenaf bij de inhoud of de besturing van de camera’s kunnen komen.
Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie3 «Nederland-China: Een nieuwe balans» staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Op grond van de Algemene Verordening Gegevensbescherming (AVG) gelden er regels voor de verwerking van persoonsgegevens, zo ook wanneer de verwerking plaatsvindt door middel van camerabeelden. Het is aan de verwerkingsverantwoordelijke om deze wettelijk verplichte regels in acht te nemen. Daartoe behoort dat de verwerking van persoonsgegevens goed is beveiligd. Ook staat de AVG de doorgifte van persoonsgegevens aan derde landen niet dan onder strikte voorwaarden toe. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden. Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.

Vraag 10

Wanneer kan de Kamer de uitvoering van de aangenomen motie Rajkowski en Van Weerdenburg (Kamerstuk 26 643, nr. 830) en de uitvoering van de overgenomen motie Rajkowski c.s. (Kamerstuk 26 643, nr. 874) verwachten?

Zoals verzocht in de overgenomen motie4 Rajkowski c.s. zal de Kamer nog voor het kerstreces geïnformeerd worden over de verzochte richtlijn voor de rijksoverheid en haar leveranciers, om producten of diensten van organisaties en bedrijven uit landen met een offensieve cyberagenda gericht tegen Nederland uit bepaalde aanbestedingen te kunnen weren. Hierin wordt ook meegenomen de toezegging aan de Kamerlid Rajkowski voor een onderzoek over hoe dit zou kunnen, zoals gedaan in het debat met de Commissie Digitale Zaken over de digitale overheid, datagebruik en algoritmen, digitale identiteit van 22 maart 2022. Op 5 april 2022 is de motie5 van de leden Rajkowski en Van Weerdenburg aangenomen die het kabinet verzoekt een scan uit te voeren op de aanwezigheid van apparatuur of programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda in de vitale infrastructuur. Op dit moment wordt door het Ministerie van Justitie en Veiligheid, in samenwerking met de betrokken departementen, verkend op welke manier opvolging kan worden gegeven aan de deze motie.

Vraag 1

Bent u bekend met het bericht «NIST kiest wapens tegen kwantumcomputer als cryptokraker»?1

Ja.

Vraag 2

Bent u het ermee eens dat kwantumcomputers een serieus gevaar kunnen vormen voor het Nederlandse briefgeheim en veilige communicatie tussen o.a. veiligheidsdiensten, Nederlandse burgers onderling en voor onze ondernemers in het kader van bedrijfsgeheimen? Zo ja, hoe beoordeelt u dit gevaar? Zo nee, waarom niet?

Ja. De komst van de kwantumcomputer brengt risico’s met zich mee op het gebied van informatiebeveiliging. Sommige cryptografische standaarden die nu veilig worden geacht, zullen door de komst van kwantumcomputers niet meer veilig zijn, waaronder cryptografie die nu veelvuldig wordt gebruikt voor het beveiligen van internetverkeer.
Zoals ook benoemd in de AIVD-brochure «Bereid je voor op de dreiging van kwantumcomputers», achten experts de kans klein maar reëel dat kwantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken.2 Informatie die gedurende een langere periode vertrouwelijk moet blijven, waaronder staatsgeheimen, moet daarom zo snel mogelijk al beschermd worden tegen store now, decrypt later-aanvallen3. Deze dreiging wordt ook gesignaleerd door het NCSC, dat de afgelopen jaren heeft opgeroepen tot het starten met het voorbereiden op de komst van kwantumcomputers, bijvoorbeeld via de NCSC-factsheet «Postkwantumcryptografie».4
Voor de rijksoverheid en medeoverheden, maar ook voor de private sector, betekent dit dat zij zullen moeten migreren naar kwantumveilige systemen en technologieën. Deze migratie is omvangrijk, en zal zo snel mogelijk gestart moeten worden om op tijd voorbereid te zijn op de dreiging van kwantumcomputers.

Vraag 3

Op welke wijze borgt u tijdig met oplossingen te komen tegen de komst van kwantumcomputers zodat inwoners van Nederland veilig digitaal kunnen communiceren en persoonsgegevens en bedrijfs- en staatsgeheimen goed beveiligd kunnen blijven? Welke concrete stappen zijn hier de afgelopen jaren voor gezet en welke stappen bent u nog voornemens te zetten?

Gezien de hierboven gesignaleerde veiligheidsrisico’s voor de overheid, burgers en bedrijven, zet het kabinet zich, met partners uit de private sector en wetenschap, op verschillende wijzen in om maatregelen en technologieën te ontwikkelen die deze risico’s kunnen helpen mitigeren.
Voor de verwerking van gerubriceerde gegevens zijn al geruime tijd kwantumveilige producten beschikbaar. Volgend uit het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) is kwantumveiligheid sinds 2020 een harde eis voor producten waarmee gerubriceerde gegevens verwerkt worden. Het gaat dan om gegevens gerubriceerd als departementaal vertrouwelijk en hoger. Om te borgen dat de rijksoverheid ook in de toekomst kan beschikken over beveiligingsproducten voor vertrouwelijke informatie, wordt er in het kader van de Nationale Cryptostrategie (NCS) geïnvesteerd in de ontwikkeling van deze producten. Dit maakt het mogelijk om in te spelen op risico’s rondom kwantumcomputing voor wat betreft de rijksoverheid. Hierbij wordt in samenwerking met bedrijven en experts onder meer gewerkt aan de ontwikkeling van nieuwe beveiligingsproducten en het doorontwikkelen van bestaande producten.
Deze producten zullen gebruikmaken van post-quantumcryptografie (PQC). Dit is een vorm van cryptografie die gebaseerd is op wiskundige problemen die niet effectief te kraken zijn met een kwantumcomputer. In 2023 zal de AIVD in samenwerking met TNO en het Centrum voor Wiskunde en Informatica (CWI) een kwantum Migratie Handleiding publiceren die overheden, bedrijven en burgers kunnen gebruiken als handvat voor migratie naar kwantumveilige communicatie. Deze handleiding beschrijft de verschillende doelgroepen en bijbehorende (technische) stappen die genomen kunnen worden.
Het kabinet investeert via het Nationaal Groeifonds fors in de Nationale Agenda kwantumtechnologie (zie beneden het antwoord op vraag 10). Naast de inzet vanuit het Groeifonds hebben departementen een aantal jaar geleden gezamenlijk het initiatief genomen om binnen de Nationale Wetenschapsagenda (NWA) uit 2018 met het programma «Cybersecurity – naar een veilig en betrouwbaar digitaal domein» aan de slag te gaan om oplossingen te vinden voor vraagstukken rond internetveiligheid. Daarbinnen is een project gefinancierd tegen het gevaar van het breken van versleutelingsschema’s door kwantumcomputers.5 Daarnaast werkt de overheid samen met private partijen en wetenschappers, onder leiding van het ECP, aan het ontwikkelen van werelds eerste kwantum Impact Assessment (QIA). Organisaties die met kwantumtechnologie willen gaan werken, kunnen dan het QIA doen, om te bepalen wat juridische, ethische en maatschappelijke consequenties zijn van het inzetten van deze technologie. De kennis en producten ontwikkeld via deze trajecten zullen door overheid, bedrijven en burgers benut kunnen worden om zich te beveiligen en om kwantumtechnologie op een verantwoorde wijze te gebruiken.
Er wordt niet alleen op nationaal niveau geïnvesteerd en samengewerkt, maar ook op Europees niveau. Die Europese inzet is uiteengezet in het antwoord op vraag 9.
Binnen de rijksoverheid zijn departementen vanuit hun eigen verantwoordelijkheid voor informatiebeveiliging ook verantwoordelijk om hun belangrijkste processen en andere belangen te beschermen tegen de dreiging van de kwantumcomputer op de toegepaste cryptografie. Om de departementen hierbij te helpen wordt er momenteel op verzoek van het CIO-beraad vanuit de I-strategie Rijk 2022 – 2025, interdepartementaal gewerkt aan een plan voor een gezamenlijke aanpak van deze dreiging, zodat kennis en kunde gedeeld worden, centraal een beeld ontstaat hoe ver de departementen zijn en om de krachten te bundelen onder andere met betrekking tot leveranciersmanagement. BZK zal de medeoverheden wijzen op het belang van spoedige inzet op kwantumcryptografie, en de door de rijksoverheid opgedane ervaring met hen delen, om hen snel op gang te helpen. Er is daarnaast ook een kwantum InnovatieHub rijksoverheid. Dit is een netwerk van geïnteresseerden in kwantumtechnologie en de impact voor de rijksoverheid. Dit netwerk heeft de afgelopen jaren een grote rol gespeeld in het vergroten van het bewustzijn omtrent de impact van kwantumtechnologie binnen de rijksoverheid.

Vraag 4

Welke voorbereidingen neemt u op de komst van de kwantumcomputers? Welke voorbereidingen worden hier getroffen, ook eventueel in samenwerking met private sectoren?

Zie antwoord vraag 3.

Vraag 5

Welke gevolgen ziet u voor de rijksoverheid en lagere overheden met de komst van kwantumcomputers wat betreft het inrichten van de systemen?

Zie antwoord vraag 2.

Vraag 6

Bent u samen met bedrijven en experts op zoek naar oplossingen om encryptie bestendig te maken tegen de komst van kwantumcomputers? Zo ja, wat is de status van deze gesprekken? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 7

Heeft u al een selectie gemaakt van alternatieve cryptografische methoden die niet vatbaar zijn voor het kwantumrekengeweld? Zo ja, welke methoden vallen binnen deze selectie? Zo nee, wanneer verwacht u met een selectie te komen?

Zoals aangegeven in het antwoord op vragen 3, 4 en 6, wordt voor wat betreft het adresseren van de risico’s van kwantumcomputing, door de overheid fors geïnvesteerd. Daarnaast werken cybersecurity experts en cryptologen van de rijksoverheid ook nauw samen met experts uit de private sector en wetenschap. Hierbij wordt breder gekeken naar het vraagstuk dan sec de ontwikkeling van cryptografie, maar ook de implementatie in beveiligingsproducten, standaardisering en migratie-adviezen. Die brede inzet moet de komende jaren leiden tot adviezen en producten die overheid, bedrijven en burgers kunnen gebruiken om zich te beveiligen tegen de dreiging van kwantumcomputing.
Naar aanleiding van de selectie van NIST heeft het NCSC in juli 2022 beveiligingsrichtlijnen gepubliceerd.6 In deze beveiligingsrichtlijnen adviseert het NCSC over het gebruik van specifieke algoritmes waar organisaties gebruik van kunnen maken bij het inrichten van hun architectuur die gebruik maakt van een combinatie van traditionele en kwantum-veilige algoritmes. Daarnaast publiceerde het NCSC in 2017 al de factsheet postkwantumcryptografie.
De AIVD heeft voor het gebruik van cryptografie voor het versleutelen van gerubriceerde informatie klassieke en nieuwe cryptografische methoden beoordeeld op mogelijk gebruik als post-quantum cryptografie (PQC), en daarover gepubliceerd in de brochure «Bereid je voor op de dreiging van kwantumcomputers». Hierin wordt een combinatie van traditionele cryptografie en PQC, een zogeheten hybride constructie, aangeraden voor die systemen waar niet gewacht kan worden op standaardisatie van PQC. Ook is het voor alle organisaties die werken met gevoelige informatie belangrijk om te beginnen met de migratie hiervan naar kwantumveilige systemen. In de eerste fasen van deze migratie kan een inventarisatie plaatsvinden van systemen die voor de komst van een kwantumcomputer al gemigreerd moeten worden, en wanneer deze migratie moet plaatsvinden.
Een ander veelgenoemde technologie voor het beveiligen van communicatie is kwantum key distribution (QKD). Echter, in de eerdergenoemde AIVD-brochure, beoordeelt de AIVD, QKD zonder het gebruik van PQC als ongeschikt voor het beveiligen van gevoelige informatie. De reden hiervoor is dat QKD sommige, maar niet alle benodigde veiligheidsfuncties vervult. Daarom adviseert de AIVD in alle gevallen om voor de verwerking van gevoelige informatie ook PQC te gebruiken. Onderzoek naar QKD zorgt wel voor kennisopbouw over de onderliggende kwantumtechnologieën. Daarom is het alsnog belangrijk om ook onderzoek te doen naar QKD, ondanks dat QKD op zichzelf ongeschikt is voor het beveiligen van gevoelige communicatie.
In het kader van het plan van aanpak dat voor de rijksoverheid wordt ontwikkeld, is een van de elementen waar binnen het migratieplan naar wordt gekeken de zogenaamde «crypto-agitatie». Dit concept maakt het mogelijk om flexibel en gemakkelijk over te schakelen op verschillende soorten cryptografie, bijvoorbeeld door hardware te gebruiken die dit mogelijk maakt. Dit zou de overstap voor een deel kunnen versnellen. Daarnaast kan dit concept worden ingezet voor producten en diensten die nu worden ontwikkeld en gebruik gaan maken van cryptografie.

Vraag 8

Bent u het met de experts uit het artikel eens dat het verstandig kan zijn alvast in te zetten op een combinatie van traditionele cryptografie en de nieuwe, nog niet volledig uitontwikkelde, postkwantummethoden? Zo ja, hoe gaat u dit vormgeven? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 9

Is Nederland aangesloten bij de Europese programma’s die betrekking hebben op kwantumcomputers? Zo ja, op welke manier heeft Nederland dit vormgegeven? Wat heeft dit concreet tot nu toe opgeleverd? Zo nee, waarom niet?

Ja, Nederland neemt deel aan Europese programma’s die ook betrekking hebben op kwantumcomputers, zoals Digital Europe en Horizon Europe.
Tijdens het Nederlandse EU-voorzitterschap in 2016 heeft de Europese Commissie het EU kwantum Technologies flagship gelanceerd, een R&D programma voor Europese consortia met een budget van 1 miljard euro. Van de totaal 146 miljoen euro uit de eerste fase van het flagship onder Horizon 2020 (2014–2020) namen Nederlandse kennisinstellingen deel voor 10,6 miljoen euro, een percentage van 7,28% – ruim meer dan het gemiddelde Nederlandse aandeel in Horizon 2020. Voor twee consortia op het gebied van kwantum Internet (TU Delft) en kwantum sensing (UvA) is Nederland penvoerder.
Daarnaast heeft Nederland een belangrijke rol in EuroQCI, het Europese programma voor kwantum-communicatie, waar QKD als technologie centraal staat. De Nederlandse inzet in dit EuroQCI programma wordt door het Ministerie van Economische Zaken en Klimaat en kwantumDeltaNL interdepartementaal afgestemd met vertegenwoordigers van onder meer J&V, DEF, BZ en BZK.
In de eerste fase van dit EuroQCI programma, ontvangt een Nederlands consortium met Stichting kwantum Delta als penvoerder cofinanciering van 5 miljoen euro uit het Digital Europe Programma. Het gaat hierbij om het project «QCINed: Towards a National kwantum Communication Infrastructure in The Netherlands» waarbij een experimenteel kwantum communicatienetwerk wordt opgezet door Nederlandse kennisinstellingen met participatie door verschillende ministeries en Rijksuitvoeringsorganisaties.
Deze projecten zitten momenteel in hun eerste fases, en zullen de komende jaren hun resultaten gaan opleveren. Wel heeft de projectontwikkelfase al bijgedragen aan meer samenwerking tussen Nederlandse en Europese partners op dit gebied.

Vraag 10

Hoeveel geld is tot op heden uit het groeifonds beschikbaar gesteld voor de ontwikkeling van kwantum technologie? Welk deel van dit budget is de afgelopen jaren, of zal de komende jaren ook worden geïnvesteerd in het ontwikkelen van deze technologie?

In de eerste ronde van het Nationaal Groeifonds is 615 miljoen euro gereserveerd voor de uitvoering van de Nationale Agenda kwantumtechnologie. Het voorstel kwantumDeltaNL richt zich op het versterken van Nederlands kwantum-ecosysteem, door te investeren in (1) kwantumcomputing, (2) kwantumnetwerken en (3) kwantumsensing. Behalve investeringen in R&D wordt het budget ook gebruikt voor een valorisatieprogramma, voor campusontwikkeling, en voor versterking van de nationale onderzoeksinfrastructuur via NanolabNL. Tevens is er aandacht voor de maatschappelijke impact van deze nieuwe technologie.
Van het bedrag van 615 miljoen uit het nationaal groeifonds is 54 miljoen euro direct toegekend voor Fase 1 van dit programma, welke is gestart in september 2021. Na positieve beoordeling van de uitvoering van Fase 1 is door het kabinet inmiddels ook de voorwaardelijke toekenning voor Fase 2 omgezet in een definitieve toekenning voor het bedrag van 228 miljoen euro. Na een tussentijdse evaluatie in 2025 zal een besluit worden genomen over de reservering van 333 miljoen euro voor Fase 3 van dit programma.

Vraag 11

Bent u het ermee eens dat de Nederlandse economie kan profiteren van de mogelijkheden van kwantumcomputers? Zo nee, waarom niet? Zo ja, op welke manier?

Ja, het kabinet is het hier mee eens. Om deze reden heeft de Adviescommissie Nationaal Groeifonds destijds positief geadviseerd om het kwantumDeltaNL project te honoreren. Kwantum is een ontwikkelende technologie, die een «game-changer» kan zijn op het gebied van rekenkracht en daarmee voor nieuwe verdienmodellen en oplossingen voor maatschappelijke problemen kan zorgen.
Op dit moment zien we een snelle groei van bedrijvigheid rondom deze sleuteltechnologie. Het ecosysteem van kwantumDeltaNL breidt zich snel uit met Nederlandse en buitenlandse startups en scale-ups die werken aan innovatieve componenten en services voor kwantumcomputers en kwantuminternet.
In het kader van het publiek-private samenwerkingsplatform voor cybersecurity kennis en innovatie dcypher wordt door de overheid, het bedrijfsleven en kennisinstellingen samengewerkt aan de ontwikkeling van innovatieve producten en diensten op het gebied van cryptocommunicatie. In aanvulling op de Nationale Crypto Strategie richt deze routekaart cryptocommunicatie zich voornamelijk op het ontwikkelen van het Nederlandse verdienvermogen met betrekking tot cryptografie op zoals dat binnen de overheid en het bedrijfsleven worden toegepast. Post-kwantum cryptografie is hier een belangrijk onderdeel van.

Vraag 1

Bent u bekend met dit artikel?1

Ja.

Vraag 2

Bent u bekend met het feit dat 43% van de Nederlanders zich zorgen maakt om de uitval van vitale processen, zoals onderzocht door de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV)? Hoe beoordeelt u dit? Welke mogelijkheden ziet u met deze zorgen aan de slag te gaan?2

Ja. Uit de Risico-en crisisbarometer voorjaar 20223, uitgevoerd in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) blijkt dat Nederlanders zich zorgen maken om cyberdreigingen (47%), geopolitieke dreigingen (45%) en uitval van vitale processen(43%). Het kabinet onderkent deze zorgen. Zoals ook blijkt uit het Dreigingsbeeld Statelijke Actoren 20214 (DBSA) en het Cybersecurity Beeld Nederland 20225 (CSBN) zijn vitale processen doelwit van statelijke actoren en digitale aanvallen. Om die reden heeft het Kabinet in 2021 de versterkte aanpak ter bescherming van de vitale infrastructuur aangekondigd en werkt het kabinet aan het tegengaan van statelijke dreigingen. In de Kamerbrief Voortgang Aanpak Statelijke Dreigingen6 uit 2021 bent u hierover geïnformeerd.
Met de versterkte aanpak wordt ingezet op het verbeteren van de bescherming van de Nederlandse vitale infrastructuur door het vitaal beleid, het vitaalstelsel en de wetgeving tegen het licht te houden en waar nodig te herzien. Daarnaast wordt ook vanuit de Europese Unie sinds 2020 gewerkt aan de Critical Entities Resilience Directive (CER) en de Network- and Information Security 2 Directive (NIS2). Beide richtlijnen gaan Nederland helpen te komen tot een verbeterde bescherming van de vitale infrastructuur om via wetgeving te borgen dat vitale aanbieders passende maatregelen nemen tegen risico’s die de continuïteit, integriteit of vertrouwelijkheid van hun vitale proces kunnen schaden. Om die reden wordt de toekomstige implementatie van beide richtlijnen binnen de versterkte aanpak voorbereid en betrokken bij het verbeteren van de bescherming van de Nederlandse vitale infrastructuur.

Vraag 3

Hoe beoordeelt u het gevaar voor ons stroomnet zoals in het artikel omschreven?

Zoals ook blijkt uit het CSBN nemen de risico’s op digitale incidenten toe door de toegenomen digitalisering en de opkomst van het Internet of Things (IoT).7 Dit wordt versterkt doordat statelijke actoren zeer actief zijn in het digitale domein. Deze statelijke actoren gebruiken het digitale domein in toenemende mate bij het behartigen van hun geopolitieke belangen.
De beschreven casus maakt daarnaast duidelijk dat dit soort IoT apparatuur aan hogere veiligheidsnormen moet voldoen met het oog op de nationale veiligheid.
Het kabinet zet zich in om te voorkomen dat deze risico’s een bedreiging vormen voor de continuïteit, integriteit en vertrouwelijkheid van de Nederlandse vitale processen, waaronder het landelijke transport, distributie en productie van energie. Om die reden zijn vitale aanbieders op basis van wetgeving, waaronder de Wet bescherming netwerk- en informatiesystemen (Wbni), verplicht tot het treffen van passende maatregelen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht) en worden zij geacht om inzicht te hebben in de risico’s die hun dienstverlening kunnen raken.
In dat kader heeft de Minister van Economische Zaken en Klimaat ondernemingen in deze sector aangewezen als zogenaamde Aanbieders van Essentiele Diensten (AEDs), onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het Agentschap Telecom (AT) houdt toezicht op deze aanbieders. Incidenten met aanzienlijke gevolgen voor de dienstverlening, moeten gemeld worden bij AT en het Nationaal Cyber Security Centrum (NCSC). Ook kunnen deze AEDs andere vrijwillige meldingen doen bij het AT en het NCSC. Het NCSC heeft als primaire taak om vitale aanbieders en Rijksoverheidsorganisaties in geval van dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen te informeren, adviseren en indien nodig bijstand te verlenen.
Daarnaast wordt er in Europees verband nu gewerkt aan een Europese, gedelegeerde verordening over cybersecurity in de elektriciteitssector (Netcode on Cybersecurity). Dit is specifieke Europese regelgeving waarin bindende voorschriften voor cybersecurity worden opgelegd aan entiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet. Op de naleving van deze verplichtingen zal toezicht worden gehouden, door onder andere het AT en de Autoriteit Consument en Markt. Onder deze Netcode kunnen ook entiteiten vallen die omvormers op grote schaal op afstand aansturen, ook wanneer zij zich niet op Europees grondgebied bevinden.

Vraag 4

Hoe beoordeelt u het feit dat China, of andere kwaadwillenden die het systeem kunnen (binnendringen en) beheersen, op deze manier digitale ontwrichting in gang zou kunnen zetten?

Zie antwoord vraag 3.

Vraag 5

Bent u het ermee eens dat dit een gevaar is voor onze nationale veiligheid?

De beschreven casus maakt duidelijk dat IoT apparatuur aan hoge veiligheidsnormen moet voldoen met het oog op onze nationale veiligheid. De antwoorden op vraag 3,4, 6 en 7 gaan in op de wijze waarop veiligheidsrisico’s worden gemitigeerd.

Vraag 6

Wat wordt gedaan de risico’s op korte termijn te beperken? In hoeverre zijn software- of hardwarematige aanpassingen een oplossing?

Internet of Things-apparaten, zoals de omvormers van zonnepanelen die beschreven zijn in het artikel, kunnen een risico vormen voor het elektriciteitsnet als deze slecht beveiligd en grootschalig aan te sturen zijn. Deze omvormers zijn nodig om het elektriciteitssysteem effectief te laten werken. Alle netbeheerders hebben op grond van Elektriciteitswet 1998 de verplichting de veiligheid en betrouwbaarheid van de netten en het transport van elektriciteit over de netten op de meest doelmatige wijze te waarborgen, echter kunnen netbeheerders apparaten achter de elektriciteitsmeter niet zonder meer weren van het elektriciteitsnet. Netbeheerders sluiten huizen, bedrijfspanden en andere onroerende zaken aan op hun elektriciteitsnet, maar kunnen niet zien of toezicht houden op het type apparaten dat binnen een huis of bedrijfspand op een stopcontact zit. Netbeheerders treffen om die reden voorbereidingen voor een eventuele, grootschalige inzet van IoT-apparaten in een cyberaanval, maar kunnen niet voorkomen dat apparaten met dergelijke veiligheidsrisico’s worden aangeschaft en in gebruikt worden genomen binnen een woning of bedrijfspand. Dit betekent dat er eveneens een belangrijke verantwoordelijkheid ligt bij leveranciers en fabrikanten van apparatuur om risico’s voor het elektriciteitsnet te verkleinen (hieronder worden de wettelijke trajecten die gaan gelden voor fabrikanten en leveranciers verder toegelicht).
Om risico’s van deze apparaten te mitigeren, wordt er ingezet op preventie, awareness en aanvullend wetgeving die producten softwarematig maar ook hardwarematig weerbaarder maakt tegen digitale aanvallen en mogelijk misbruik.
In dat kader wordt er op dit moment gewerkt aan verschillende trajecten van Europese wet- en regelgevingen om veiligheidsrisico’s te mitigeren. Onder de Radio Equipement Directive (RED) zijn cybersecurityeisen als markttoegangseisen voor draadloos verbonden apparaten aangenomen. Omvormers vallen ook onder de scope van de RED. 1 augustus 2024 moeten draadloos verbonden apparaten die de Europese markt op komen voldoen aan deze cybersecurityeisen. Apparaten die niet aan de eisen voldoen kunnen vanaf dat moment door AT van de markt worden geweerd en gehaald. In voorbereiding op het van kracht worden van de cybersecurityeisen onder de RED heeft AT naar aanleiding van deze casus een onderzoek ingesteld naar omvormers. Het AT zal het gesprek aan gaan met de desbetreffende fabrikanten hoe verbeteringen van de cybersecurity gerealiseerd kunnen worden.
Daarnaast wordt in het najaar een Europees wetsvoorstel van de Europese Commissie verwacht voor horizontale regulering voor de cybersecurity van ICT-producten en diensten, de Cyber Resilience Act. Nederland zet bij de Cyber Resilience Act in op een zorgplicht voor fabrikanten en leveranciers van alle ICT-producten en diensten in de hele productlevenscyclus. Hiervoor is een non-paper opgesteld en aangeboden aan uw Kamer op 14 december 2021.8 De Markttoezichtverordening (EU) 2019/1020 is van toepassing op de RED (EU) 2014/53. Deze verordening bevat regels en procedures voor marktdeelnemers betreffende producten die onder bepaalde harmonisatiewetgeving van de Unie vallen. Relevant is dat producten die binnen het toepassingsgebied van de RED vallen alleen in de handel mogen worden gebracht als er in de Unie een marktdeelnemer is die onder andere (technische) informatie kan verstrekken aan markttoezichtautoriteiten over het product en medewerking kan verlenen aan corrigerende maatregelen.
Als gevolg van de herziening van de NIS2 zullen meer bedrijven dan op nu in o.a. de energiesector in de toekomst moeten voldoen aan wettelijke verplichtingen voor cybersecurity. Deze verplichtingen bestaan uit een meldplicht voor incidenten en een zorgplicht om risico’s voor de continuïteit van de dienstverlening te beperken. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig zijn van leveranciers. Daarnaast zal de eerder genoemde Netcode on Cybersecurity tevens zorgen voor hogere cybersecurity eisen aan o.a. grootschalig aan te sturen omvormers.
Ten slotte wordt, om de veiligheid van informatiesystemen verder te verbeteren, aan de hand van de leidraad Coordinated Vulnerabilty Disclore (CVD) van het NCSC9 het melden van kwetsbaarheden in software gestimuleerd. Eigenaren van ICT-systemen kunnen op deze manier kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden. Indien het gaat om een complexe kwetsbaarheid die meerdere partijen raakt of als de eigenaar of leverancier niet of onvoldoende reageert, kan het NCSC optreden als bemiddelaar.

Vraag 7

Wat wordt gedaan deze veiligheidsrisico’s in de toekomst te voorkomen?

Zie antwoord vraag 6.

Vraag 8

Wanneer ontvangt de Tweede Kamer het toegezegde onderzoek/scan naar afhankelijkheden van vitale Nederlandse processen van landen met een cyberoffensief?3

Op 5 april 2022 is de motie11 van de leden Rajkowski en Van Weerdenburg aangenomen die het kabinet verzoekt een scan uit te voeren op de aanwezigheid van apparatuur of programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda in de vitale infrastructuur. Op dit moment wordt door het Ministerie van Justitie en Veiligheid, in samenwerking met de betrokken departementen, verkend op welke manier opvolging kan worden gegeven aan de motie. Uw Kamer wordt hierover zo spoedig mogelijk geïnformeerd.

Vraag 9

Bent u het ermee eens dat het zeer onwenselijk is dat Nederland voor haar vitale processen, zoals het stroomnet, deze mate van afhankelijkheid kent zoals in het artikel is omschreven? Zo nee, waarom niet? Zo ja, welke concrete stappen gaat u hiertoe nemen? Welk tijdspad heeft u hiervoor ogen?

Het kabinet is zich bewust van de risico’s met betrekking tot strategische afhankelijkheden en verstoringen in vitale processen en deelt de zorgen ten aanzien van elke ongewenste inmenging van statelijke actoren. Zoals ook in het DBSA, kunnen vitale processen doelwit zijn van voorbereidingshandelingen voor of daadwerkelijke (digitale) verstoring of sabotage. Zoals ook gesteld in het DBSA beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.
De inzet van het kabinet is daarom om risico’s op ongewenste strategische afhankelijkheden te mitigeren en tegelijkertijd het open investeringsklimaat van Nederland te beschermen. Daarnaast wordt, zoals ook gesteld in het antwoord op vraag 2, gewerkt aan een versterkte aanpak voor de bescherming van de vitale infrastructuur. Met een geactualiseerd instrumentarium worden onder andere technologische ontwikkelingen en geopolitieke veranderingen integraal meegewogen in het beoordelen van risico’s en vervolgens bij het nemen van gepaste en proportionele weerbaarheidsverhogende maatregelen. Hierbij worden ook de (intersectorale) afhankelijkheden van vitale processen, specifieke grondstoffen of andere randvoorwaarden meegenomen.

Vraag 10

Werkt u ook aan het voorkomen van afhankelijkheden in onze energievoorziening die ontstaan door de optelsom van veel kleine en vaak decentrale afhankelijkheden, naast het al plaatsvinden van een versterking van het toezicht op de aanbestedingen van Tennet op en aan het hoofdspanningnet?

Ik ben mij bewust van de risico’s die gepaard gaan met deze twee ontwikkelingen. De specifieke risico’s voor de energievoorziening van veel kleine en decentrale eenheden manifesteren zich met name, wanneer deze gezamenlijk en gecoördineerd in worden gezet in het kader van een cyberaanval. Ik verwijs u terug naar de antwoorden op vraag 3,4, 6 en 7 voor een uiteenzetting van de instrumenten en maatregelen gericht op het voorkomen van dergelijke risico’s.
Zoals eerder beschreven hebben netbeheerders een algemene taak om hun netten te beschermen, op grond van Europese regels en zoals vereist in de Elektriciteitsnet 1998 en de Gaswet. Er is al een uitgebreid Europees pakket aan wet- en regelgeving dat invult hoe netbeheerders in algemene zin veiligheidsrisico’s moeten voorkomen en hoe zij de gevolgen van incidenten moeten mitigeren of wegnemen.

Vraag 11

Ziet u ook risico’s voor individuele huishoudens en bedrijven door deze afhankelijkheid ontstaan? Hoe mitigeert u deze risico’s?

Digitale apparaten van individuele huishoudens en bedrijven kunnen in theorie gehackt worden, zeker wanneer deze aan het internet gekoppeld zijn. Dat geldt dus ook voor apparaten waarmee elektriciteit wordt opgewekt (of opgeslagen). De beste manier om zulke risico’s te mitigeren is via cyberveiligheidseisen die aan apparaten worden gesteld. Afronding en implementatie van de eerder genoemde Radio Equipment Directive (RED) en Cyber Resilience Act (CRA) zullen ervoor zorgen dat ook de digitale veiligheid van IOT apparaten van individuele huishoudens en bedrijven verhoogd wordt. De Netcode on Cybersecurity zal daarnaast voorzien in aanvullende cybersecurity eisen voor de elektriciteitssector.

Vraag 12

Zijn er andere energiebronnen waarvoor Nederland afhankelijk is van de Chinese techniek waar u soortgelijke risico’s ziet? Hoe gaat u deze risico’s mitigeren?

Het Rijk heeft niet inzichtelijk in hoeverre welke energiebronnen precies allemaal afhankelijk zijn van Chinese techniek en daarbij is er geen overzicht over alle lopende en aankomende aanbestedingen bij vitale aanbieders.
Wel biedt het Rijk ondersteuning en begeleiding op aanvraag aan vitale aanbieders wanneer zij te maken hebben met een (mogelijk) risicovolle aanbesteding. Hiervoor is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het Rijk kan daarbij ondersteuning bieden.
Met betrekking tot het digitaal veiliger maken van Internet of Things apparatuur, is eerder benoemd welke wetgeving in Europees verband van toepassing is.
Ook bij andere energiebronnen dan elektriciteit maakt internationale handel ons in zekere mate afhankelijk van andere landen. In EU-verband zetten we in op het vergroten van onze veerkracht en op strategische autonomie, onder meer door het diversifiëren en versterken van wereldwijde toeleveringsketens van kritieke grondstoffen12.
De handvatten voor bedrijven zijn onder anderen de Elektriciteitswet 1998 en Gaswet voor netbeheerders, waarin zij een wettelijke taak hebben hun netten te beschermen tegen invloeden van buitenaf. Er is in 2020 door het kabinet, in het licht van de invulling van de eigen vermogensbehoefte van TenneT Duitsland, een nationale veiligheidsanalyse uitgevoerd. Dit heeft geresulteerd in een aantal aanbevelingen tot wijziging van de Elektriciteitswet 1998. De Kamer is hierover geïnformeerd op 19 mei 202113.
Daarnaast is recent de Wet Veiligheidstoets Investeringen, Fusies en Overnames (Vifo) aangenomen. Deze wet voorziet in instrumenten om risico’s voor de nationale veiligheid als gevolg van investeringen, fusies en overnames te mitigeren. Met deze wet kunnen zeggenschapswijzigingen in bepaalde bedrijven ex-ante worden getoetst, waarna eventueel mitigerende maatregelen kunnen worden opgelegd en in het uiterste geval transacties kunnen worden geblokkeerd. De Wet Vifo is van toepassing op vitale aanbieders die buiten bestaande sectorale investeringstoetsen vallen, zoals Elektriciteitswet, de Gaswet en de Telecommunicatiewet, alsmede op beheerders van bedrijfscampussen en ondernemingen actief op het gebied van sensitieve technologie. Gezien de ontwikkelingen in de energiesector zijn er een aantal energie-gerelateerde processen meegenomen in de deze wet. Dit zijn aanbieders van de volgende diensten: warmtetransport, gasopslag, kernenergie en winbare energie. De Wet Vifo treedt naar verwachting begin 2023 in werking zodra de benodigde lagere regelgeving bij de Wet Vifo gereed is.
Tot slot zijn er in de nieuwe Energiewet die deze zomer ter advisering aan de Raad van State is aangeboden, extra mogelijkheden gecreëerd zoals het kunnen toepassen van de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV).
De ADV heeft voorrang op de Aanbestedingswet (Aw) 2012 voor opdrachten die onder het toepassingsbereik van de ADV vallen. De ADV biedt meer mogelijkheden voor het nemen van risico mitigerende maatregelen dan de Aw 2012 in geval van risico’s voor de nationale veiligheid en de bescherming van vitale processen in het bijzonder.

Vraag 13

Lopen er op dit moment aanbestedingen, of worden er binnenkort aanbestedingen gestart, binnen de vitale sector die de afhankelijkheid van Nederland van landen met een offensieve cyberstrategie op onwenselijke wijze zal vergroten?

Zie antwoord vraag 12.

Vraag 14

Bent u het ermee eens dat bij aanbestedingen van vitale Nederlandse processen voorkomen moet worden dat landen met een offensief cyberstrategie deze mate van invloed krijgen vanwege de enorme veiligheidsrisico’s en de kans op mogelijke digitale ontwrichting? Zo ja, welke mogelijkheden ziet u deze afhankelijkheid van deze landen te verminderen om ons land veiliger te maken? Zo nee, waarom niet?

Eind 2018 is een verscherpt inkoop- en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid. Voor aanbestedingen geldt dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Zoals wordt genoemd in antwoord op vraag 12 en 13 is ter ondersteuning van dit beleid een instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen.

Vraag 1

Hoeveel gevallen zijn bekend waarbij onrechtmatige identiteitsbewijzen zijn uitgegeven?1

In mijn brief van 8 juli «Aankondiging van maatregelen ter voorkoming van identiteitsfraude» geef ik aan dat er tientallen gevallen van onrechtmatig verkregen identiteitsbewijzen zijn onderkend en het vermoeden is dat dit aantal waarschijnlijk nog zal oplopen.3

Vraag 2

Van hoeveel ambtenaren is bekend c.q. bestaat het vermoeden dat ze onrechtmatige identiteitsbewijzen hebben uitgegeven? Loopt er een strafrechtelijk onderzoek naar al deze ambtenaren?

Op dit moment lopen er strafrechtelijke onderzoeken naar het valselijk opmaken en uitgeven van paspoorten. Over deze onderzoeken kan ik geen nadere informatie verstrekken.

Vraag 3

Is bekend wat de beweegredenen zijn van ambtenaren die onrechtmatige identiteitsbewijzen hebben uitgegeven? Zo ja, wat zijn de beweegredenen?

Het Openbaar Ministerie geeft aan dat een mogelijke beweegreden geldbejag is. Gebleken is dat criminelen bereid zijn te betalen voor een valselijk opgemaakt paspoort op naam van een ander persoon. Hiermee kunnen zij reizen en transacties uitvoeren terwijl zij onder de radar blijven.

Vraag 4

Welk strafbaar feit wordt ten laste gelegd aan de ambtenaren die onrechtmatige identiteitsbewijzen hebben uitgegeven? Is dit (medeplichtigheid aan) deelname aan een criminele organisatie? Zo nee, waarom niet?

Aan welk(e) feit(en) een ambtenaar die onrechtmatige identiteitsbewijzen uitgeeft zich schuldig heeft gemaakt, kan van geval tot geval verschillen en dient uit nader strafrechtelijk onderzoek te blijken. Zo is voorstelbaar dat een ambtenaar «het valselijk opmaken van een reisdocument of identiteitsbewijs» (artikel 231 Wetboek van Strafrecht) en/of «ambtelijke corruptie» (artikel 363, Wetboek van Strafrecht) ten laste wordt gelegd.

Vraag 5

In welke gemeenten zijn deze onrechtmatige identiteitsbewijzen uitgegeven?

Deze vorm van corruptie beperkt zich in beginsel niet tot een enkele gemeente. Daar waar kwetsbaarheden bestaan in de aanvraag- en afgifteprocedures van paspoorten of zorgvuldigheidsprotocollen aan de balie niet goed worden gevolgd, kan hiervan misbruik worden gemaakt door kwaadwillenden.

Vraag 6

In hoeverre is bij de aanvraag en uitgifte van paspoorten, waarbij is afgeweken van de standaardprocedure, sprake van crimineel handelen, onwenselijk handelen of dienstverlenend handelen? Hoe wordt dit bepaald?

In het merendeel van de gevallen waarbij bij de afgifte van paspoorten is afgeweken van de standaardprocedures, gaat het om fouten/vergissingen/nalatigheden van het baliepersoneel. De achtergrond is soms onoplettendheid, snel moeten/willen zijn, maar kan ook gelegen zijn in het de burger snel en goed ten dienste willen zijn.
Het feit dat voorgeschreven procedures niet altijd juist worden gevolgd binnen een gemeente, maakt het voor corrupte ambtenaren mogelijk gebruik te maken van kwetsbaarheden in deze procedures zonder dat dit direct opvalt. Of sprake is van crimineel handelen door een gemeenteambtenaar zal moeten blijken uit alle feiten en omstandigheden van het strafrechtelijk onderzoek.
In de brief van 8 juli, heb ik toegezegd dat ik de RvIG nader onderzoek naar de procedure-afwijkingen laat doen. Ik verwacht u einde dit jaar, in de brief over de voortgang van de maatregelen nader te kunnen informeren over de uitkomsten van dit onderzoek.

Vraag 7

Is bekend wat de echte identiteit is van diegene die een onrechtmatig identiteitsbewijs hebben verkregen? Zo ja, is ook bekend of deze personen het land zijn ontvlucht door middel van de uitgegeven onrechtmatige identiteitsbewijzen? Gaat het hier om criminelen die actief zijn binnen de georganiseerde misdaad? Zo nee, kunt u hier een toelichting op geven?

Het Openbaar Ministerie geeft aan dat in een aantal gevallen dergelijke valselijk opgemaakte paspoorten in het bezit van zware criminelen zijn aangetroffen terwijl zij – soms in het buitenland – werden aangehouden door de opsporingsautoriteiten. In die gevallen stond het paspoort op naam van een derde (al dan niet een katvanger), maar droeg wel de pasfoto van de crimineel zelf.

Vraag 8

Zijn de Nederlanders wier foto’s zijn gebruikt geïnformeerd over de gepleegde activiteiten? Zo ja, op welke wijze? Zo nee, waarom niet? Welke stappen zijn verder gezet om getroffen Nederlanders te ondersteunen?

Het Openbaar Ministerie geeft aan dat het niet op voorhand duidelijk is of er sprake is van katvangers of van burgers die onwetend zijn ten aanzien van het feit dat hun identiteit is misbruikt. Veelal vormt dit niet de primaire focus van het strafrechtelijk onderzoek dat zich eerder richt op de corrupte ambtenaar of de (criminele) ontvanger van het paspoort.

Vraag 9

Is het kabinet het ermee eens dat Nederlanders wier foto’s zijn gebruikt, bijgestaan moeten worden bij eventuele fraudegevallen? Zo ja, hoe wordt dit vormgegeven? Zo nee, waarom niet?

Als mensen vermoeden dat iemand anders gebruik maakt van een identiteitsbewijs op hun naam dan kunnen ze bij het Centraal Meldpunt Identiteitsfraude terecht voor advies en hulp. Er zijn het afgelopen half jaar geen meldingen gemaakt die wijzen op gebruik van identiteitsbewijzen door criminelen waar het hier over gaat.

Vraag 10

Is het kabinet het ermee eens dat ambtenaren die zich hier schuldig aan hebben gemaakt onder geen enkele omstandigheid aan de slag mogen gaan bij andere gemeentes? Zo ja, welke mogelijkheden ziet u hiervoor om dit te voorkomen? Kunt u ook ingaan op het beroepsverbod? Zo nee, waarom niet?

Gemeenten hebben zelfstandige bevoegdheden op het gebied van personeelsbeleid. Ik wil gemeenten ondersteunen om hun taken goed uit te kunnen oefenen. In de brief van 8 juli heb ik al maatregelen aanbevolen om aandacht aan de integriteit van personeel te geven. Via voorlichting zal ik de gemeenten wijzen op het belang voor hun baliemedewerkers een Verklaring Omtrent het Gedrag (VOG) aan te vragen en referenties bij vorige werkgevers op te vragen. Verder wil ik, zoals in de brief van 8 juli aangekondigd, onderzoeken of en zo ja hoe het invoeren van verplichte certificering en een bijbehorend beroepsregister mogelijk is. Ook dat kan gemeenten helpen in de selectie van hun personeel.

Vraag 11

Is het kabinet het ermee eens dat de «korte termijn» maatregelen die worden voorgesteld in de brief, zoals het vierogen principe, per direct moeten worden ingevoerd? Zo ja, wanneer zijn de werkprocessen aangepast? Zo nee, waarom niet?

Het vierogenprincipe houdt in dat in het aanvraag- en uitgifteproces per fase andere medewerkers worden ingezet, bijvoorbeeld voor het nemen van een besluit tot het verstrekken van een paspoort, en voor het uitreiken van het paspoort. RvIG zal, zoals in de brief is aangegeven, extra inzetten op voorlichting gericht op de adequate naleving van werkvoorschriften voor het proces van aanvraag en uitgifte van documenten en personeelsbeleid. Onderzocht wordt hoe functiescheiding, ook technisch, het beste kan worden ingezet. Niet in alle gevallen (kleine gemeenten bijvoorbeeld) is een strikte functiescheiding haalbaar.

Vraag 1

Bent u bekend het met artikel «Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten en het medisch beroepsgeheim van tientallen huisartsen» van 25 juni 2022 door Follow the Money?1

Ja.

Vraag 2

Is de casus uit dit artikel bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport? Is de casus ook bekend bij de Autoriteit Persoonsgegevens (AP)? Zo ja, sinds wanneer en op welke wijze hebben uw ministerie en de AP opvolging gegeven jegens de betrokken organisaties en huisartspraktijken?

De casus is bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), de melder heeft contact opgenomen met het Ministerie. De Beveiligingsambtenaar (BVA) van VWS heeft o.a. samen met de melder gezocht naar het geschikte loket om deze melding te doen, bv. bij een officier van justitie of het huis voor de klokkenluiders. Daarnaast is de informatie die het Ministerie van VWS ontvangen heeft, gedeeld met relevante externe partners, waaronder de Nederlandse Vereniging van Huisartsen.
De melder heeft aan de BVA van het Ministerie van VWS aangegeven zelf de melding bij de AP te hebben gedaan. Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. De AP beoordeelt of er op een juiste wijze invulling is gegeven aan de meldplicht van art. 33 en art. 34 van de Algemene verordening gegevensbescherming (AVG).

Vraag 3

Staat deze casus op zichzelf of zijn er andere vergelijkbare situaties waarbij patiëntdossiers voor of na onderzoek ongewenst en onbeveiligd inzichtelijk zijn voor (commerciële) organisaties die daar niets mee van doen hebben?

Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. Van belang om aan te geven is dat organisaties, zoals ziekenhuizen, zelf een verantwoordingsplicht hebben om aan te tonen dat ze aan de AVG voldoen. Dit geldt ook wanneer (commerciële) organisaties (een deel van) de gegevens verwerken.
Dat deze zaak niet op zichzelf staat, kan worden opgemaakt uit de Datalekkenrapportage 2021 van de AP. De rapportage geeft aan dat van de 24.866 datalekmeldingen in 2021, 37% afkomstig was uit de sector gezondheid en welzijn.
Bij iedere melding gaat de AP na of betrokkenen zijn geïnformeerd over het datalek en of er voldoende beveiligingsmaatregelen zijn genomen om het datalek te beëindigen en nieuwe datalekken te voorkomen. Het toezicht op de meldplicht datalekken is risicogestuurd, wat betekent dat de intensiteit van het toezicht toeneemt naarmate het datalek grotere risico’s voor de betrokkenen met zich meebrengt. Ook wordt de AP periodiek geïnformeerd door brancheorganisaties NVZ (Nederlandse Vereniging van Ziekenhuizen) en NFU (Nederlandse Federatie van Universitair Medische Centra) over de implementatie, verbetering en naleving van gegevensbescherming en informatiebeveiliging normen van aangesloten ziekenhuizen. Bovendien beoogt de AP via onder andere de jaarlijkse datalekkenrapportage, maar ook de privacyverhalen op de AP website gebaseerd op echte meldingen, het bewustzijn rond de beveiliging van persoonsgegevens te vergroten. Tot slot heeft de Inspectie Gezondheid en Jeugd (IGJ) de bevoegdheid om in het geval van onvoldoende kwaliteit van zorgverlening of wanneer de kans op vermijdbare schade te groot is, door zwakke plekken in het zorgproces, in te grijpen.

Vraag 4

Klopt het dat de in het artikel genoemde activiteiten, zoals het delen en opslaan van dossiers, niet stroken met de huidige wet- en regelgeving en daarmee illegaal zijn? Zo ja, welke vervolgstappen worden er door het Ministerie van Volksgezondheid, Welzijn en Sport en de AP genomen om de data en medische gegevens van servers te halen en ervoor te zorgen dat ongeautoriseerden niet meer bij deze hoog gevoelige data kunnen? Zo nee, welke waarborgen om de privacy van patiënten ontbreken dan in de wet- en regelgeving? Op welke wijze bent u van plan deze te repareren?

In internationale en nationale wetgeving staan regels die betrekking hebben op het beschermen van (medische) gegevens, zoals ook het opslaan en delen van medische gegevens. Zo volgt uit de AVG dat er een grondslag moet zijn voor het verwerken van persoonsgegevens en een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens, zoals gegevens over gezondheid, te verwerken. Ook bepaalt de AVG dat er passende technische en organisatorische waarborgen moeten worden getroffen, zodat de gegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit laatste is in nationale wetgeving nader ingevuld: zorgaanbieders moeten voldoen aan de informatiebeveiligingsnormen NEN 7510, NEN 7512 en NEN 7513. De AP houdt toezicht op de naleving van de AVG.
Daarnaast geldt het medisch beroepsgeheim, dat met zich mee brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Voor degenen die geen medisch beroepsgeheim hebben, maar wel beroepsmatig op de hoogte raken van behandelgegevens van de patiënt, zoal ICT-ers, geldt overigens een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde regels gelden als voor hulpverleners.
De AP heeft mij laten weten eerst te moeten vaststellen wat er in deze zaak is gebeurd voor ze kan bepalen welke vervolgstappen het meest geschikt zijn. Om deze reden heeft de AP vragen gesteld aan Medworq.
Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de software-leverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen.

Vraag 5

Op welke wijze bent u van plan om te voorkomen dat dergelijke praktijken plaatsvinden?

De Staatssecretaris van BZK en ik betreuren dat dit heeft plaatsgevonden en zetten ons in om bijzondere persoonsgegevens goed te (blijven) beschermen. Het is primair aan zorgaanbieders zelf om te zorgen dat voldaan wordt aan de wet- en regelgeving en daar goede voorzieningen voor te treffen. Daar is goede controle op de naleving van de regels noodzakelijk.
Verder zetten wij ons op verschillende manieren in om bewustwording en verbetering van de naleving. Zo ondersteunen wij zorgaanbieders onder meer door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl). Daarnaast helpen wij zorgaanbiedersom de informatiebeveiliging en digitale weerbaarheid te verbeteren. Gezamenlijk met de zorgkoepels werken wij aan een Actieplan Informatieveilig gedrag met als doel om het bewustzijn van informatiebeveiliging in de zorg te verhogen.
Bij ICT-incidenten kunnen aangesloten zorginstellingen rekenen op hulp van Z-CERT. Deze organisatie helpt zorginstellingen bij het bestrijden van dit soort incidenten. Verder wordt met het project «toekomstbestendig maken UZI» ingezet of verbetering van de manier waarop zorgverleners en zorgaanbieders zich identificeren, authentiseren en autoriseren voor het uitwisselen van medische gegevens. Daarnaast wordt onderzocht of de toezicht- en handhavingsbevoegdheden van de IGJ van de eerder genoemde informatiebeveiligingsnormen verduidelijking behoeven.

Vraag 6

Bent u bereid om bij de behandeling en implementatie van het wetsvoorstel Gegevensuitwisseling in de zorg (Wegiz) nogmaals nadrukkelijk aandacht te besteden aan alle benodigde waarborgen, waarschuwingen en sancties ter voorkoming en vermindering van privacyschendingen van patiëntgegevens?

Het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen verwerkingsgrondslag als bedoeld in de AVG is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.
En bij de gegevensuitwisseling dient altijd voldaan te worden aan de waarborgen die gelden op grond van die kaders. Die regelgeving moet natuurlijk goed worden toegepast. Daarom zullen wij bij de ontwikkeling van NEN-normen, waar de Wegiz naar verwijst, benadrukken dat de norm moet verzekeren dat cliënten hun rechten onder de AVG kunnen uitoefenen en informatietechnologieproducten- en diensten aan de AVG voldoen.

Vraag 1

Bent u bekend met het bericht «Overheid schendt eigen regels door cookies van derden toe te laten op websites»1?

Ja.

Vraag 2

Klopt het bericht dat cookies van derden op talloze websites van provincies, gemeenten en aan de overheid gelieerde organisaties te vinden zijn?

Voor een overheidswebsite gelden dezelfde vereisten voor het plaatsen van cookies als voor andere websites. De voorwaarden voor het gebruik van trackingtechnologieën, waaronder cookies, zijn opgenomen in de Europese ePrivacy richtlijn.2 In Nederland is de ePrivacy richtlijn geïmplementeerd in artikel 11.7a van de Telecommunicatiewet. De Telecommunicatiewet staat daarom ook wel bekend als de «Cookiewet». Bij het gebruik van cookies die ook persoonsgegevens verzamelen, zoals bij de tracking cookies het geval is, is ook de Algemene verordening gegevensbescherming van toepassing.
De belangrijkste vereisten voor het plaatsen van cookies zijn dat de bezoeker vrij toestemming heeft gegeven voor de gegevensverwerking en dat de bezoeker tijdig en adequaat is geïnformeerd. Technisch noodzakelijke, functionele en niet-privacy gevoelige analytische cookies hebben echter nauwelijks tot geen gevolgen voor de privacy van de bezoekers van een website. Daarom hoeft bij deze cookies geen toestemming gevraagd te worden. De Telecommunicatiewet maakt daarbij geen onderscheid tussen cookies van de aanbieder van de website en cookies afkomstig van derden.
Op de website «Mag een website ongevraagd cookies plaatsen? | Rijksoverheid.nl» wordt nadere toelichting gegeven over het gebruik van cookies. Hier wordt uiteengezet dat websites toestemming moeten vragen voor plaatsing van cookies. Daarbij geldt een uitzondering voor cookies die geen of weinig inbreuk op de privacy maken, zoals bijvoorbeeld analytische cookies of functionele cookies die nodig zijn om een dienst of webshop te laten functioneren. Voor bijvoorbeeld tracking cookies, die individueel surfgedrag bijhouden en profielen opstellen om bijvoorbeeld gerichte advertenties mogelijk te maken, is wel toestemming nodig voor het plaatsen van cookies. Dergelijke tracking cookies zijn meestal van derde partijen.
Ook op de website van zowel de Autoriteit Consument en Markt (ACM) 3 als de Autoriteit Persoonsgegevens (AP)4 wordt toelichting gegeven. Buiten deze wetgeving zijn er geen specifieke overheidsbrede en/of rijksbrede kaders of richtlijnen voor cookies op overheidswebsites. Het is de verantwoordelijkheid van iedere overheidsorganisatie die een website maakt om in lijn met de wetgeving te handelen.
Omdat ik het belangrijk vind dat de overheidswebsites voldoen aan geldende wet- en regelgeving, zal ik medeoverheden en rijksoverheidsorganisaties per brief wijzen op het belang hieraan te voldoen, en te verzoeken dit voor hun websites na te gaan. In overleg met de medeoverheden zal ik verder met hen verkennen of het wenselijk is een handreiking te ontwikkelen over hoe deze regelgeving ook voor nieuwe websites goed is te implementeren.

Vraag 3

Zo ja, waarom gebruiken provincies, gemeenten en aan de overheid gelieerde organisaties deze cookies van derden?

Zie antwoord vraag 2.

Vraag 4

Aan welke cookie-eisen, met betrekking tot cookies van derden, moet een overheidswebsite voldoen?

Zie antwoord vraag 2.

Vraag 5

Bent u het ermee eens dat cookies van derden niet wenselijk zijn op overheids- en op aan overheid gelieerde websites? Zo ja, welke stappen gaat u ondernemen om deze cookies te weren van overheids- en aan overheid gelieerde websites? Zo nee, waarom niet?

Ik vind het belangrijk dat burgers veilig gebruik kunnen maken van de websites van de overheid, en dat hun privacy daarbij wordt verzekerd. Het plaatsen van trackingcookies door derden staat daarmee op gespannen voet. De overheid moet natuurlijk het goede voorbeeld geven. Het is daarom vanzelfsprekend en noodzakelijk dat overheidswebsites in ieder geval voldoen aan de huidige wetgeving. Daarom zal ik zoals bij het vorige antwoord aangegeven met de medeoverheden een handreiking opstellen voor het goed implementeren van de relevante wetgeving bij overheidswebsites. In het overleg over de handreiking zal ik in overleg met de overheden ook het gesprek aangaan over de wenselijkheid van het gebruik van (tracking) cookies door de overheid.

Vraag 6

In hoeverre acht u het mogelijk om, zoals de onderzoekers voorstellen, de inhoud die overheden nodig hebben op hun websites niet te halen van commerciële sites en media, maar van eigen publieke servers?

Zie antwoord vraag 5.

Vraag 1

Bent u bekend met het bericht «Directie IT-bedrijf Centric stapt op na conflict met eigenaar Sanderink»1?

Ja.

Vraag 2

Kan het opstappen van de complete uitvoerende directie van het IT-bedrijf Centric, de onrust en het jarenlange interne conflict gevolgen hebben voor de continuïteit van de dienstverlening aan de rijksoverheid? Zo ja, welke gevolgen kan dit hebben voor de dienstverlening? Wilt u in uw beantwoording ook gemeenten meenemen, aangezien Centric een grote leverancier is voor gemeenten? Zo nee, waarom niet?

Het volume van opdrachten van de rijksoverheid bij Centric is beperkt. Daar waar we contractuele afspraken met Centric hebben, gaan wij ervan uit dat zij zich daaraan houden. Mocht dat niet zo zijn, dan zal Centric daar door de contractpartners op moeten worden aangesproken.
Vanuit mijn ministerie is er contact geweest met Centric. In dat contact hebben we de verzekering gekregen dat vooralsnog alle contractuele afspraken uitgevoerd kunnen worden.
De VNG staat in goed contact met haar leden en de gebruikersvereniging Centric en staat beide desgevraagd met raad en daad terzijde. Uit de contacten van het bestuur van de gebruikersvereniging Centric met de directie van de divisie Public Sector Solutions van Centric blijkt niet dat de dienstverlening aan de leden en andere overheidsorganisaties op dit moment in gevaar is.

Vraag 1

Bent u bekend het met artikel «Brussel wil Europees patiëntendossier na «succes» QR-code» in de Telegraaf?1

Ja, daar ben ik mee bekend.

Vraag 2

Komt de informatie in het artikel overeen met de informatie die formeel met u is gedeeld? Op welke termijn bent u voornemens deze informatie met de Kamer te delen?

Het artikel gaat over het Europese voorstel voor een Europese ruimte voor gezondheidsgegevens. De Commissie voorstellen zijn publiek bekend gemaakt op 3 mei jl. op de website van de Commissie2 en ik heb daar kennis van genomen. De Kamer zal volgens de informatieafspraken geïnformeerd worden door het kabinet over de appreciatie van de voorstellen middels een BNC fiche.

Vraag 3

Is dit aangekondigde voornemen van de Europese Commissie de reden dat u verzocht heeft de parlementaire behandeling van het wetsvoorstel Wet elektronische gegevensuitwisseling in de zorg (Wegiz) uit te stellen? Zo ja, bent u het ermee eens dat het nogal voorbarig is om een vergevorderd en benodigd Nederlands wetsvoorstel te vertragen door dit ontijdige en ongewenste idee van de Europese Commissie?

Ja, de aankondiging van de Europese Commissie om op 3 mei jl. een voorstel te publiceren voor een Europese ruimte voor gezondheidsgegevens is de aanleiding voor het (tijdelijk) uitstellen van de behandeling van de Wegiz. Ik vind het namelijk belangrijk dat in de voorbereiding op de plenaire behandeling van de Wegiz ook rekening wordt gehouden met deze Europese ontwikkeling.

Vraag 4

Bent u het ermee eens dat een Europees patiëntendossier geen enkel urgent en groot Europees probleem oplost? Zo nee, voor welk urgent en groot Europees probleem is dit idee dan wel een oplossing? Zo ja, bent u bereid die mening zowel informeel als formeel met uw Europese collega’s te delen?

De doelstelling van het Europese voorstel is dat er rechten worden gecreëerd voor burgers zodat zij meer controle kunnen uitoefenen op het verlenen van toegang en het delen van hun eigen gezondheidsgegevens voor de verlening van zorg alsook het gebruik ervan voor wetenschappelijk onderzoek, innovatie en beleid. Om de burgers in staat te stellen deze rechten uit te oefenen dienen aan een aantal aspecten te worden voldaan. Deze aspecten worden verder uitgewerkt in de het voorstel waarin het ingaat op de beschikbaarheid van gezondheidsgegevens bij de verlening van zorg (primair gebruik), zodat de juiste zorg op de juiste plek op het juiste moment kan worden gegeven overal in de EU. Hierbij wordt uitgegaan van een federatief infrastructuur genaamd MyHealth@EU waar de data bij de bron wordt gelaten. In dit voorstel wordt niet gesproken over een Europees patiëntendossier noch over (Europese) centrale opslag.
Verder worden in het voorstel maatregelen opgenomen die erop toezien dat elektronische medische dossier systemen voldoen aan de eisen omtrent (product)veiligheid en interoperabiliteit ter bescherming van de burger maar ook zodat zij beter in staat worden gesteld om hun rechten over de controle over hun eigen gezondheidsgegevens uit te oefenen.
Daarnaast bouwt het voorstel verder op de mogelijkheden die in de AVG worden geboden voor het hergebruiken (secundair gebruik) van gezondheidsgegevens voor wetenschappelijk onderzoek, innovatie en beleid en stelt regels op die specifiek gericht zijn op de zorgsector.
De Kamer zal volgens de informatieafspraken geïnformeerd worden door het kabinet over de appreciatie van de voorstellen middels een BNC fiche.

Vraag 5

Kunt u aangeven wat op dit moment het Europees krachtenveld is omtrent dit voorstel?

Een inschatting van het Europees krachtenveld is een integraal onderdeel van de BNC fiche welke met de Kamer zal worden gedeeld volgens de informatieafspraken.