Vraag 1

Kunt u de correspondentie met Twitter met betrekking tot de «aanvraag voor review van accounts die mogelijk nepnieuws verspreiden» van 7 april 2020 (zoals blijkt uit beantwoording op vragen van het lid Van Houwelingen over communicatie tussen Nederlandse ministeries, op 20 april 2023 naar de Kamer is verstuurd) met de Kamer delen?

Ja. De opgevraagde e-mail stuur ik uw Kamer hierbij als bijlage met deze beantwoording toe. Daarbij geef ik graag een korte toelichting over de context waarin de e-mail is verzonden. Ook om te illustreren hoe zorgvuldig daarbij gehandeld is:
Een aantal van de gemelde accountnamen heb ik omwille van de privacy van de mensen achter die accounts gelakt. Die accounts, of de bio’s ervan, bevatten persoonsgegevens waardoor ze herleidbaar zijn tot een persoon. Omdat ik maximale transparantie wil betrachten heb ik de accounts die ik niet direct heb kunnen herleiden tot personen niet gelakt.

Vraag 1

Bent u bekend met het bericht «Steekspel rond mysterieuze datadiefstal; Bedrijven delen data van klanten met hun leveranciers, maar hoe veilig is dat?»?1

Ja.

Vraag 2

Kunt u een update geven van het datalek bij Nebu en het aantal klanten en bedrijven en organisaties dat in Nederland getroffen is?

Op dit moment is het onduidelijk hoeveel klanten, bedrijven en organisaties in Nederland zijn getroffen door het datalek. Wel is bekend dat een van de klanten van Nebu, marktonderzoeker Blauw, een kort geding is gestart tegen Nebu. In dat kort geding heeft Blauw nadere informatie van Nebu gevorderd over de aanval, de gevolgen ervan en de door Nebu getroffen maatregelen. Ook heeft zij om een onafhankelijk forensisch onderzoek gevraagd. De voorzieningenrechter heeft in het vonnis van 6 april 2023 een groot deel van de vorderingen van Blauw toegewezen. Nebu moet Blauw uitgebreid informatie verschaffen over het datalek en vragen van Blauw beantwoorden. Daarnaast moet Nebu een onafhankelijk forensisch onderzoek naar het datalek laten uitvoeren.
Ten aanzien van Rijksoverheidsorganisaties is het volgende bekend. Binnen de rijksoverheid zijn voor zover bekend 16 organisaties geraakt, een aantal daarvan maken gebruik van meerdere bureaus voor marktonderzoek. De geraakte rijksorganisaties zijn het Ministerie van Economische Zaken en Klimaat, de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO), de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het Ministerie van Onderwijs, Cultuur en Wetenschap, de Koninklijke Bibliotheek, de Huurcommissie (DHC), de Dienst Publieke Communicatie (DPC) en de Raad voor Rechtsbijstand (RvR).
Betrokkenen binnen de rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer, (telefonische) enquêteresultaten/inhoud onderzoek. Waar relevant is melding gedaan bij de Autoriteit Persoonsgegevens. De omvang van het datalek varieert per organisatie. Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, emailadres en de resultaten van een onderzoek.
Met het antwoord op deze vraag wordt tevens tegemoetgekomen aan de toezegging uit het debat Informatiebeveiliging bij de overheid met de Staatssecretaris van Koninkrijksrelaties en Digitalisering van 5 april 2023 om de Tweede Kamer te informeren over het onderzoek naar getroffenen bij de rijksoverheid van het datalek bij Nebu.

Vraag 3

Klopt het dat een bedrijf of (overheids)organisatie zelf verantwoordelijk is voor de data die een klant met het bedrijf deelt, ook als het bedrijf die data met een externe partij deelt?

Ja, dat klopt. In de Algemene Verordening Gegevensbescherming (AVG) wordt een onderscheid gemaakt tussen de rol van «verwerkingsverantwoordelijke» en de rol van «verwerker».
Het bedrijf dat of de (overheids)organisatie die het doel en de middelen van een verwerking van persoonsgegevens bepaalt, is de «verwerkingsverantwoordelijke».
De verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van persoonsgegevens in overeenstemming met de AVG. Dit omvat ook de verplichting om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.
In de praktijk schakelen veel verwerkingsverantwoordelijken andere partijen in om voor hen persoonsgegevens te verwerken. Een dergelijke partij is de «verwerker». Ook verwerkers moeten passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen, maar de verwerkingsverantwoordelijke blijft (eind)verantwoordelijk voor de naleving van de AVG.

Vraag 4

Wie is er volgens u aansprakelijk voor dit datalek? Is dat het bedrijf aan het begin van de keten die klantdata deelt of de externe partij bij wie het lek plaatsvindt?

Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd.
De rollen van verwerkingsverantwoordelijke en verwerker zijn omschreven in de AVG, maar partijen kunnen in een (verwerkers)overeenkomst nadere of andere afspraken maken over de aansprakelijkheid bij bijvoorbeeld een datalek. Partijen die betrokken zijn bij een datalek kunnen zich eventueel wenden tot de civiele rechter om de aansprakelijkheid en de omvang daarvan te laten vaststellen. In de vaststelling van aansprakelijkheid is geen rol voor de overheid weggelegd. Het is dan ook niet aan mij om hierover uitspraken te doen.

Vraag 5

Deelt u de mening dat het gevaar op datalekken vooral in de keten zit van partijen die samenwerken met bedrijven zoals IT-leveranciers, onderzoeksbureaus en andere partijen met wie (klant)data wordt gedeeld?

(Overheids)organisaties en bedrijven dienen de bepalingen die betrekking hebben op hun privacyrechtelijke rol van verwerkingsverantwoordelijke of verwerker uit de AVG na te leven, waaronder de bepalingen die zien op het beveiligen van persoonsgegevens. In de praktijk komt het voor dat de verwerker een sub-verwerker inschakelt voor de verwerking van (een deel van de) persoonsgegevens. Hiermee ontstaat de keten verwerkingsverantwoordelijke – verwerker – sub-verwerker. De AVG schrijft voor dat verwerkingsverantwoordelijke en verwerker afspraken dienen te maken over de verwerking van persoonsgegevens, maar ook dat de verwerker afspraken moet maken met de sub-verwerker voor de verwerking van persoonsgegevens, waaronder de beveiliging van persoonsgegevens.
Een verwerkingsverantwoordelijke of verwerker kan er bewust voor kiezen (een deel van de) verwerkingen uit te besteden aan een (sub-)verwerker met meer expertise op het gebied van onder meer beveiliging. Ook kan het voorkomen dat een (sub-)verwerker gecertificeerd is op het gebied van informatiebeveiliging terwijl de verwerkingsverantwoordelijke of verwerker die de sub-verwerker inschakelt, dit niet is. Het inschakelen van een andere partij biedt in een dergelijk geval voordelen. Ook wanneer de ingeschakelde (sub-)verwerker niet over een bepaalde expertise of certificering beschikt, betekent dit niet dat daarom de kans op datalekken toeneemt. Iedere ingeschakelde (sub-)verwerker dient immers de verplichtingen uit de AVG na te leven, waaronder het treffen van voldoende passende maatregelen om de persoonsgegevens te beschermen.
In zijn algemeenheid kan aldus niet worden gesteld dat het gevaar op datalekken vooral zit in de keten van partijen.

Vraag 6

Welke verantwoordelijkheid hebben bedrijven en (overheids)organisaties volgens u om digitaal verantwoord ondernemen in de keten te waarborgen?

Er zijn wettelijke kaders die reguleren hoe organisaties en bedrijven met bepaalde gegevens moeten omgaan. In de AVG zijn verschillende beginselen opgenomen die gelden bij iedere verwerking van persoonsgegevens.
Een van die beginselen is dat persoonsgegevens moeten worden verwerkt op een manier dat door het nemen van passende technische of organisatorische maatregelen een passende beveiliging ervan is gewaarborgd en dat persoonsgegevens onder neer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Ieder bedrijf en elke (overheids)organisatie die onder het toepassingsbereik van de AVG valt, dient uitvoering te geven aan dit beginsel door invulling te geven aan alle verplichtingen voor die partij zoals opgenomen in de AVG, zoals de verplichting om persoonsgegevens te beveiligen.
Binnen de kaders van de wet is het de eigen verantwoordelijkheid van bedrijven om hun weerbaarheid te verhogen. De overheid kan deze verantwoordelijkheid niet overnemen. Wel zet het Digital Trust Center («DTC») zich op verschillende manieren in om bedrijven te helpen met verantwoord digitaal ondernemen. Het DTC stimuleert en faciliteert ondernemers om zelfstandig of in samenwerkingsverband aan de slag te gaan met het verbeteren van hun cyberweerbaarheid. De doelgroep van ruim twee miljoen ondernemers in de zogenoemde «niet vitale» sectoren is zeer uiteenlopend. Via het DTC helpt het Ministerie van Economische Zaken en Klimaat deze ondernemers om hun digitale veiligheid te verhogen. Om bedrijven te informeren, deelt het DTC via website en social mediakanalen laagdrempelige kennis, informatie en advies over digitaal veilig ondernemen waar ondernemers zelf mee aan de slag kunnen. Ondernemers kunnen via verschillende tools inzicht krijgen in de cyberweerbaarheid van hun bedrijf, en kunnen via een zelfscan inventariseren in welke risicoklasse ze vallen. De uitkomsten van deze scans kan een bedrijf delen met een IT-dienstverlener, ketenpartners of een verzekeraar.
Om de digitale weerbaarheid in de keten te verhogen zet het DTC in op samenwerking. Via een landelijk dekkend netwerk van samenwerkingsverbanden worden bedrijven gestimuleerd de cyberweerbaarheid te vergroten en de risico’s in de keten te verkleinen. In een cyberweerbaarheidsnetwerk werken ondernemers samen met andere organisaties aan het vergroten van de cyberweerbaarheid, binnen en tussen niet-vitale branches, sectoren en regio's. Het DTC stimuleert deze samenwerkingsverbanden in niet-vitale sectoren en kan in bepaalde gevallen ook ondersteunen door middel van een subsidie.
De DTC Community is een online community waarbij ondernemers zich vrijblijvend kunnen aansluiten. Deze omgeving biedt ondernemers de kans om, in een besloten omgeving, actuele en relevantie informatie over cybersecurity uit te wisselen. De DTC Community stimuleert op deze manier informatie-uitwisseling tussen ondernemers en cyberprofessionals. Meldingen van bedrijfsspecifieke kwetsbaarheden waar het DTC kennis van heeft, deelt het direct met betrokken bedrijven. Dit biedt bedrijven de mogelijkheid om snel te reageren en mitigerende maatregelen te treffen. In 2023 zijn al ruim 13.000 notificaties naar Nederlandse bedrijven verzonden over digitale kwetsbaarheden.

Vraag 7

Schiet de huidige regelgeving niet tekort als een externe partij waar een datalek plaatsvindt niet meewerkt aan onderzoek en geen informatie deelt over het datalek? Hoe kan een externe partij gedwongen worden om informatie te delen, zodat consumenten weten waar zij aan toe zijn? Deelt u de mening dat de consument in dit geval onvoldoende wordt beschermd?

De verwerkingsverantwoordelijke is op grond van de AVG verplicht een melding te doen van een datalek bij de nationale toezichthouder (de Autoriteit Persoonsgegevens), tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In sommige gevallen moet de verwerkingsverantwoordelijke het datalek ook melden aan de betrokkenen. Voor het doen van deze melding(en) heeft de verwerkingsverantwoordelijke informatie nodig over de omvang en de aard van het datalek. Als het datalek bij een verwerker heeft plaatsgevonden, is de verwerker de aangewezen partij om de verwerkingsverantwoordelijke in te lichten. De verwerker is dat ook verplicht op grond van de AVG.
Naast deze wettelijke verplichting die op de verwerker rust, worden er in de praktijk vaak afspraken gemaakt in de verwerkersovereenkomst over de wijze waarop de verwerker de informatie aan de verwerkingsverantwoordelijke dient te verschaffen en binnen welke termijn. Omdat de termijn waarbinnen de verwerkingsverantwoordelijke de melding aan de gegevensautoriteit moet doen slechts 72 uur bedraagt nadat de verwerkingsverantwoordelijke kennis geeft genomen van het datalek, worden doorgaans ook korte termijnen aangehouden in de verwerkersovereenkomst. Partijen kunnen in de overeenkomst afspreken dat wanneer een partij de contractuele afspraken schendt, deze partij boetes moet betalen aan de andere partij.
Indien de verwerker desondanks het voorgaande geen informatie verstrekt, kan de verwerkingsverantwoordelijke zich wenden tot de civiele rechter. Afhankelijk van de door de verwerkingsverantwoordelijke ingestelde vorderingen, kan de civiele rechter bepalen dat de verwerker nadere informatie moet verschaffen over de aard en de omvang van het datalek. De civiele rechter kan een dergelijke veroordeling versterken met fikse dwangsommen. Gelet op het bovenstaande is geen reden om te veronderstellen dat het huidig kader tekortschiet.

Vraag 8

Zijn er regels voor bedrijven ten aanzien van het bewaren van klantgegevens binnen het bedrijf of bij een externe partij? Zo nee, waarom niet?

De AVG bepaalt dat persoonsgegevens niet langer mogen worden bewaard dan nodig voor het doel waarvoor ze verzameld zijn. In de AVG zijn geen concrete bewaartermijnen omschreven omdat dit in zijn algemeenheid niet mogelijk is; daar wordt in de praktijk invulling aan gegeven. De verwerkingsverantwoordelijke kan met inachtneming van de regels van de AVG dus zelf bewaartermijnen vaststellen. In sommige gevallen zijn wel wettelijke bewaartermijnen voorgeschreven. Een medisch dossier moet door een zorgverlener bijvoorbeeld 20 jaar bewaard worden op basis van de Wet op de geneeskundige behandelingsovereenkomst.
Is geen sprake van een wettelijke bewaartermijn, dan legt de verwerkingsverantwoordelijke zelf vastgestelde bewaartermijnen op aan de externe partij (de verwerker). De verwerker mag niet zelf bepalen hoe lang de persoonsgegevens van de verwerkingsverantwoordelijke worden bewaard.
In de AVG is bepaald dat na afloop van de verwerkingsdiensten door de verwerker, de verwerker alle persoonsgegevens moet wissen of aan de verwerkingsverantwoordelijke moet terugbezorgen. Ook moeten alle kopieën door de verwerker worden gewist. Naast deze wettelijke plicht kunnen verwerkingsverantwoordelijke en verwerker in de verlichte verwerkersovereenkomst nadere afspraken maken over de bewaartermijnen. Partijen kunnen bijvoorbeeld afspreken dat bij het schenden van de contractuele afspraken ten aanzien van de bewaartermijnen, contractuele boetes zullen worden verbeurd.

Vraag 9

Hoe zorgt u ervoor dat in ieder geval binnen de overheid altijd wordt samengewerkt met partijen die hun informatiebeveiliging op orde hebben?

De overheid mitigeert risico’s door het uitvoeren van een zorgvuldig inkoopproces. Met geselecteerde (keten)partijen wordt vervolgens een verwerkersovereenkomst of overeenkomst gegevensdeling overeengekomen. In deze overeenkomsten worden de afspraken vastgelegd hoe een (keten)partij de persoonsgegevens dient te beschermen, welk beveiligingsniveau met elkaar is overeengekomen en hoe een (keten)partij moet handelen in geval van een datalek.

Vraag 10

Klopt het dat er Europese regelgeving aankomt, zoals de Digital Operational Resilience Act en de Netwerk- en Informatiebeveiligingsrichtlijn 2, die ervoor zorgen dat er meer eisen aan de beveiliging van klantdata gesteld worden? Zo ja, om welke regels gaat het en hoe zorgt dit ervoor dat data-uitwisseling tussen bedrijven en (overheids)organisaties en externe partijen in de keten beter wordt beveiligd?

Europese regelgeving, zoals de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS-2) en de Digital Operational Resilience Act, stelt nadere eisen aan de beveiliging van netwerk- en informatiesystemen. Zij hebben echter betrekking op specifieke en vast gedefinieerde sectoren en organisaties. Daarmee zorgen ze er niet voor dat in generieke zin er nadere eisen aan de beveiliging van klantdata worden gesteld.

Vraag 1

Herkent en erkent u de kritiek van honderden techprominenten dat er onvoldoende oog is voor de mogelijke maatschappelijke ontwrichtende effecten die kunstmatige intelligentie toepassingen met zich mee brengen? Kunt u uw antwoord uitgebreid toelichten?1

Het is uiteraard belangrijk dat er aandacht is voor de impact die de inzet van (krachtige) AI-systemen op onze samenleving kan hebben. Het afgelopen half jaar heeft de aandacht voor met name generatieve AI-systemen daarbij een enorme vlucht genomen.
Enerzijds maakt het karakter van deze technologie het mogelijk om als zeer geavanceerd hulpmiddel taken uit handen te nemen of te vergemakkelijken en bij te dragen aan maatschappelijke opgaven, anderzijds heeft het de potentie om bij te dragen aan desinformatie of manipulatie. Deze ongewenste, en in sommige gevallen potentieel ontwrichtende, effecten zijn zorgwekkend. Het tempo waarin deze technologie zich ontwikkelt brengt daarnaast onzekerheden met zich mee en daarbij bestaan er nog vraagtekens.
De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) schrijft in haar rapport «opgave AI» dat effecten van (nieuwe) AI op publieke waarden niet vooraf te voorspellen zijn.2 Het is daarom belangrijk dat er in de maatschappij een continu debat gevoerd wordt en dat de overheid structureel signalen uit de samenleving ophaalt en uitgaat van een lerende aanpak. Momenteel wordt er daarom gewerkt aan het ontwikkelen van een visie op generatieve AI, naar aanleiding van een motie van de leden Dekker-Abdulaziz en Rajkowski.3 Ik informeer uw Kamer nog voor de zomer over de vorderingen. Deze visie zal open tot stand komen en zullen burgers, bedrijven en overheden actief worden gevraagd om bij te dragen aan dit traject.
Tegelijkertijd zet het kabinet zich in om de reeds bekende risico’s van AI te adresseren, in de eerste plaats via regulering. Naast al bestaande voor AI relevante wet- en regelgeving (zoals de AVG en de Grondwet) richt de Europese AI-verordening – die op dit moment nog in onderhandeling is – zich specifiek op een aanscherping van het reguleren van AI-systemen in de Europese Unie. De AI-verordening is productwetgeving, opdat AI systemen pas op de markt komen als aan de eisen van de verordening is voldaan. In de concept AI-verordening4 zijn AI-systemen onderverdeeld in verschillende categorieën. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen. Het merendeel van de eisen geldt voor AI-systemen met hoge risico’s voor gezondheid, veiligheid en mensenrechten.
Daarnaast blijft het kabinet zich inzetten op het stimuleren van mensgerichte AI. Dit gebeurt onder andere door te investeren in de ontwikkeling van oplossingen voor verantwoorde en veilige AI via onder meer de ELSA-labs5 en het ROBUST-programma.6 Naast het weren van negatieve AI-toepassingen, moeten we positieve AI-toepassingen blijven omarmen.

Vraag 2

Bent u het eens met de stelling dat de maatschappelijke vraagstukken die voortkomen uit de toepassing van kunstmatige intelligentie niet bepaald moeten worden door techbedrijven maar een maatschappelijk en politiek debat verdienen? Vindt u dit maatschappelijke en politieke debat tot op heden voldoende gevoerd? Kunt u uw antwoord uitgebreid toelichten?

Ja, ik kan mij vinden in de stelling dat maatschappelijke vraagstukken die voortkomen uit AI-toepassingen een brede maatschappelijke dialoog verdienen. Daarbij onderstreep ik dat het debat zowel maatschappelijk als politiek hierover momenteel op veel verschillende manieren wordt gevoerd.
Door de recente ontwikkelingen op het gebied van AI is de aandacht voor AI in het publieke debat sterk toegenomen. Dit is bijvoorbeeld merkbaar aan de grote (social) media-aandacht voor het onderwerp. Het maatschappelijk debat over de impact van AI op onze samenleving wordt echter al langere tijd gevoerd. Hierbij is aandacht voor zowel de enorme kansen die met een technologie als AI gemoeid gaan, alsook de risico’s. Zo is er afgelopen jaren veel aandacht geweest voor onderwerpen als transparantie, bias en het belang van menselijk toezicht op AI. Deze signalen zijn actief meegenomen in het nationale AI-beleid.
Om zicht te houden op nieuwe maatschappelijke vraagstukken en risico’s van AI is het van groot belang het gesprek hierover met verschillende partijen te blijven voeren. Deze maatschappelijke dialoog staat ook centraal bij het in 2023 komen tot een (kabinets)visie op generatieve AI, waarbij een stevig maatschappelijk debat over de maatschappelijke impact van (generatieve) AI met burgers, overheden en bedrijven zal worden gevoerd en als belangrijke input fungeert.
Hier ligt ook een brede en gedeelde verantwoordelijkheid, ook bij aanbieders en gebruikers van AI, wetenschappers, onderwijsinstellingen, burgers en overheden. En daar zet het kabinet zich vol voor in, bijvoorbeeld via de Nederlandse AI Coalitie. Via dit publiek-private samenwerkingsverband werken overheid, bedrijfsleven, onderwijs- en onderzoeksinstellingen en maatschappelijke organisaties in gezamenlijkheid aan maatschappelijk verantwoorde AI-toepassingen.
Daarnaast is de (aankomende) AI-verordening een directe reactie op de in de maatschappij gesignaleerde risico’s. De Europese Unie pakt met deze verordening de regie rondom de maatschappelijke vraagstukken rondom AI. Dit geldt ook voor een aantal andere Europese wetten, zoals de Digital Markets Act en de Digital Services Act. Bedrijven mogen alleen (digitale) producten en diensten leveren op de Europese markt als deze veilig zijn en mensenrechten respecteren.

Vraag 3

Kunt u de concrete uitwerking van het waardenkader sturen, naar aanleiding van aangenomen motie Leijten en Ceder? Zo nee, wanneer kan de Kamer deze concrete uitwerking verwachten?2

Met uw Kamer deel ik de behoefte aan één duidelijk waardenkader dat toegepast kan worden in digitalisering in alle sectoren. Tegelijkertijd constateer ik dat er al meerdere waardenkaders zijn die tegelijkertijd gelden. Zo zijn de waarden die wij als maatschappij van fundamenteel belang achten vastgelegd in de Grondwet. Hierbij valt te denken aan non-discriminatie, privacy en vrijheid van meningsuiting. De bescherming van deze waarden is uitgewerkt in wetgeving. De AVG ziet bijvoorbeeld toe op de bescherming van persoonsgegevens. Op basis van deze wet- en regelgeving zijn er diverse handreikingen opgesteld om organisaties te helpen deze waarden ook in de praktijk te beschermen. Voorbeeld hiervan zijn de Impact Assessment Mensenrechten Algoritmen (IAMA),8 de handreiking non-discriminatie by design en de Code Goed Digitaal Openbaar Bestuur (CODIO)9.
Welke publieke waarden een rol spelen in concrete situaties is (mede) afhankelijk van de sector en het specifieke geval. Zo is de hierboven genoemde CODIO voor digitalisering in het openbaar bestuur opgebouwd als een bouwwerk dat bestaat uit drie fundamenten: (1) democratie, (2) rechtstaat en (3) bestuurskracht; zes principes: (1) participatie, (2) maatschappelijke waarde, (3) mensenrechten, (4) procedurele rechtvaardigheid, (5) bestuurskwaliteit en (6) verantwoordelijkheid; en 30 specifieke waarden. De code biedt een rijkheid aan waarden maar ook drie heldere ankerpunten: democratie, rechtstaat en bestuurskracht. De vraag die in het openbaar bestuur wordt gesteld ziet minder op een aanvullend waardenkader dan op handreiking bij de toepassing van alle bestaande kaders. Daarom ontwikkel ik bijvoorbeeld een implementatiekader «verantwoorde inzet van algoritmes» met daarin alle verplichte en aanbevolen onderdelen waarmee rekening moet worden gehouden bij het ontwikkelen en inzetten van algoritmes.
Tegelijkertijd heb ook ik de behoefte om de bestaande waardenkaders in samenhang te beschouwen en te verbinden. In de brief over het implementatiekader, die u nog voor de zomer van mij ontvangt, zal ik aangeven hoe we daartoe willen komen.

Vraag 4

Kunt u zich vinden in de oproep van de techprominenten om een pauze in te lassen met betrekking tot het gebruik van vergaande kunstmatige intelligentie en kunt u in uw antwoord betrekken hoe zich dit verhoudt tot het normenkader dat moet worden opgesteld door de Autoriteit Persoonsgegevens en dat nog niet ontwikkeld is?

Ik herken zorgen die genoemd worden in de oproep van techprominenten en het is goed dat zij daarvoor aandacht vragen.
De oproep richt zich echter in grote mate op toekomstige ontwikkelingen, terwijl we nu al impact zien van generatieve AI. Daarbij gaat het bijvoorbeeld om desinformatie en gevolgen voor het onderwijs. Deze gevolgen worden niet opgelost met een pauze. Het is daarom van belang om ook nu al actie te nemen.
Op de korte termijn werkt het kabinet aan adresseren van die gevolgen.10 Het kabinet werkt ook aan een integrale visie op generatieve AI naar aanleiding van een motie11 van uw Kamer.
Daarnaast is de oproep een steun in de rug voor de Nederlandse en Europese aanpak om tot mensgerichte AI te komen. Zoals in antwoord 1 beschreven, investeren we in het veiliger kunnen maken van AI-systemen en stellen gaan we via de AI-verordening eisen stellen om deze veiligheid te waarborgen.
In Nederland werken we ook aan het versterken van toezicht op algoritmes en AI. Diverse toezichthouders hebben met AI en algoritmes te maken. De DCA bij de AP richt zich vanaf januari 2023, conform de doelen in de inrichtingsnota algoritmetoezichthouder, op het komen tot gezamenlijke en sectoroverstijgende normuitleg.12 Bijvoorbeeld over transparantieverplichtingen in wet- en regelgeving. Ook faciliteert de AP het gezamenlijk uitleggen van juridische normen en kaders op het gebied van algoritmes en AI. Dit moet bijdragen aan het scheppen van duidelijkheid aan ondertoezichtgestelden – bijvoorbeeld bedrijven of overheden – over hoe en aan welke normen zij moeten voldoen als het gaat om de (verantwoorde) inzet van AI. Naast deze inspanningen van de DCA zal het kabinet het toezicht op basis van de AI verordening vormgeven zodra deze definitief tot stand is gekomen. Bij de voorbereiding, die nu al loopt zijn diverse toezichthouders betrokken.

Vraag 5

Kunt u aangeven welke adviescolleges, instanties of andere gremia de overheid en bestuurders adviseren over de ethische aspecten van het gebruik van kunstmatige intelligentie en nieuwe digitale toepassingen?

Bij de ontwikkeling en het gebruik van AI en nieuwe digitale toepassingen wint de overheid advies in over de ethische aspecten van een breed scala aan organisaties, bedrijven en personen, waaronder de wetenschap en het maatschappelijk middenveld. Recente voorbeelden daarvan zijn onderzoeken van het Rathenau Instituut en de WRR. Deze organisaties worden ook betrokken bij het opstellen van de kabinetsvisie op generatieve AI.
Onderdelen van de rijksoverheid en andere (mede-)overheden hebben daarnaast ook zelf adviesorganen voor de ethische aspecten van het gebruik van AI en digitale toepassingen. Voorbeelden daarvan zijn de Commissie Data Ethiek van het UWV en de Adviescommissie Analytics bij het Ministerie van Financiën en ethische commissies bij gemeenten en provincies.

Vraag 1

Bent u bekend met het bericht «NS waarschuwt honderdduizenden klanten over mogelijk lekken van persoonsgegevens»?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Wat is uw reactie op het feit dat de privégegevens van honderdduizenden klanten op deze manier op straat zijn komen te liggen?

Ik betreur dat persoonsgegevens van NS-klanten mogelijk onderdeel zijn van een hack bij een betrokken partij bij reizigerstevredenheidsonderzoeken. De privacy van reizigers die hun medewerking verlenen aan deze onderzoeken, moet beschermd zijn.

Vraag 3

Is inmiddels bekend op welke wijze de gegevens op straat zijn beland? Komt dit door een hack bij de softwareleverancier of door onzorgvuldige beveiliging van de persoonsgegevens?

Marktonderzoeker Blauw is door NS ingeschakeld voor het uitvoeren van verschillende reizigerstevredenheidsonderzoeken. Subverwerker Nebu uit Wormerveer levert het softwareplatform waarop Blauw haar onderzoeken uitvoert. Nebu is, volgens Blauw, gehackt en tijdens die hack is alle data van klanten en onderzoeken gedownload (geëxfiltreerd). Het is echter nog niet zeker welke data precies zijn gelekt en of ook NS-data onderdeel waren van het datalek.

Vraag 4

Het datalek is volgens de berichtgeving niet ontstaan bij NS zelf, maar bij een softwareleverancier van het ingehuurde marktonderzoeksbureau dat klanttevredenheidsonderzoek doet in opdracht van NS. Kunt u aangeven welke afspraken NS maakt met externe partijen, teneinde de veiligheid van klantdata te maximeren?

Om de veiligheid van klantdata te beschermen, sluit NS met externe partijen een verwerkersovereenkomst. Daarin worden ook afspraken gemaakt over het inschakelen van een subverwerker.
Dit heeft NS ook met marktonderzoeksbureau Blauw gedaan. Deze verwerkersovereenkomst is afgesloten conform artikel 28 lid 3 AVG. In deze verwerkersovereenkomst zijn afspraken gemaakt over de verwerking van persoonsgegevens door Blauw en de beveiliging van persoonsgegevens. Ook zijn in deze verwerkersovereenkomst afspraken gemaakt over de inschakeling van een subverwerker door Blauw.

Vraag 5

Wat is de wettelijke grondslag op basis waarvan persoonsgegevens zijn verwerkt door NS, het marktonderzoeksbureau en diens softwareleverancier?

In het Privacystatement op de website van NS2 is beschreven welke grondslag van toepassing is (zie onder «Marktonderzoek en wetenschappelijk onderzoek»). NS hanteert voor het NS panel onderzoek en het reizigersonderzoek de grondslag «toestemming» en voor het contactbelevingsonderzoek en overige klantonderzoeken de grondslag «gerechtvaardigd belang».

Vraag 6

Is er op enig moment een DPIA (data protection impact assessment) uitgevoerd voordat de gegevensverwerking tot stand werd gebracht? Zo nee, waarom niet?

NS heeft mij laten weten dat er een DPIA is uitgevoerd door NS. Deze verwerking is opgenomen in het register van verwerkingen van NS.

Vraag 7

Wist de NS op elk moment wie er van de softwareleverancier inzage had in de persoonsgegevens die werden verwerkt? Zo nee, wat vindt u daarvan?

NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen. Hieraan zijn evenwel specifieke condities verbonden. Bij NS is niet bekend welke medewerkers van Nebu inzage hebben (gehad) in persoonsgegevens.

Vraag 8

Vindt u dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen? Zo ja, waarom? Zo neen, waarom niet?

De Algemene Verordening Gegevensbescherming (AVG) verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven. De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze zorgvuldigheidsnormen is voldaan. Wanneer voor de verwerking een externe partij wordt ingeschakeld, dan moeten diens taken in een overeenkomst worden vastgelegd. De genoemde zorgvuldigheidsnormen zijn ook dan onverkort van toepassing. Het ontbreekt dan ook niet aan regels omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen.

Vraag 9

Wat gaat u doen om te voorkomen dat kritieke data van klanten in de toekomst zonder strenge regels door externe partijen wordt gebruikt?

Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt. De Autoriteit Persoonsgegevens (AP) heeft daarnaast een voorlichtende taak. Het Ministerie van Justitie en Veiligheid zorgt dat de AP beschikt over voldoende financiering voor de uitvoering van alle taken die samenhangen met de AVG, zo ook deze. In het Coalitieakkoord is daarom extra budget voor de AP opgenomen.

Vraag 1

Wat is de reden dat u in uw brief aan de Kamer van 8 maart 2023 specifiek niet «China» benoemde met betrekking tot de uitgebreide exportcontrole van halfgeleiders?

Het Nederlands exportcontrolebeleid is landenneutraal. Bij de beoordeling van een exportvergunningaanvraag wordt per geval een afweging gemaakt en getoetst op het aanvullend strategisch kader voor exportcontrole (Kamerstuk 22 054, nr. 376), waarbij gekeken wordt naar onder meer de eigenschappen van het te exporteren product, de toepasbaarheid van het product, de eindgebruiker en het land van bestemming.

Vraag 2

Is er een mogelijkheid dat Nederlandse productieapparatuur van halfgeleiders via tussenhandelaren en tussenlanden alsnog in handen kan komen van China? Kunt u uw antwoord toelichten?

Het risico op doorgeleiding naar een andere eindgebruiker is onderdeel van de beoordeling voor een vergunningaanvraag. Als hierover gerede twijfels zijn, kan de aanvraag worden afgekeurd. Bovendien geldt bij geavanceerde productieapparatuur voor halfgeleidertechnologie dat gebruikers deze systemen niet zomaar op een andere plek kunnen installeren. Dit is onder meer vanwege de omvang en complexiteit van de systemen en de technische vereisten voor de installatielocatie. Ook zullen er te allen tijde medewerkers uit Nederland betrokken zijn om de machine in te regelen en te laten werken. Daar zijn exportvergunningen voor benodigd.

Vraag 3

Hoe gaat u voorkomen en controleren dat Nederlandse chipmachines niet via-via alsnog in handen komen van China, bijvoorbeeld via andere landen en bedrijven waarmee China een vriendschappelijke band heeft?

Zie antwoord vraag 2.

Vraag 4

Bent u voorstander van het opzetten van een internationale samenwerking tussen gelijksoortige landen die chipmachines produceren, bijvoorbeeld gelijkvormig aan de Organization of the Petroleum Exporting Countries (OPEC)? Zo nee, waarom niet?

Er is reeds een internationaal forum voor het bespreken van exportcontrole op (opkomende) technologie in multilateraal verband: het Wassenaar Arrangement. Nederland is hier lid van. Daarnaast spreekt Nederland uitvoerig met diverse landen die een sterke positie hebben in de halfgeleiderwaardeketen en/of specifieke productieapparatuur hiervoor, zoals de Verenigde Staten, Japan, Zuid-Korea en EU-lidstaten.

Vraag 5

Lopen andere chipproducerende landen zoals Duitsland gelijk met Nederland wat betreft exportbeperking van chiptechnologie aan China?

De Nederlandse industrie maakt unieke producten in de halfgeleiderwaardeketen en daarom speelt Nederland hier een leidende rol. De exportcontrolemaatregel die Nederland op 8 maart aan uw Kamer heeft aangekondigd, ziet alleen op Nederlandse technologieën. Daarbij streeft Nederland, zoals ook in de brief genoemd, naar Europese inbedding van nationale besluiten, dus er is intensief contact met Europese partners. Conform artikel 9 en 10 van de Dual Use Verordening zal Nederland de Europese Commissie en de lidstaten over de nationale controlemaatregel informeren, waarna andere lidstaten deze kunnen overnemen.

Vraag 6

Waarom gaat Nederland «per geval» exportvergunningaanvragen beoordelen? Creëert een heldere scheidslijn niet meer duidelijkheid en zorgt een beoordeling «per geval» niet juist voor veel grijze gebieden waardoor Nederlandse chiptechnologie uiteindelijk op onwenselijke plekken kan eindigen?

Het Nederlandse exportcontrolebeleid is erop gericht om (inter)nationale veiligheid te waarborgen, maar de risico’s op ongewenst eindgebruik zijn niet gelijk bij elke transactie naar hetzelfde land. Daarom maakt de overheid altijd en voor iedere vergunningaanvraag een zorgvuldige afweging voorafgaand aan elke individuele uitvoer.

Vraag 7

Betekent uw uitspraak dat u exportvergunningen «per geval» gaat verlenen dat elke vergunning een soort «internationale koehandel» wordt waarin ook per geval onderhandeld moet worden?

Nee. Elke aanvraag voor een exportvergunningaanvraag wordt op eigen merites en in nationaal verband beoordeeld.

Vraag 8

Voor hoelang geldt deze exportbeperking?

Bij de aankomende ministeriële regeling is geen einddatum voorzien. In algemene zin kan worden gesteld dat het altijd mogelijk is om een ministeriële regeling in te trekken, indien de noodzaak voor de regeling is komen te vervallen.

Vraag 9

Welke andere stappen kan Nederland nog nemen om de exportbeperking te verbreden, bijvoorbeeld door niet alleen geavanceerde chiptechnologie in te perken maar ook de meer gangbare technologie?

Bij exportcontrole van geavanceerde productieapparatuur voor halfgeleidertechnologie is het voor Nederland van belang dat onnodige verstoringen in de waardeketens voor gangbare technologie worden voorkomen. De keuze voor additionele controlemaatregelen wordt zo zorgvuldig en precies mogelijk (chirurgisch) gemaakt en is daarom gericht op specifieke apparatuur. Wanneer blijkt dat de export van meer gangbare technologieën mogelijk een negatieve impact heeft op (inter)nationale veiligheid, zal het kabinet overwegen om aanvullende maatregelen te nemen. Daarbij houdt Nederland wel rekening met een internationaal gelijk speelveld.

Vraag 10

Kunt u deze vragen beantwoorden alvorens 4 april 17:00 (vanwege het ingeplande commissiedebat China op 5 april)?

De vragen zijn zo spoedig als mogelijk beantwoord.

Vraag 1

Kent u het bericht «Identiteitsfraude: Energiedirect scherpt beleid aan op aandringen van Radar»?1

Ja.

Vraag 2

Beschikt u over gegevens waaruit blijkt hoe vaak het in Nederland voorkomt dat met behulp van het gebruik maken van identiteitsgegevens van een ander online contracten worden afgesloten of goederen worden gekocht? Zo ja, wat zijn die gegevens? Zo nee, bent u bereid dit te onderzoeken?

De gevraagde gegevens over fraude met identiteitsgegevens worden niet centraal verzameld, daarom ontbreken algemene cijfers. Fraudecasussen zijn ook vaak complex en kunnen tegelijk uit meerdere fenomenen bestaan (zoals kopie identiteitskaart misbruikt en/of nepprofiel aangemaakt en vervolgens bestelling op naam gedaan). Bij het vermoeden van identiteitsfraude kunnen burgers contact leggen met de organisatie waar hun gegevens misbruikt zijn of aangifte doen bij de politie of zich melden bij het Centrale Meldpunt voor Identiteitsfraude (CMI). Daarnaast zijn er gegevens uit de tweejaarlijkse Fraudemonitor van het Openbaar Ministerie.
Bij het CMI zijn de volgende gegevens bekend: het CMI heeft in 2022 in totaal 6.151 (6.397 in 2021) meldingen geregistreerd. 1.096 (1.759 in 2021) van deze meldingen betroffen specifiek het fenomeen «bestelling op naam», waarbij gegevens van een burger misbruikt worden voor bestellingen bij diverse organisaties. Specifiek over het afsluiten van energiecontracten op naam zijn 23 meldingen gedaan in 2022 (49 in 2021).
In de tweejaarlijkse Fraudemonitor wordt door het Openbaar Ministerie verslag gedaan van het aantal opsporingszaken (verdachten) voor identiteitsfraude in het algemeen. De Fraudemonitor over de jaren 2021 en 2022 wordt naar verwachting rond de zomer door het Openbaar Ministerie gepubliceerd en zal vervolgens door de Minister van Justitie en Veiligheid aan de Tweede Kamer worden aangeboden. Het ging in 2019 om 655 verdachten van ID-fraude en om 118 verdachten van ID-fraude via internet. In 2020 ging het om 480 verdachten van ID-fraude en 145 verdachten van ID-fraude via internet2. De Fraudemonitor bevat geen nadere uitsplitsing naar ID fraude in verband met het afsluiten van energiecontracten.

Vraag 3

Is er verband tussen het grootschalig hacken of stelen van onlinegegevens van Nederlanders en online identiteitsfraude? Zo ja, waar bestaat dat verband uit en hoe vaak komt het voor dat er met deze gegevens gefraudeerd wordt? Zo nee, kunt u dit verband uitsluiten?

Ja. Bij het inbreken in bepaalde systemen (computervredebreuk) kunnen grote hoeveelheden persoonsgegevens wederrechtelijk worden overgenomen. De aard en hoeveelheid van de gegevens kunnen sterk verschillen. Bepaalde gegevens kunnen worden gebruikt voor het plegen van diverse vormen van fraude, waaronder online identiteitsfraude. Er zijn gevallen bekend waarbij zeer grote hoeveelheden persoonsgegevens zijn overgenomen en vervolgens online zijn aangeboden. Daardoor worden deze gegevens voor veel kwaadwillenden bereikbaar en neemt het risico op misbruik voor fraude fors toe. Er zijn echter geen kwantitatieve gegevens bekend hoe vaak fraude wordt gepleegd met gegevens die na inbraak in systemen zijn verkregen.

Vraag 4

Deelt u de mening dat consumenten, die slachtoffer van online identiteitsfraude zijn en dus niet zelf een overeenkomst hebben gesloten, dit niet zelf zouden moeten aantonen, maar dat het aan de ondernemer is bij wie een overeenkomst is gesloten om aan te tonen dat die overeenkomst met de desbetreffende consument is gesloten? Zo ja, hoe is de geldende wet- en regelgeving dienaangaande en behoeft die aanpassing? Zo nee, waarom deelt u die mening niet?

Artikel 150 van de Wet van Burgerlijke Rechtsvordering stelt dat de partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, de bewijslast daarvan draagt. Dat betekent in dit geval dat een ondernemer die betaling eist voor een overeenkomst, moet kunnen bewijzen dat hij die daadwerkelijk met de desbetreffende consument heeft gesloten.
In het bericht van Radar wordt verwezen naar identiteitsfraude bij een energieleverancier. Wanneer consumenten een geschil hebben met een energieleverancier kunnen zij terecht bij de Geschillencommissie. Alle energieleveranciers die leveren aan consumenten zijn wettelijk verplicht om hierbij aangesloten te zijn.

Vraag 5

Deelt u de mening dat ondernemers die onlinegoederen of diensten aanbieden zelf moeten zorgen dat er op een laagdrempelige wijze de identiteit van een klant wordt geverifieerd, bijvoorbeeld door het online betalen van 1 eurocent? Zo ja, waarom en welke (andere) mogelijkheden ziet u voor zich? Zo nee, waarom niet?

In het antwoord op vraag vier is toegelicht dat de ondernemer die de betaling eist voor een overeenkomst de bewijslast draagt. Het is daarom denkbaar dat ondernemers binnen de grenzen die de wet op dit moment biedt, in specifieke situaties ervoor kiezen om een verificatiemethode toe te passen. Hierbij kan gedacht worden aan overeenkomsten waar bijvoorbeeld voor consumenten grotere bedragen zijn gemoeid.
De 1-cent methode waar naar wordt verwezen in deze vraag kan een optie zijn. Het is echter niet wenselijk dat deze methode bij elke aankoop wordt ingezet. Er zijn namelijk gevallen bekend waarbij fraudeurs op online handelsplaatsen ook met die methode fraude plegen. De Fraudehelpdesk wijst op dit risico en hoe hiermee om te gaan.3
Een andere mogelijkheid binnen de wet is het vragen van een handtekening. Dit kan tot gevolg hebben dat sommige overeenkomsten niet per direct gesloten kunnen worden. Hier staat tegenover dat een handtekening via het identiteitsbewijs geverifieerd kan worden in het geval de consument aangeeft de overeenkomst niet zelf gesloten te hebben.
Ten aanzien van de energiesector, waar naar wordt verwezen in het bericht van Radar, ontvangt de Tweede Kamer naar verwachting voor de zomer een brief van de Minister voor Klimaat en Energie over de Energiewet. Daarin wordt o.a. de nieuwe gegevensuitwisselingsentiteit in de energiesector toegelicht.
Het is in het algemeen onwenselijk dat ondernemers meer gegevens dan noodzakelijk ontvangen van burgers. Zoals bij het antwoord op vraag drie is toegelicht, kan deze informatie juist gebruikt worden voor het plegen van fraude, als wordt ingebroken in de systemen van ondernemers.

Vraag 6

Deelt u de mening dat als ondernemers zelf meer de identiteit van hun onlineklanten gaan verifiëren dat daarmee misdaad en onnodige belasting van de politie en andere actoren in de strafrechtketen kan worden voorkomen? Zo ja, waarom? Zo nee, waarom niet?

Voor elke vorm van fraude en oplichting geldt dat de meeste winst te behalen is met het vergroten van het bewustzijn van risico’s en met preventieve maatregelen om slachtofferschap zo veel mogelijk te voorkomen. In het geval van identiteitsfraude bij consumentenaankopen is het ook belangrijk dat ondernemers zich bewust zijn van identiteitsverificatie, mede omdat de bewijslast bij hen ligt (zie antwoord op vraag vier). Ondernemers die zijn opgelicht kunnen dit melden en aangifte doen bij de politie. Informatie is belangrijk voor de opsporing om snel zicht te krijgen op de aard, omvang en handelwijze van oplichting. Het informeren van ondernemers over identiteitsverificatie kan op verschillende manieren; algemene informatieverstrekking en sectorspecifiek wanneer aanvullende eisen worden gesteld aan identiteitsverificatie.
Ten aanzien van algemene informatie ondersteunt het CMI voornamelijk slachtoffers van identiteitsfraude met informatie en concreet advies, maar levert ook een bijdrage aan bewustwording en preventie van identiteitsfraude met presentaties, workshops en andere voorlichtingsactiviteiten. Ondernemers kunnen in het fysieke en in het digitale domein controle en verificatie toepassen om te voorkomen dat ook zij slachtoffer worden van oplichters die zich schuldig maken aan identiteitsfraude. Het CMI kan met organisaties meedenken over of en hoe er kans is op identiteitsfraude met de buitgemaakte gegevens. Daarnaast kan het CMI meedenken over hoe getroffen organisaties de slachtoffers van een hack of datalek kunnen informeren. Zo is het CMI te gast geweest bij meerdere online bijeenkomsten van de contactcentra van grote woningcorporaties. Tijdens deze bijeenkomsten heeft het CMI de medewerkers geïnformeerd en geadviseerd hoe zij konden antwoorden op mogelijke vragen van verontruste burgers/klanten.

Vraag 7

Bent u bereid om met ondernemersverenigingen en brancheorganisaties in overleg te treden om laagdrempelige wijzen van identiteitsverificatie te bevorderen? Zo ja, wilt u de Kamer van de uitkomst van dat overleg op de hoogte stellen? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 1

Kunt u reflecteren op het artikel «Rapidus Official Calls US Semiconductor Regulations Too Aggressive, Calls for Cooperation between Korea, Japan» van Business Korea van 10 maart 2023?1

Dit Koreaanse krantenartikel betreft de halfgeleidermarkt in Azië. Mede gezien de geringe link met het Nederlandse beleid terzake, vind ik het niet op mijn pad liggen op dit Koreaanse krantenartikel te reageren.

Vraag 2

Wat is uw reactie op de uitspraak van Yasumitsu Orii, senior bestuurslid van Rapidus (een joint venture dat vorig jaar is opgericht door acht Japanse conglomeraten, waaronder Toyota, Sony, Softbank, Kioxia en NTT, om een sterke lokale industrie voor geavanceerde halfgeleiders op te zetten gesteund door de Japanse overheid) dat «Amerikaanse regelgeving eerder de Japanse semiconductor-industrie heeft verzwakt. Maar nu de Verenigde Staten weer via regelgeving proberen om wereldwijd dominant in halfgeleiders te worden, moeten Korea en Japan wel samenwerken om te reageren op deze stappen van de VS»?

Zie antwoord vraag 1.

Vraag 3

Hoe plaatst u deze opmerking in het licht van de onderhandelingen tussen de VS, Japan en Nederland over maatregelen om de export van geavanceerde chiptechnologie naar China te beperken?

Op 8 december 2022 en 8 maart 2023 heeft u vertrouwelijke briefings gehad met ambtenaren over dit onderwerp. Zoals ook gemeld in het antwoord van 8 november 2022 op Kamervragen van VOLT, kan ik niet in details treden over gesprekken over dit onderwerp met partnerlanden. Voor het overige verwijs ik graag naar mijn brieven aan uw Kamer op 8 maart jl. en 1 december 2022.

Vraag 4

Welke garantie heeft u dat Japan meedoet met de maatregelen die de VS, Japan en Nederland hebben afgesproken?

Net als Nederland gaat Japan over zijn eigen beleid. Op 31 maart jl. heeft het Ministry of Economy, Trade and Industry (METI) een lijst van items gepubliceerd die het onder exportcontrole wil laten brengen. Het gaat hier om geavanceerde productieapparatuur voor halfgeleiders.
Inhoudelijk is er veel gelijkgezindheid tussen Europa, VS en partnerlanden in de Indo-Pacific wat betreft het belang dat we onze nationale veiligheid schragen met passende maatregelen op halfgeleiderterrein. Tijdens mijn recente ontmoeting met Minister Nishimura in Japan heb ik het belang van samenwerking op het gebied van exportcontrole benoemd. Maar ook Japan maakt hier uiteindelijk een eigen afweging.

Vraag 5

Eerder stond Japan achter de maatregel om de export van EUV-machines naar China te verbieden, omdat deze maatregel enkel ASML trof, de grote concurrent van Japanse lithografiebedrijven. Hoe treffen de nieuwe maatregelen Japanse bedrijven?

Door Nederland ingestelde exportcontrolemaatregelen zijn alleen gericht op export vanuit Nederland. Over de Nederlandse maatregelen bent u in de brief van 8 maart jl. geïnformeerd.

Vraag 6

Is het mogelijk dat Japan enkel akkoord gaat met de maatregelen die haar Nederlandse concurrenten treffen en de maatregelen die Japanse bedrijven hard treffen, negeert?

Zie antwoord op vraag 4.

Vraag 7

Welke gevolgen heeft dat voor de concurrentiepositie van de Nederlandse chiptechnologiebedrijven?

Zie antwoord vraag 6.

Vraag 8

Bent u bereid de exportmaatregelen voor Nederlandse chiptechnologiebedrijven in te trekken als de Japanse regering enkel de maatregelen invoert die de Japanse bedrijven nauwelijks raken?

Nee. Het kabinet maakt hierin een eigen afweging van belangen en in de Kamerbrief van 8 maart is deze afweging met uw Kamer gedeeld.

Vraag 1

Bent u bekend met de berichten: «Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen», en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland»?1, 2

Ja.

Vraag 2

Is bekend of meer Nederlandse ziekenhuizen of zorginstellingen slachtoffer zijn (geweest), of doelwit zijn van ransomware-aanvallen waarbij patiëntgegevens en gegevens van (zorg)medewerkers zoals foto’s en persoonsinformatie buit zijn gemaakt? Om hoeveel gevallen gaat het? Welke stappen zijn gezet om de schade voor patiënten zo veel mogelijk te beperken?

De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen slachtoffer geweest van ransomware-aanvallen. Uit het dreigingsbeeld cybersecurity van het Computer Emergency Response Team voor de zorg (Z-CERT) blijkt dat er in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen zijn geregistreerd door Z-CERT.3 In het jaar 2021 betrof dit ook vijf geregistreerde ransomware incidenten. In 2023 is er voorlopig sprake van twee genoteerde incidenten.4 Het is mij niet bekend bij hoeveel van deze incidenten er gegevens van patiënten of (zorg-)medewerkers zijn ontvreemd.
Zorgaanbieders die geraakt worden door ransomware kunnen (technische) experts inzetten om de gevolgen van het incident te beperken. Zorgaanbieders die zijn aangesloten bij Z-CERT kunnen hierbij rekenen op ondersteuning door Z-CERT. Het is daarnaast van belang dat zorginstellingen contact opnemen met de betrokken patiënten of medewerkers om hen te informeren over de gevolgen die het incident voor hen heeft, en in overleg met de ICT-leverancier maatregelen treffen ten behoeve van de informatieveiligheid.

Vraag 3

Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden? In hoeverre wordt de zorgsector hierbij ondersteund door Z-CERT? In hoeverre wordt Z-CERT ook actief benaderd en betrokken door de zorgsector zelf wanneer het gaat om bijstand bij cyberaanvallen? Is Z-CERT ook in het verleden betrokken geweest bij cyberaanvallen op Nederlandse ziekenhuizen en andere zorginstellingen? Zo ja, wat was hun rol?

Zorginstellingen nemen maatregelen om de gevolgen van cyberaanvallen te beperken en zo spoedig mogelijk te mitigeren. Deze maatregelen vloeien voort uit hun verantwoordelijkheden en zijn uitgewerkt in wettelijk verplicht gestelde normen voor informatiebeveiliging in de zorg. Dit betreft de NEN7510, 7512 en 7513. Kern hierbij is de NEN 7510 norm, die met name voorschrijft dat zorginstellingen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid. De aanvullende normen NEN 7512 en 7513 zien er daarnaast op toe dat er wordt voldaan aan eisen voor veilige gegevensuitwisseling en logging.
Op dit moment zijn meer dan 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Z-CERT voorziet hun deelnemers van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een zorginstellingen ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Z-CERT heeft dit in het verleden ook gedaan, bijvoorbeeld tijdens de recente DDoS-aanvallen op Nederlandse ziekenhuizen. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen zorginstellingen informatie over incidenten met elkaar delen. Z-CERT monitort daarnaast actief op signalen van incidenten bij haar deelnemers. Ook scant Z-CERT op internet naar kwetsbare systemen bij de deelnemers en informeert deze daarover om zo mogelijke incidenten te voorkomen.
Het Ministerie van VWS ondersteunt het gefaseerd aansluiten van de gehele zorgsector op basis van een risicogebaseerde aansluitstrategie, zodat steeds meer zorginstellingen deelnemer worden van Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector.

Vraag 4

Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?

Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Het Ministerie van VWS zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. In de brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik u hier nader over geïnformeerd.5 In 2019 is het Ministerie van VWS het project informatieveilig gedrag gestart. Via dit project werkt het ministerie aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. De methode is uitgewerkt in een Wegwijzer, waarin manieren zijn opgenomen om informatie veilig gedrag in de zorg te bevorderen. Hierin wordt onder andere ingegaan op welke interventies mogelijk zijn om te voorkomen dat (zorg)medewerkers slachtoffer worden van phishing.
Daarnaast heeft Z-CERT een publicatie over phishing gemaakt waarin maatregelen en een handelingsperspectief beschreven worden.6 Deze publicatie is terug te vinden op website van Z-CERT en is door Z-CERT verspreid onder haar deelnemers. Hierin staan naast bewustwordingsmaatregelen ook technische maatregelen die zorginstellingen kunnen toepassen om beter beschermd te zijn tegen phishing.

Vraag 5

Welke maatregelen neemt Z-CERT om de cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen?

Z-CERT biedt hun deelnemers een breed pakket aan diensten om hun cybersecurity bewustwording en weerbaarheid te verhogen. Zoals ik in mijn antwoord op vraag 3 heb aangegeven gaat het hierbij onder andere om het verspreiden van dreigingsinformatie, adviseren over preventieve maatregelen en het ondersteunen bij het mitigeren van de impact van een cyberaanval. Concreet gaat het bijvoorbeeld om adviezen over hoe te reageren op een ransomwareaanval, en hoe e-mailstandaarden en monitoring te implementeren.7 Z-CERT helpt hun deelnemers daarnaast bij het organiseren van cybercrisisoefeningen, en Z-CERT informeert deelnemers geregeld over cyberbewustwordingsonderwerpen. Op de website van Z-CERT is eveneens een kennisbank te vinden met daarin documentatie die informatie bevat over verschillende thema’s. Het doel van deze publicaties is om het zorgveld cyberweerbaar en cyberbewust te maken. Deze informatie is voor iedereen toegankelijk.

Vraag 6

Hoe hoog wordt het dreigingsniveau van eventuele aanvallen door cybercriminelen op Nederlandse ziekenhuizen en zorginstellingen, maar ook breder dan deze sector, geschat? Hoe beoordeelt u de digitale weerbaarheid van Nederlandse sectoren in vergelijking met de huidige toenemende digitale dreiging waar Nederland nu mee te maken heeft? Welke maatregelen worden op dit moment in Nederland genomen om weerstand te bieden aan deze toenemende dreiging, ook in aanloop naar de implementatie van de NIS2?

In het dreigingsbeeld cybersecurity 2022 geeft Z-CERT per type cyberdreiging voor het zorgveld een risico-inschatting. Zo wordt het dreigingsniveau met betrekking tot de impact van ransomware-aanvallen op Nederlandse ziekenhuizen en zorginstellingen aangemerkt als «hoog».8
In het meest recente Cybersecuritybeeld Nederland staat genoteerd dat er sprake is van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid.9 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het kabinet zich daarom hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse Cybersecuritystrategie (NLCS), zodat deze scheefgroei geadresseerd wordt.10 In het actieplan van de NLCS staan de maatregelen waarmee deze ambities worden gerealiseerd en wie daarvoor verantwoordelijk is.

Vraag 7

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van onder andere Black Cat en Qilin hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Inmiddels zijn acht personen en vier entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen op de sanctielijst van de EU geplaatst. Op de sanctielijst staan onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast kregen personen en entiteiten uit China en Noord-Korea sancties opgelegd. Op dit moment wordt de Cyber Diplomacy Toolbox herzien, met als doel daadkrachtiger op te kunnen treden tegen ontwrichtende cyberoperaties, hier speelt Nederland wederom een actieve rol in. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 8

Hoe gaat u er zorg voor dragen dat de KopieID-app van de rijksoverheid, waarmee identiteitsbewijzen veilig gekopieerd, verstuurd en getraceerd kunnen worden, meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn?

Vanaf juni dit jaar wordt de KopieID-app extra onder de aandacht gebracht. Dat zal gebeuren via social media, advertorials en bij bibliotheken waar de Informatiepunten Digitale Overheid zijn. De KopieID-app zelf zal in juni ook gebruiksvriendelijker zijn dan de huidige app. Zo is de app straks in meer talen te gebruiken en kunnen documenten automatisch worden herkend zodat men niet meer zelf met de vinger onderdelen onzichtbaar hoeft te maken te maken. De app herkent dan ook documenten als de Sédula, de identiteitskaarten die gebruikt worden in het Caribisch deel van het Koninkrijk.

Vraag 9

Hoe kan er zorg voor gedragen worden dat «vervuilde data», zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?

De kopieën van de identiteitsbewijzen in het artikel en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland» waren van werknemers. Die kopieën worden gemaakt als iemand in dienst treedt bij een werkgever. Werkgevers zijn verplicht om deze kopieën, zonder doorgestreepte elementen, te bewaren. Dat moet tot vijf jaar nadat een werknemer weg is bij deze werkgever. Het komt dus voor dat er terecht kopieën worden bewaard van identiteitsbewijzen die inmiddels zijn verlopen. Werkgevers dienen kopieën van oud-werknemers niet onnodig lang te bewaren. Of en hoeveel kopieën onnodig worden bewaard, is onbekend.11

Vraag 10

Ziet u mogelijkheden om, in het kader van de toenemende internationale cyberdreiging, aanvullende maatregelen te nemen op de korte termijn om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten? Zo ja, welke concrete maatregelen bent u bereid te treffen? Zo nee, waarom niet?

Zoals in het antwoord op vraag 6 is aangegeven staan in het actieplan van de NLCS alle acties die het kabinet uit zal voeren om de algehele digitale weerbaarheid van de maatschappij te versterken. Hierin vindt u dus ook welke concrete maatregelen op korte termijn getroffen (zullen) worden. Een voorbeeld van belangrijke maatregelen die de digitale weerbaarheid op korte termijn zullen vergroten is het bieden van meer zicht op cyberincidenten, -dreigingen en -risico’s aan organisaties door meer en efficiëntere informatie-uitwisseling. Daarnaast wordt er dit jaar geoefend met het Landelijk Crisisplan Digitaal middels de nationale oefening ISIDOOR.
Het actieplan 2022–2023 van de NLCS is het startpunt. Het actieplan wordt jaarlijks geactualiseerd, waardoor adequaat ingespeeld kan worden op de snelle ontwikkeling van het cybersecurity domein en bijgestuurd kan worden als hier aanleiding toe is. De komende jaren geeft het kabinet samen met medeoverheden, bedrijfsleven en wetenschap invulling aan de noodzakelijke vervolgstappen richting een digitaal veilig Nederland.

Vraag 11

Herinnert u zich de eerdere schriftelijke vragen over de Pro-Russische DDoS-aanval op Nederlandse ziekenhuizen? Kunt u toezeggen deze en bovenstaande schriftelijke vragen te beantwoorden vóór het aanstaande commissiedebat Cybercrime d.d. 30 maart 2023?3

Ja.

Vraag 1

Kunt u uitleggen hoe het kan dat Microsoft ondanks het ontbreken van een vergunning toch doorbouwt? Wat gaat u hieraan doen?1

Het college van gedeputeerde staten van de provincie Noord-Holland is het bevoegd gezag voor vergunningverlening, toezicht en handhaving (VTH) op het gebied van de Wabo (bouwen) en de Wet natuurbescherming (stikstof) als het gaat om de bouw en ingebruikname van het datacentrum van Microsoft. De omgevingsdienst Noordzeekanaalgebied en de omgevingsdienst Noord-Holland Noord voeren deze taken namens hen uit.
De provincie geeft aan dat de start van de bouwwerkzaamheden door Microsoft is toegestaan op basis van twee gedoogbeslissingen2 die de omgevingsdienst Noordzeekanaalgebied heeft genomen. Het gaat om een gedoogbeslissing om te mogen starten met bouwen en een gedoogbeslissing om te mogen starten met bouwen van een onderstation ten behoeve van het datacentrum. De provincie geeft aan dat een beslissing tot gedogen alleen wordt genomen als er concreet zicht is op legalisatie (in dit geval het verlenen van de omgevingsvergunning). Dit is in lijn met de landelijke handhavingsstrategie3.
De omgevingsvergunning is inmiddels op 19 april jl. verleend. De vergunning is nog niet onherroepelijk. De provincie geeft aan dat het risico van het bouwen, vooruitlopend op de onherroepelijke omgevingsvergunning, bij Microsoft ligt. Dat risico is dat bijvoorbeeld de bouw wordt stilgelegd, indien de vergunning door de rechter wordt vernietigd. De keuze om in die situatie te gaan handhaven en op welke manier ligt bij het bevoegd gezag (provincie Noord-Holland).

Vraag 2

Erkent u dat een voorkeursbehandeling het draagvlak en het vertrouwen in de overheid schaadt, omdat regels dan niet voor iedereen lijken te gelden? Hoe gaat u dit voorkomen?

Voor alle partijen, zowel burgers als bedrijven, gelden dezelfde juridische kaders. Zodoende wordt elk beoogd project getoetst aan dezelfde wet- en regelgeving. De beslissingen in het proces van vergunningverlening zijn openbaar. Voor zover ik dat kan beoordelen heb ik niet de indruk dat Microsoft een voorkeursbehandeling krijgt ten opzichte van andere bedrijven en burgers. Zoals toegelicht in mijn antwoord op vraag 1 zijn gedeputeerde staten van de provincie Noord-Holland het bevoegd gezag en voeren de omgevingsdiensten deze taken namens het college uit. De uitvoering van de taken door gedeputeerde staten wordt gecontroleerd door provinciale staten.

Vraag 3

Heeft u ook de indruk dat de samenwerking tussen lokale autoriteiten en Microsoft een voorkeursbehandeling betreft? Kunt u uw antwoord toelichten?

Die indruk heb ik, op basis van de informatie waarover ik beschik, niet. Zie voor een toelichting mijn antwoorden op vraag 1 en 2.

Vraag 4

Hoe voorkomt u dat invloedrijke partijen een voorkeursbehandeling genieten bij vergunningsaanvraagprocedures, zoals ook bij de situatie met Facebook en het datacentrum in Zeewolde?2

Ik vertrouw erop dat provincies en gemeenten, als bevoegd gezag, de hun toebedeelde taken en verantwoordelijkheden bij het verlenen van omgevingsvergunningen op een eerlijke en transparante wijze uitvoeren, zonder dat bepaalde aanvragers een voorkeursbehandeling krijgen. Gemeenteraden en provinciale staten hebben hierin een belangrijke taak, als organen die het college van B&W en het college van gedeputeerde staten controleren bij het uitoefenen van hun taken. Op deze manier is geborgd dat het proces van vergunningverlening volgens de wettelijke regels verloopt.

Vraag 5

Hoeveel projecten liggen stil in de kop van Noord-Holland omdat er geen aansluiting op het elektriciteitsnetwerk mogelijk is? Welke daarvan zouden doorgang kunnen vinden als Microsoft geen energie meer nodig heeft?

Microsoft sluit direct aan op het hoogspanningsnet van TenneT die volgens huidige regelgeving handelt op basis van het «first come, first served» principe (non-discriminatiebeginsel). Vanwege de aansluiting op het hoogspanningsnet concurreert Microsoft niet direct met andere regionale projecten, aangezien deze op de regionale netinfrastructuur worden aangesloten.

Vraag 6

Nu blijkt dat het datacenter in de Kop van Noord-Holland niet de juiste vergunningen heeft om te bouwen, geldt dan niet direct het afgegeven moratorium uit de datavisie? Kunt u uw antwoord toelichten?3

Zoals aangegeven in het antwoord op vraag 1 geeft de provincie Noord-Holland aan dat de start van de bouwwerkzaamheden door Microsoft wetmatig was, op basis van de twee gedoogbeslissingen die de omgevingsdienst Noordzeekanaalgebied heeft genomen. Inmiddels is de omgevingsvergunning verleend.
De uitbreiding van het hyperscale datacentrum in de gemeente Hollands Kroon past binnen de Ruimtelijke Strategie Datacenters (2019) die u aanhaalt. In deze strategie stellen we dat groei en/of uitbreiding van hyperscale datacentra kansrijk wordt geacht in de Eemshaven en Middenmeer (dit is de locatie van het datacentrum van Microsoft). Dit uitgangspunt hebben we bekrachtigd in de Nationale Omgevingsvisie (2020).
Het datacentrum van Microsoft ligt in een gebied dat door de gemeente Hollands Kroon is bestemd voor onder andere de uitbreiding van het bestaande hyperscale datacentrum. Deze locatie is ook uitgezonderd van het verbod op de vestiging van nieuwe hyperscale datacentra. Dit is opgenomen in de landelijke voorbeschermingsregels. Deze voorbeschermingsregels zijn vastgesteld vooruitlopend op de in procedure zijnde regelgeving voor de vestiging van hyperscale datacentra. Ook binnen deze regelgeving is dit gebied uitgezonderd van het verbod op vestiging van nieuwe hyperscale datacentra.

Vraag 7

Vindt u dat Microsoft door het overtreden van de wettelijke vereisten zijn vergunning moet verliezen en de bouw van het datacenter moet worden gestaakt? Waarom geldt de wet niet voor Microsoft?

Uit contact met de provincie Noord-Holland blijkt dat de start van de bouwwerkzaamheden door Microsoft wetmatig was, op basis van de twee genoemde gedoogbeslissingen. Inmiddels is de omgevingsvergunning verleend.
Zoals aangegeven in het antwoord op vraag 1 zijn gedeputeerde staten van de provincie Noord-Holland bevoegd gezag voor vergunningverlening, toezicht en handhaving. Provinciale staten controleert of gedeputeerde staten hun taken naar behoren uitvoert. Ik vertrouw erop dat de provincie de hun toebedeelde taken goed uitvoert.

Vraag 8

Kunt u laten weten welke bemoeienis het Ministerie van Economische Zaken en Klimaat (EZK) en/of de Netherlands Foreign Investment Agency (NFIA) heeft gehad met het faciliteren van Microsoft om het datacenter te ontwikkelen? Onder welke projectnaam is er met en voor Microsoft contact geweest? Welke onderzoeken, werkbezoeken, contacten, overleggen zijn er gefaciliteerd vanuit de NFIA en/of het Ministerie van EZK?

Naast het aantrekken van buitenlandse investeringen in Nederland, heeft NFIA als kerntaak om buitenlandse bedrijven te helpen bij vervolginvesteringen in ons land. Tot begin 2020 was het aantrekken van datacentra een strategisch speerpunt binnen het acquisitiebeleid van de NFIA, om de Nederlandse ICT infrastructuur te versterken. Dit was in lijn met het strategische acquisitiebeleid van ICT-bedrijven, zoals opgenomen in het plan «the Netherlands: Digital Gateway to Europe».6 Vanuit de opdracht om hoofdkantoor-, onderzoeks- en innovatieactiviteiten van buitenlandse bedrijven in Nederland te laten vestigen is NFIA derhalve sinds 2009 bij vrijwel alle projecten van Microsoft datacentra betrokken geweest, zo ook dit specifieke project, onder de projectnaam «Microsoft».
Sinds begin 2020 worden datacentra niet meer actief naar Nederland aangetrokken door de NFIA. Dit geldt zowel voor hyperscale datacentra als voor andere soorten datacentra. Als een bedrijf zich meldt bij de NFIA wordt deze doorverwezen naar regionale overheden (aangezien de vestiging regionaal is belegd).
Voor dit project in de gemeente Hollands Kroon geldt dat met name de regionale Invest in Holland partner van NFIA, het Ontwikkelingsbedrijf Noord-Holland-Noord (NHN), in contact met Microsoft is geweest. Bij uitbreidingen voeren over het algemeen regionale onderwerpen zoals vergunningprocedures de boventoon en is de rol van NFIA beperkt. NFIA heeft geen rol bij vergunningverlening en verwijst hiervoor naar het bevoegd gezag.
Omdat Microsoft een belangrijke partij is binnen het ICT ecosysteem en de digitale infrastructuur van Nederland, onderhoudt NFIA in het kader van «Investor Relations» algemeen periodiek contact met het bedrijf. Aangaande dit specifieke uitbreidingsproject in de gemeente Hollands Kroon heeft NFIA tot 2021 regelmatig contact gehad om op de hoogte te blijven over de voortgang. De laatste bezoekmomenten van NFIA aan Microsoft in het kader van dit project dateren van september en december 2021.

Vraag 1

Is de Minister bekend met het bericht «Microsoft bouwt al een jaar aan een datacentrum zonder bouw- en stikstofvergunningen»?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe is het mogelijk dat het bedrijf Microsoft kan doorbouwen zonder bouw- en stikstofvergunningen, terwijl de bouw van 100.000 woningen vertraagd wordt door het wegvallen van de bouwvrijstelling?2

Door het vervallen van de bouwvrijstelling moet voor Microsoft alsnog worden beoordeeld of 1) er een natuurvergunning nodig is en deze verleend kan worden of 2) dat deze niet nodig is en de werkzaamheden zonder vergunning kunnen worden voortgezet. Het bevoegd gezag voor vergunningverlening, toezicht en handhaving is provincie Noord-Holland. De omgevingsdienst Noordzeekanaalgebied en omgevingsdienst Noord-Holland Noord voeren deze taken gemandateerd namens de provincie uit.
De omgevingsvergunning is inmiddels op 19 april jl. verleend. De vergunning is nog niet onherroepelijk. De provincie geeft aan dat het risico van het bouwen, vooruitlopend op de onherroepelijke omgevingsvergunning, bij Microsoft ligt. Dat risico is dat bijvoorbeeld de bouw wordt stilgelegd, indien de vergunning door de rechter wordt vernietigd. De keuze om in die situatie te gaan handhaven en op welke manier ligt bij het bevoegd gezag (provincie Noord-Holland).

Vraag 3

Wat zijn de gevolgen van de stikstofuitstoot van het bouwproject op de nabijgelegen natuur?

Wanneer het niet is uit te sluiten dat een project leidt tot significant negatieve effecten voor een Natura 2000-gebied moet een natuurvergunning worden aangevraagd. Op basis van aangeleverde gegevens door Microsoft is beoordeeld door de omgevingsdienst van provincie Noord-Holland of sprake is van nadelige effecten op de nabijgelegen natuur en of er aan de hand daarvan een natuurvergunning nodig is op basis van de Wet natuurbescherming (Wnb) en zo ja of die vergunning kan worden verleend.
Het bevoegd gezag provincie Noord-Holland heeft op 19 april jl. de omgevingsvergunning verleend en daarin geconcludeerd dat er geen sprake is van een vergunningplicht op grond van artikel 2.7, tweede lid, van de Wnb voor het oprichten en exploiteren van het datacentrum, omdat er geen toename plaatsvindt van de stikstofdepositie die op grond van een eerdere milieutoestemming voor die locatie was toegestaan en als referentiesituatie geldt (intern salderen).

Vraag 4

Heeft Microsoft een uitzonderingspositie voor wat betreft bouw- en stikstofvergunningen?

De provincie geeft aan dat de start van de bouwwerkzaamheden door Microsoft is toegestaan op basis van twee gedoogbeslissingen3 die de omgevingsdienst Noordzeekanaalgebied heeft genomen. Het gaat om een gedoogbeslissing om te mogen starten met bouwen en een gedoogbeslissing om te mogen starten met bouwen van een onderstation ten behoeve van het datacentrum. De provincie geeft aan dat een beslissing tot gedogen alleen wordt genomen als er concreet zicht is op legalisatie (in dit geval het verlenen van de omgevingsvergunning). Dit is in lijn met de landelijke handhavingsstrategie4.
De gedoogbeslissingen zijn verleend vóór de uitspraak van afgelopen november door de Raad van State over het project «Porthos». Uit die uitspraak bleek dat de stikstofdepositie over de gehele bouwfase moet worden beoordeeld. Daarop is Microsoft verzocht deze informatie alsnog aan te leveren. Dit heeft Microsoft gedaan en deze informatie is door omgevingsdiensten Noordzeekanaalgebied en Noord-Holland Noord beoordeeld. De omgevingsdienst Noord-Holland Noord voert namelijk de VTH-taken namens de provincie, het bevoegd gezag, uit op het gebied van de Wnb (Wet natuurbescherming), waaronder de depositie van stikstof. De omgevingsdienst Noordzeekanaalgebied voert deze taken uit op het gebied van de Wabo (Wet algemene bepalingen omgevingsrecht) op gebied van «oprichten en in werking hebben van een inrichting» («milieu»), «bouwen van een bouwwerk» («bouw») en «het gebruik in strijd met het bestemmingsplan» («ruimtelijke ordening»). Een oordeel over de definitieve vergunning of het stilleggen van de bouw is pas gegeven nadat de aanvullende informatie was beoordeeld. De gedoogbeslissingen golden daarom nog steeds.
Zoals vermeld in mijn antwoord op vraag 2, is de omgevingsvergunning inmiddels op 19 april jl. verleend. De vergunning is nog niet onherroepelijk.

Vraag 5

Kan de Minister uiteenzetten wat de rol van het Rijk, de provincie Noord-Holland en de gemeente Hollands Kroon is bij het vergunnen en het toezicht houden op de bouw- en stikstofvergunningen met betrekking tot het datacentrum van Microsoft?

Het Rijk heeft als kadersteller (nationale wetgever) geen rol bij de uitvoering van vergunningverlening en het toezichthouden op de bouwvergunningen en doorgaans ook niet bij natuurvergunningverlening. Wel stuurt het Rijk actief op een aantal grote impactvolle ontwikkelingen, bijvoorbeeld hyperscale datacentra. Via een AMvB leggen we in nationale regels vast dat er, buiten twee uitzonderingslocaties, nergens meer nieuwe hyperscale datacentra gerealiseerd mogen worden.
Door het totaal vermogen van alle stookinstallaties van het datacenter van Microsoft zijn dit zogenaamde IPPC-installaties (grotere industriële bedrijven die vallen onder de Richtlijn industriële emissies), de provincie Noord-Holland is het bevoegd gezag. De provincie heeft de vergunningverlening, toezicht en handhaving (VTH) gemandateerd aan de omgevingsdiensten Noordzeekanaalgebied en Noord-Holland Noord. De omgevingsdienst Noordzeekanaalgebied voert deze taken uit namens het bevoegd gezag, de provincie Noord-Holland, op het gebied van de Wabo (Wet algemene bepalingen omgevingsrecht). In dit specifieke geval gaat het om de VTH-taken voor de activiteiten «oprichten en in werking hebben van een inrichting» («milieu»), «bouwen van een bouwwerk» («bouw») en «het gebruik in strijd met het bestemmingsplan» («ruimtelijke ordening»). De omgevingsdienst Noord-Holland Noord voert de VTH-taken namens de provincie uit op het gebied van de Wnb (Wet natuurbescherming).
De gemeente Hollands Kroon is geen bevoegd gezag. Maar omdat het datacenter is gelegen in deze gemeente, is de gemeente volgens de Wabo wettelijk adviseur bij het vergunningverleningsproces.

Vraag 6

Zijn er redenen om aan te nemen dat Microsoft de bouw- dan wel stikstofvergunningen niet rond krijgt? Mocht Microsoft de vergunningen niet krijgen, wat gebeurt er dan met het bouwproject?

De gegevens over stikstofuitstoot heeft Microsoft ingediend en de omgevingsdiensten hebben aan de hand van de aangeleverde gegevens door Microsoft beoordeeld of een natuurvergunning nodig is en zo ja of die vergunning kan worden verleend, en onder welke condities. Mocht Microsoft de vergunning niet rond krijgen dan is het aan provincie Noord-Holland als het bevoegd gezag om te beslissen hier op te handhaven en op welke manier. Zo kan provincie Noord-Holland bijvoorbeeld beslissen of de bouw stilgelegd wordt of dat het gebouwde niet in gebruik wordt genomen. De provincie en de omgevingsdiensten volgen hierbij het vastgestelde regionale uitvoerings- en handhavingsbeleid, dat is gebaseerd op de landelijke handhavingsstrategie. Zoals vermeld in mijn antwoord op vraag 2 is de omgevingsvergunning is inmiddels op 19 april jl. verleend.

Vraag 7

Heeft de niet-vergunde stikstofuitstoot bij het bouwproject van Microsoft effecten op de vergunningverlening van woningbouw in de omgeving? Of op de vergunningverlening van andere bouw?

Op aangeven van de Omgevingsdienst Noord-Holland Noord heeft dit project geen effecten op andere projecten in de omgeving. Elk beoogd project, of dit nou om boeren in de omgeving, of om Microsoft gaat, wordt getoetst aan dezelfde wet- en regelgeving. Ieder bedrijf of initiatiefnemer dient daarbij afzonderlijk aan te tonen dat het voldoet aan de beoordeling van de stikstofuitstoot op Natura2000-leefgebieden tijdens de aanlegfase en ingebruikname van een project. Zoals vermeld bij vraag 2 zijn de gegevens over stikstofuitstoot door Microsoft ingediend en is de omgevingsvergunning inmiddels op 19 april jl. verleend.

Vraag 8

Zijn er meer (grote) bouwprojecten die niet voldoen aan de bouw- dan wel stikstofvergunningen? Zo ja, wat gaat u hier aan doen? Zo nee, zou u hier een onderzoek naar willen instellen?

De provincies en gemeenten hebben als bevoegd gezag zicht op bouwvergunningen, en de provincies op natuurvergunningverlening. Ik vertrouw erop dat provincies en gemeenten de taken op het gebied van vergunningverlening goed uitvoeren. Het Ministerie van LNV laat komend jaar samen met de betrokken departementen en provincies onafhankelijk een onderzoek uitvoeren naar de wijze waarop bevoegde instanties invulling geven aan toezicht en handhaving van natuurvergunningen op grond van de Wnb voor wat betreft stikstof. Hiermee ontstaat inzicht in eventuele knelpunten en ook in de mogelijkheden om die op te lossen.

Vraag 1

Bent u bekend met de blokkade van het Twitteraccount van De Telegraaf-columnist Leon de Winter?1

Ja.

Vraag 2

Wat vindt u van de blokkade van het account van een columnist van een van Neerlands grootste kranten door Twitter? Graag een gedetailleerd antwoord.

Vooropgesteld staat dat ook bij uitingen via internet de vrijheid van meningsuiting uitgangspunt is. Zoals vermeld in de Kamerbrief Content moderatie en vrijheid van meningsuiting op online platformen en in de antwoorden op Kamervragen over soortgelijke situaties, gaan gebruikers van online platformen een privaatrechtelijke overeenkomst met dat platform aan wanneer zij hier gebruik van maken. Net als bij elke overeenkomst accepteren beide partijen daarmee rechten en verplichtingen.
Het staat platformen vrij actie te ondernemen indien zij van mening zijn dat gebruikers hun gebruiksvoorwaarden overtreden. Dat behelst ook de mogelijkheid om content te verwijderen of een gebruikersaccount op te schorten. Het idee hierachter is, dat gebruikers zelf de vrijheid en mogelijkheid hebben om te bepalen of zij gebruik maken van een bepaald online platform – en daarmee instemmen met de gebruikersvoorwaarden – of niet. Bij content die niet strafbaar of onrechtmatig is, maar door sommigen wel als ongewenst wordt beschouwd, hebben platformen een grote marge voor eigen appreciatie op basis van deze contractvrijheid.2 Het is niet aan mij om te oordelen over de gebruikersvoorwaarden van sociale media als Twitter.

Vraag 3

Deelt u de mening dat de vrijheid van meningsuiting een groot goed is in Nederland, ook voor rechtsgeoriënteerde mensen? Zo ja, heeft u de bereidheid om met Twitter in gesprek te gaan om:

De vrijheid van meningsuiting is een kernwaarde in onze democratie en iedereen moet in staat zijn om zijn mening te kunnen uiten binnen de kaders van de wet. De politieke oriëntatie van de afzender is hierbij niet relevant.
Het staat een platform als Twitter vrij om eigen gebruiksregels in te stellen die bepaalde grenzen stellen aan de uitingsvrijheid. Wanneer iemand gebruik wil maken van een platform als Twitter dient hij vooraf akkoord te gaan met deze gebruikersvoorwaarden. Hiermee accepteert de gebruiker dat het platform beperkingen stelt aan het gebruik van haar dienst, en dat zij die kan handhaven.
Ik ga niet over de gebruiksregels van sociale media als Twitter. Als private ondernemingen zijn zij in beginsel vrij om hun eigen contractvoorwaarden te stellen. Dat is fundamenteel aan de contractvrijheid en voor het recht op ondernemen.

Vraag 1

Bent u bekend met de recente berichten over ict-storingen en cyberaanvallen in onder andere het Maastricht UMC en het UMC Groningen?1, 2, 3

Ja.

Vraag 2

Kunt u toelichten om wat voor soort ict-storing het in deze gevallen precies gaat? Gaat het om ondersteunende processen of zijn ook vitale processen geraakt?

Vraag 3

Welke gevolgen heeft de ict-storing bij het Maastricht UMC gehad voor operaties, behandelingen en afspraken van patiënten?

Vraag 4

Wordt informatie over de (evaluatie van een) storing bij een bepaald ziekenhuis standaard gedeeld met andere ziekenhuizen, zodat zij hiervan kunnen leren? Zo nee, waarom niet?

Het Computer Emergency Response Team voor de zorg (Z-CERT) deelt dreigings- en incidentinformatie onder hun leden, waar het gaat om IT-beveiliging. Alle Nederlandse ziekenhuizen die lid zijn van de Nederlandse Federatie van Universitair Medische Centra (NFU) of de Nederlandse Vereniging van Ziekenhuizen (NVZ) zijn aangesloten bij Z-CERT. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen ziekenhuizen informatie over incidenten met elkaar en andere zorginstellingen delen. Z-CERT deelt geen incidentinformatie onder hun leden wanneer het gaat om generieke ICT-storingen.

Vraag 5

Ben u mening dat deze storing en de eerdere cyberaanvallen incidenten zijn of is er sprake van structurele en toenemende risico’s voor ziekenhuizen op het gebied van ict-veiligheid?

Z-CERT, het Nationaal Cyber Security Center (NCSC) of hun (internationale) partners hebben niet eerder kennisgenomen dat Nederlandse ziekenhuizen doelwit waren van een DDoS-aanval. Uit het dreigingsbeeld dat Z-CERT jaarlijks publiceert blijkt echter wel dat het risico van cyberaanvallen op zorgorganisaties toeneemt4. Zorginstellingen zijn daarnaast in toenemende mate afhankelijk van ICT-middelen. Versterking van de digitale weerbaarheid van het zorgveld is daarom des te belangrijker. Mijn beleid is daar ook op gericht. Ik ga hier verder op in bij de beantwoording van vraag 13.

Vraag 6

Kunt u een update geven van de status van de maatregelen die ziekenhuizen moeten nemen om de deadline van de Inspectie Gezondheidszorg en Jeugd (IGJ) te halen om eind 2023 aan de wettelijke norm voor informatiebeveiliging (NEN 7510) te voldoen? Zijn alle ziekenhuizen goed op weg om deze deadline te halen?

Om aan de wettelijke norm voor informatiebeveiliging (NEN 7510) te voldoen moeten ziekenhuizen een managementsysteem voor informatiebeveiliging inrichten. Dit houdt in dat zij op basis van een risicoanalyse vaststellen welke beheersmaatregelen voor informatiebeveiliging zij gaan inrichten. Na het inrichten van deze beheersmaatregelen moeten zij geregeld controleren of de maatregelen werken zoals bedoeld en zo nodig nadere maatregelen nemen. Dit heet ook wel een kwaliteitscyclus of plan-do-check-act cyclus. De NEN 7510 vereist dat een ziekenhuis beschikt over een onafhankelijke beoordeling van de informatiebeveiliging.
De Inspectie Gezondheidszorg en Jeugd (IGJ) besteed al geruime tijd aandacht aan de status van informatiebeveiliging bij ziekenhuizen. Zie hiervoor ook de eerder gepubliceerde factsheets Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren5 en ICT-storingen in ziekenhuizen: lessen voor bestuurders en ICT-managers6. In juni 2022 heeft de IGJ van alle ziekenhuizen in kaart gebracht of zij aantoonbaar voldeden aan de norm.
Het voortgangsbeeld is nog in beweging. Inmiddels heeft een groot deel van de ziekenhuizen een onafhankelijke beoordeling uitgevoerd. Waar dat nodig is gebleken, zijn de ziekenhuizen bezig om de daaruit voortgekomen noodzakelijke verbetermaatregelingen door te voeren. De IGJ heeft lopende afspraken over de voortgang met alle ziekenhuizen die nog niet aantoonbaar aan de norm voldoen. Waar nodig zal de IGJ te zijner tijd handhavingsmaatregelen overwegen bij ziekenhuizen waar de informatiebeveiliging onvoldoende is.

Vraag 7

Het klopt toch dat alle grote zorgorganisaties zoals ziekenhuizen en ggz-instellingen al jaren verplicht aangesloten zijn bij Z-Cert?

Er bestaat geen wettelijke verplichting voor zorgorganisaties om zich aan te sluiten bij Z-CERT. Echter, alle Nederlandse ziekenhuizen die lid zijn van de Nederlandse Federatie van Universitair Medische Centra (NFU) of de Nederlandse Vereniging van Ziekenhuizen (VVZ) zijn deelnemer van Z-CERT. Het zelfde geldt voor de Nederlandse GGZ instellingen. Daarnaast worden steeds meer zorgaanbieders uit andere (sub-)sectoren lid. Het Ministerie van VWS beleid is erop gericht de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Het Ministerie van VWS kiest er daarbij voor om de aansluiting van aanbieders en sectoren te organiseren op basis van een risico-gebaseerde aansluitstrategie. Dit is in oktober 2021 aan uw Kamer gecommuniceerd in een Kamerbrief.7 Deze strategie houdt in dat (sub-)sectoren met de grootste risico’s op cyberaanvallen – en de daarbij behorende impact – geprioriteerd worden aangesloten bij Z-CERT. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende (sub-)sectoren aangesloten bij Z-CERT.

Vraag 8

Is intussen voor kleinere zorgaanbieders, zoals wijkverpleging, huisartsen, apothekers, ook aansluiting bij Z-Cert verplicht, aangezien daar ook veel gevoelige informatie is opgeslagen? Zo nee, waarom niet en wanneer gaat dit dan wel gebeuren?

Zie antwoord vraag 7.

Vraag 9

Begrijpen wij correct dat Z-CERT ook gehackt is, terwijl Z-Cert juist degene is die zorgorganisaties moet attenderen op potentiële bedreigingen?

Nee, dat is niet correct. Z-CERT is niet gehackt. De website van Z-CERT heeft kortdurend hinder ondervonden van een DDoS-aanval. Dit heeft geen invloed gehad op de dienstverlening van Z-CERT.

Vraag 10

Controleert Z-Cert ook bij zorgorganisaties of men de updates heeft geïnstalleerd? Zo nee, waarom niet en hoe wordt in dat geval toezicht gehouden?

Het zorgdragen voor de implementatie van de juiste ICT-producten, inclusief daarbij horende latere aanpassingen, is een eigen verantwoordelijkheid van zorgaanbieders. Z-CERT ziet niet toe op welke aanpassingen wel of niet worden geïnstalleerd, maar ondersteunt aangesloten zorginstellingen bij het zelf zorgdragen voor een afdoende veiligheidsniveau, en biedt hulp bij incidenten. Het toezicht op informatieveiligheid van zorgaanbieders is belegd bij de Inspectie Gezondheidszorg en Jeugd (IGJ). De toetsingseisen die IGJ hanteert staan beschreven in het E-health toetsingskader en zijn onder andere gebaseerd op de wettelijke verplichte NEN-normen voor informatieveiligheid in de zorg, waaronder de NEN-7510. Onderdeel van de NEN norm 7510 is dat zorginstellingen kwetsbaarheden in hun software, bv. door middel van patches, moeten mitigeren.

Vraag 11

In hoeverre heeft de NCTV nu ook zorgorganisaties toegevoegd indien bedreigingen worden vastgesteld?

De NCTV heeft een coördinerende rol bij de ontwikkeling van het beleid rond de bescherming van de Nederlandse vitale infrastructuur. Hierbij zijn de verschillende vakdepartementen, waaronder het Ministerie van Volksgezondheid, Welzijn en Sport, verantwoordelijk voor de sectoren die binnen hun beleidsdomein vallen. Ik zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.

Vraag 12

Gaat u minimumeisen stellen aan programma’s zodat slecht beveiligde programma’s uitgebannen worden? Zo nee, waarom niet?

De Europese Commissie heeft in september 2022 een voorstel gedaan voor een Cyber Resilience Act (CRA). In deze verordening worden fabrikanten, importeurs en distributeurs van hard- en software die in de EU in de handel wordt gebracht verplicht er zorg voor te dragen dat deze voldoen aan de daar gestelde cybersecurityvereisten. Deze beveiligingseisen zullen ook gelden voor software in de zorg. Het Kabinet is positief over het voorstel. Over de inhoud van de CRA wordt momenteel nog onderhandeld. Naast de CRA zijn er reeds Europese verordeningen over medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek (2017/745 en 2017/746) van kracht. Deze verordeningen stellen ook eisen aan de software die gebruikt wordt in medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek.

Vraag 13

Zijn er wat u betreft andere aanvullende structurele maatregelen nodig om de ict-veiligheid en cyberweerbaarheid van Nederlandse ziekenhuizen en andere zorgorganisaties te versterken? Zo ja, welke en welke stappen neemt u samen met de ziekenhuizen en zorgorganisaties om hieraan te werken?

Er wordt op verschillende manieren gewerkt aan de informatieveiligheid van het Nederlandse Zorgveld. Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Ik zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. Daarvoor is het Ministerie van VWS in 2019 het project informatieveilig gedrag gestart. Via dit project werk ik aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. In mijn brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik uw Kamer hier nader over geïnformeerd.8
Zoals beschreven in het antwoord op vraag 7 en 8 is VWS-beleid er daarnaast op gericht om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen het zorgveld, middels een risicogestuurde aansluitstrategie. Er wordt ook actief ingezet op een uitbreiding van de diensten van Z-CERT.
Daarnaast zorg ik er samen met het zorgveld voor dat we de eerder genoemde NEN-normen voor informatiebeveiliging blijven ontwikkelen, en breng ik deze normen actief onder de aandacht bij zorgaanbieders. Zo heb ik NEN in 2022 de opdracht gegeven om een herziening van de NEN-7510 te coördineren, en daarbij ook implementatietools te ontwikkelen.
Eveneens heeft het Ministerie van VWS in januari 2023 samen met ROAZ Zuidwest-Nederland en GHOR Zuid-Holland Zuid een grootschalige oefening georganiseerd. Hierbij is gezamenlijk geoefend met een scenario waarin sprake was van digitale verstoring van onder andere de ziekenhuiszorg. De lessen die hieruit zijn getrokken zullen de komende tijd worden gebruikt om de voorbereiding op dergelijke incidenten te verbeteren.
Tot slot wordt de komende tijd gewerkt aan de implementatie van nieuwe Europese richtlijnen met betrekking tot informatieveiligheid (NIB2) en algemene weerbaarheid (CER). Over de deze implementatie zal ik uw Kamer binnenkort nader informeren.

Vraag 1

Hoe beoordeelt u de vrees van externe ict-deskundigen dat benodigde vervanging van cruciale ict-systemen van de loonheffing en inkomstenbelasting – waarmee de Belastingdienst jaarlijks meer dan de helft van de rijksinkomsten binnenhaalt en waarin jaarlijks tientallen miljarden gegevens van burgers worden verzameld – niet op tijd zal komen?1

De vrees dat de continuïteit van de belastingheffing op het spel staat is ongegrond. De oudere systemen zijn in de basis stabiel, maar aanpassingen van deze systemen is complex en vergt meer tijd. Op 20 februari jl. stuurde ik uw Kamer een brief over de ICT bij de Belastingdienst.2 In die brief heb ik aangegeven dat de Belastingdienst een Meerjarenportfolio (MJP) heeft opgesteld waarin het moderniseren van systemen ook de komende jaren ruimte krijgt.
De modernisering van de systemen van loon- en inkomensheffing is gestart in 2018, deze projecten hebben in het MJP hoge prioriteit. De Belastingdienst heeft daarnaast de volgende maatregelen achter de hand:

Vraag 2

Hoe beoordeelt u de vrees van externe ict-deskundigen dat daardoor de continuïteit van de belastingheffing op het spel staat en grote delen van de overheidsfinanciën binnen drie jaar gevaar lopen?

Zie antwoord vraag 1.

Vraag 3

Klopt het dat het platform Cool:Gen vanaf eind 2026 niet meer technisch wordt ondersteund en dat daarom de systemen vóór 2027 moeten worden vervangen?

Nee dit klopt niet, zie ook het antwoord op vraag 1 en 2. Wat het wel betekent is dat Cool:Gen een oude programmeertaal is en dat er zijn steeds minder medewerkers zijn die met Cool:Gen kunnen werken. Hierdoor zal het op termijn steeds meer moeite kosten om onderhoud op de systemen te doen.
Zoals ook in de technische briefing over ICT bij de Belastingdienst van 21 februari jl. is toegelicht, is het de planning dat belastingjaar 2024 zonder Cool:Gen wordt ondersteund. Cool:Gen blijft daarna echter nog wel op de achtergrond draaien voor de voorgaande belastingjaren, omdat we tot acht jaar terug in de aangiftes moeten kunnen kijken vanwege mogelijke naheffingen.
Er zijn mitigerende maatregelen genomen om risico’s voor de continuïteit zo klein mogelijk te houden. Zo heeft de externe leverancier bevestigd dat er ondersteuning zal zijn, ook als dat na 2026 nodig is.

Vraag 4

Hoe kan het dat de planning van de vernieuwing van het inkomstenbelasting ict-systeem al met een jaar is uitgelopen en waarom bestaat het risico dat die nog verder uitloopt waardoor de volledige uitfasering onhaalbaar wordt?

Per jaar is een bepaald aantal IV-dagen gepland om de systemen te onderhouden en te bouwen. Door het niet geplande werk om het Box 3 herstel tijdig uit te voeren heeft niet al het geplande vernieuwingswerk plaats kunnen vinden. Hierdoor is vertraging ontstaan op de vernieuwing van het inkomstenbelastingsysteem.
De planning voor de afronding van de modernisering van applicaties die werken met Cool:Gen is voorzien eind 2026 (met 2024 als het laatst te behandelen belastingjaar) en is op dit moment nog steeds haalbaar. Zie ook onderstaande figuur welke is toegelicht in de technische briefing over ICT bij de Belastingdienst aan uw Kamer op 21 februari jl.

Vraag 5

Kunt u nader toelichten wat er is gebeurd waardoor de vernieuwing van het systeem voor de loonheffing na anderhalf jaar nog in de opstartfase zat en hoe het nu met het project staat?

In de zomer van 2022 heeft het Adviescollege ICT (AcICT) een toets uitgevoerd over het programma Vernieuwen Heffing Loonbelastingen en Premies (vHLP). Dit programma vervangt de applicatie Heffing Loonbelastingen en Premies, welke op het verouderd ICT-platform Cool:Gen draait. De conclusie van het AcICT was kritisch en conform het advies van het AcICT focust de Belastingdienst op het borgen van de continuïteit van de keten Loonheffingen door het zo snel mogelijk uitfaseren van de verouderde technologie. Mede naar aanleiding van het onderzoek zijn ook initiatieven opgestart om tot verbetering te komen. Het programma vHLP heeft inmiddels een herijkte businesscase waar de opmerkingen van het AcICT ook in zijn verwerkt. Dit houdt o.a. in dat er maatregelen genomen zijn om de sturing effectiever te maken en dat er gekozen wordt voor een meer integrale aanpak. De planning is dat de doelstellingen van het programma vHLP in 2027 worden gerealiseerd. De huidige functionaliteit wordt in deze periode stap voor stap vervangen. Zodra een deelfunctionaliteit beschikbaar is gaat deze naar productie. Deze aanpak reduceert het risico aanzienlijk en hiermee borgen we de continuïteit op de middellange termijn. Voor de concretere uitwerking hiervan, verwijs ik u naar mijn brief van 6 september 20223 waarin ik uitgebreid in ga op het advies van het AcICT.

Vraag 6

Wat is er nodig om de systemen wél vóór 2027 te vervangen, kan hier meer prioriteit aan worden gegeven en wat betekent dat voor andere processen binnen de Belastingdienst?

Zoals ook in de Kamerbrief van 20 februari jl. is aangegeven is het cruciaal dat de Belastingdienst het Meerjarenportfolio blijft volgen: de Belastingdienst zal zich moeten houden aan de planning die het zich heeft gesteld om een goed functionerende en moderne ICT te realiseren. Het vervangen van verouderde systemen heeft maakt een belangrijk deel uit van de huidige Meerjarenportfolio. Het is niet reëel om de vervanging van systemen verder te versnellen. Het werven en behouden van ICT-personeel is in de huidige markt niet eenvoudig. Bovendien moeten projecten beheersbaar blijven. Verdere versnelling in krappe planningen leidt niet tot een verbetering van de beheersbaarheid.
Daarnaast leidt vervanging van de systemen met de huidige planning niet tot een grote toename van «onoplosbare fouten of storingen». De systemen zijn in de basis stabiel, alleen aanpassingen van deze systemen is complex en vergt meer tijd. Dat maakt inderdaad dat wetsaanpassingen lastig door te voeren zijn.
Er zijn de afgelopen jaren diverse maatregelen genomen de planning van de vervanging te realiseren. Zo is ervoor gekozen om eerst Cool:Gen te vervangen en daarna pas vernieuwingen door te voeren zoals dienstonderdelen van de Belastingdienst die wensen.

Vraag 7

Hoe wilt u omgaan met de risico’s van niet-tijdige vervanging die kunnen leiden tot onoplosbare fouten of storingen in het systeem, waardoor niet meer geïnd kan worden en ook wetswijzigingen op de inkomensheffing niet meer mogelijk zijn?

Zie antwoord vraag 6.

Vraag 8

Verschilt uw conclusie ten aanzien van de haalbaarheid van de systeemvernieuwing vóór 2027 van die van de ict-experts?

De belangrijkste conclusie van het AcICT is dat men verwacht dat het programma vHLP niet in staat zal zijn tijdig zijn doelstellingen te verwerken. In mijn brief van 6 september 2022 ga ik uitgebreid in op deze conclusie en ga ik ook in op de verbeteringen die de Belastingdienst doorvoert naar aanleiding van het advies van het AcICT. Mede naar aanleiding van het onderzoek zijn initiatieven opgestart om tot verbeteringen te komen. Zo heeft het programma vHLP inmiddels een herijkte businesscase waarin de opmerkingen van het AcICT zijn verwerkt. Zoals beschreven koerst de Belastingdienst op vervanging van het systeem voor inkomstenbelasting (Cool;Gen) voor 2027. Een bepalende factor voor de haalbaarheid is hetgeen dat in de komende tijd van de Belastingdienst verwacht. Nieuwe wet- en regelgeving en andere taken leiden tot herprioritering in het Meerjarenportfolio en daarmee wijzigingen en verschuivingen in de planning. De Belastingdienst wil dat zoveel als mogelijk voorkomen, omdat dit tot een latere vervanging van essentiële systemen en tot inefficiëntie leidt.

Vraag 9

Is er volgens u sinds 2020 naar aanleiding van de interne waarschuwingen van de Belastingdienst voldoende prioriteit gegeven aan het tijdig vernieuwen van de systemen en had naar uw mening een hardere stop op politieke wensen moeten zitten vanwege de prioriteiten in onderhoud?

In mijn brief van 20 februari jl. schreef ik dat sinds 2020 de Belastingdienst verbeteringen heeft doorgevoerd. Het ICT-Verbeterprogramma is gestart en afgerond in 2022, waarbij het portfolioproces, de cultuur, de samenwerking tussen gebruikers en de ICT zijn verbeterd. De technische schuld is sinds 2018 gehalveerd en er is in kleine stappen gestart met het moderniseren van een aantal grote systemen. De Belastingdienst kon, ondanks politieke wensen, werken aan verbetering en de basis op orde brengen.
Desondanks hebben in het verleden achtereenvolgende wijzigingen in de prioritering (bijv. Box 3) ertoe geleid dat de modernisering van ICT-systemen van de Belastingdienst in de tijd zijn verschoven, wat bijdraagt aan het ontstaan van het verouderende ICT-landschap.
Gezien de huidige planning en risicobeperkende maatregelen is een hardere stop qua wetgeving niet noodzakelijk gebleken. Er is sinds 2020 ruimte gemaakt voor de implementatie van wetgeving. Vorig jaar zijn er bijvoorbeeld ruim 150 uitvoeringstoetsen uitgevoerd die voor het merendeel geïmplementeerd zijn of worden. In 2021 en 2022 is acht procent van de ICT-capaciteit besteed aan de implementatie van nieuwe wetgeving. Voor de toekomst is het echter van belang dat de modernisering van de systemen conform planning kunnen plaatsvinden.

Vraag 10

Kunt u de Kamer een geactualiseerde update sturen van de planning, waarin ook de bijstelling van de ambitie meer personeel aan te nemen om versnelling te bereiken is verwerkt, die vanwege krapte op de arbeidsmarkt niet wordt gehaald?

In de Kamerbrief ICT bij de Belastingdienst van 20 februari jl. heb ik een actueel beeld van de modernisering van de ketens inkomensheffing en loonheffing gegeven, inclusief de ontwikkelingen qua ICT-capaciteit. In 2023 zijn er 626.000 IV-dagen beschikbaar. Er wordt gekeken naar mogelijkheden om het aantal IV-dagen verder te verhogen. De eerstvolgende actualisatie van de status van de ketens die u kunt verwachten is de bijlage uitvoerbaarheid die als bijlage bij het Belastingplan wordt meegestuurd.
Zie ook het antwoord op vraag 3.

Vraag 11

Kunt u in deze geactualiseerde update ook opnemen wat de risico’s zijn van te late vervanging voor heffing van loon- en inkomstenbelasting voor de rijksuitgaven en juiste dataverzameling?

Zie antwoord vraag 10.

Vraag 12

Kunt u deze vragen beantwoorden vóór het commissiedebat Belastingdienst op 23 maart 2023?

Ja.

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen»?1

Ja.

Vraag 2

Kunt u toelichten in hoeverre deze aanvallen gevolgen hebben voor de zorg in Nederland? Deelt u onze zorg dat deze cyberaanvallen potentieel ontwrichtende maatschappelijke gevolgen kunnen hebben?

Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. Tegelijkertijd kunnen diensten die een rol spelen bij de zorg voor patiënten wel verstoord worden door een DDoS-aanval. Het risico hierop wordt mede bepaald door de preventieve maatregelen van de zorgorganisatie, de inrichting van het netwerk en de eigenschappen van de DDoS-aanval. Daarom is het ontzettend belangrijk dat ziekenhuizen digitaal weerbaar zijn en (preventieve) maatregelen nemen om de impact van dergelijke aanvallen te beperken.
Dat cyberaanvallen in ernstigere gevallen potentieel ontwrichtende maatschappelijke gevolgen kunnen hebben is echter zeker het geval, zoals ook al vaker is aangegeven in het jaarlijks gepubliceerde Cybersecuritybeeld Nederland.2 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het Kabinet zich hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse cybersecurity strategie.3

Vraag 3

Welke acties worden ondernomen om adequaat op deze cyberaanvallen te reageren en de gevolgen voor de zorg in Nederland zoveel mogelijk te beperken? Hoe worden de betreffende ziekenhuizen ondersteund?

Ziekenhuizen nemen maatregelen om de gevolgen van een cyberaanval te beperken, en waar nodig zo spoedig mogelijk te mitigeren. Zo hebben ziekenhuizen afspraken met hun ICT-leveranciers over veiligheidseisen aan ICT-producten, en over beheers- en mitigerende maatregelen. Diverse Nederlandse ziekenhuizen maken bijvoorbeeld gebruik van een DDoS-«wasstraat» die ze helpt om DDoS-aanvallen af te kunnen weren.
Alle ziekenhuizen in Nederland die lid van zijn van de Nederlandse Vereniging van Ziekenhuizen (NVZ) of de Nederlandse Federatie van Universitair Medische Centra (NFU) zijn daarnaast aangesloten bij Z-CERT. Z-CERT voorziet de ziekenhuizen van advies en dreigingsinformatie, en kan tevens netwerken monitoren op kwetsbaarheden of verdachte activiteiten. In het geval van een incident kan Z-CERT een ziekenhuis ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Daarbij heeft Z-CERT onder andere contact met Nationaal Cyber Security Centrum (NCSC).

Vraag 4

Klopt het dat het alleen om DDoS-aanvallen gaat, of is ook sprake van (dreiging van) andersoortige cyberaanvallen?

Dat klopt. Er is geen indicatie van een andersoortige cyberaanval.

Vraag 5

Wat zijn de meest effectieve maatregelen om DDoS-aanvallen te pareren?

Een combinatie van organisatorische- en technische maatregelen kan effectief een DDoS-aanval pareren. Het NCSC heeft deze maatregelen beschreven in een factsheet, die beschikbaar is op de website.4

Vraag 6

Kunt u garanderen dat (overheids)organisaties als Z-CERT die dreigingsinformatie over Russische cyberaanvallen ontvangen dit snel en volledig kunnen delen met betreffende bedrijven en sectoren?

In het huidige cybersecuritystelsel is op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) de primaire taak van het NCSC het verlenen van bijstand aan vitale aanbieders en Rijksoverheidsorganisaties (doelgroeporganisaties) bij digitale dreigingen en incidenten. Dit om het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen bij de doelgroeporganisaties te voorkomen of te beperken.
Het uitvallen van die netwerk- en informatiesystemen bij deze organisaties kan immers maatschappelijke gevolgen hebben. Denk bijvoorbeeld aan de gevolgen als de dienstverlening van een drinkwaterbedrijf uitvalt. Het NCSC deelt daarom zo snel en volledig mogelijk de dreigings- en incidentinformatie direct met de doelgroeporganisaties.
Voor het informeren en adviseren van andere organisaties dan de doelgroeporganisaties over digitale dreigingen en incidenten zijn er schakelorganisaties. Deze maken deel uit van het Landelijk Dekkend Stelsel. In dat stelsel verstrekt het NCSC vanuit zijn wettelijke operationele en coördinerende rol dreigings- en incidentinformatie aan schakelorganisaties om zo ook organisaties buiten de doelgroep van het NCSC te bereiken.
Het is de verantwoordelijkheid van de schakelorganisaties (zoals Z-CERT) om deze informatie zo snel mogelijk met de eigen achterban te delen. De schakelorganisaties zijn het meest bekend met de systemen van hun achterban, bijbehorende belangen, risico’s en informatiebehoeften.

Vraag 7

Kunt u dit ook garanderen voor informatie afkomstig uit andere landen dan Nederland, of informatie uit Nederland die betrekking heeft op organisaties in andere landen?

Het NCSC staat als nationaal Computer Security Incident Response Team (CSIRT) in contact met het Europese CSIRT netwerk. Binnen dit netwerk wordt informatie over dreigingen en kwetsbaarheden ook zo snel en volledig mogelijk gedeeld

Vraag 8

Zijn er op dit moment wettelijke beperkingen die het delen van dreigingsinformatie bemoeilijken en zo ja, welke zijn dat specifiek?

De Wbni regelt dat het NCSC dreigings- en incidentinformatie kan verstrekken aan – in eerste instantie – haar doelgroeporganisaties, namelijk vitale aanbieders en rijksoverheidsorganisaties. Het NCSC doet dat om de meest ernstige maatschappelijke ontwrichting te voorkomen of te beperken. Bovendien kan het NCSC deze informatie aan organisaties verstrekken via schakelorganisaties. Zie ook het antwoord op vraag 6.
Onlangs (december 2022) is de Wbni gewijzigd om belangrijke wettelijke beperkingen voor het delen van informatie weg te nemen.5 Door deze wijziging kan het NCSC dreigings- en incidentinformatie ook rechtstreeks verstrekken aan organisaties die niet onder de doelgroep van het NCSC vallen of waarvoor geen schakelorganisaties zijn. Denk bijvoorbeeld aan politieke partijen en veiligheidsregio’s. Deze wetswijziging regelt ook dat meer dreigings- en incidentinformatie kan worden gedeeld met zogeheten OKTT’s (schakelorganisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over digitale dreigingen en incidenten).
Daarnaast is de nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB2-richtlijn) in werking getreden. Op dit moment loopt een wetgevingstraject om de richtlijn in Nederlandse wetgeving te implementeren. De Minister van Justitie en Veiligheid zal u hierover nader informeren middels een brief aan uw Kamer in het voorjaar.

Vraag 9

Hoe werkt u in Europa samen om op deze cyberaanvallen, die ook andere landen raken, te reageren? Zijn er zaken die we kunnen leren van andere landen op dit punt?

Als Nationaal Computer Emergency Response Team (CERT) staat het NCSC in nauw contact met het speciaal voor de zorg opgerichte Computer Emergency Response Team (Z-CERT) en andere nationale samenwerkingspartners. Het NCSC is ook in contact met internationale (cyber) partners en werkt intensief samen met een uitgebreid (inter)nationaal netwerk van computercrisisteams, zoals het Europese CSIRT netwerk, het International Watch and Warning Network (IWWN) en de European Government Cert-Group (EGC). Het NCSC kan, in samenwerking met deze internationale partners, de situatie monitoren en contact onderhouden over de te nemen vervolgacties tijdens incidenten zoals technisch onderzoek ten aanzien van de DDoS-aanvallen.
Ook op diplomatiek niveau is zowel in EU- als NAVO verband gedeeld dat Nederlandse ziekenhuizen zijn getroffen door DDoS-aanvallen. Hiermee dragen we bij aan een gedeeld situationeel bewustzijn bij onze partners.

Vraag 10

Heeft u informatie dat er ook sprake is van een verhoogde cyberdreiging vanuit Russische hackgroepen in andere vitale en/of niet-vitale sectoren? Zo ja, welke sectoren zijn dat en hoe worden betreffende sectoren geholpen om zich hiertegen te wapenen?

De kans op gerichte cyberaanvallen op Nederlandse belangen wordt vooralsnog laag ingeschat. Dit dreigingsbeeld lijkt stabiel maar kan abrupt veranderen. Nederlandse organisaties kunnen door ketenafhankelijkheden, bijvoorbeeld via een toeleverancier of dochterbedrijf, geraakt worden als gevolg van cyberaanvallen in relatie tot de oorlog in Oekraïne. Diverse cybersecurity(basis)maatregelen, ten behoeve van het creëren vanhandelingsperspectief om aanvallen te herkennen en voorkomen, zijn aan organisaties ter beschikking gesteld. Zie hiervoor de factsheet van het NCSC zoals benoemd in vraag 5, en ook de AIVD en MIVD publicatie over cyberaanvallen door statelijke actoren.6

Vraag 11

Wordt gemonitord welke organisaties en sectoren in andere landen die wapens aan Oekraïne leveren aangevallen worden, zodat deze organisaties en sectoren in Nederland zich op soortgelijke aanvallen kunnen voorbereiden?

Ja. Het NCSC monitort soortgelijke aanvallen.

Vraag 1

Wanneer was het kabinet op de hoogte van de aanwezigheid van de miljoenen Nederlandse chips in Russische pantserhouwitsers, een kruisraketten en gevechtshelikopters?1

De Nederlandse overheid is voor het eerst in maart 2022 op de hoogte gebracht dat elektronische componenten van Nederlandse producenten werden teruggevonden in Russisch militair materieel. Initiële informatie wees op toepassingen in UAV’s en diverse soorten verbindingsapparatuur. Later werd duidelijk dat steeds meer westerse componenten werden teruggevonden in een enorm breed scala aan Russisch militair materieel.

Vraag 2

Waarom heeft u, nadat u door de nieuwsredacties werd ingelicht, er wel voor gekozen om deze redacties een schriftelijke reactie te sturen, maar heeft u niet de Kamer geïnformeerd?

Het ministerie heeft de betreffende nieuwsredacties een schriftelijke reactie gestuurd op een specifiek verzoek om verduidelijking. Hoewel de onthullingen in het bericht er niet minder zorgelijk om zijn, is het al geruime tijd openbaar bekend dat westerse elektronische componenten via tussenhandelaren hun weg vinden naar de Russische militaire industrie.
Het wijdverspreide gebruik van westerse – waaronder ook Nederlandse – elektronische componenten in Russisch militair materieel is vanaf eind maart 2022 door diverse media, zowel nationaal als internationaal, gerapporteerd. In augustus 2022 werd de omleiding van elektronische componenten via tussenhandelaren inzichtelijk gemaakt door onderzoek van onder andere een Britse NGO, het Royal United Services Institute. Aan de hand van een Nederlands voorstel zijn de goederen in kwestie opgenomen in de Ruslandsancties. In november 2022 heeft de Minister voor BHOS mede namens de Minister van BZ deze problematiek geadresseerd in een brief, in antwoord op vragen van de heer Klink (VVD)2.

Vraag 3

Welke acties heeft u ondernomen sinds begin december bekend werd dat Iraanse drones met Nederlandse chips op het slagveld in Oekraïne zijn gevonden?

Nederland is een van de initiatiefnemers van de sanctie-listing van personen en entiteiten uit Iran in verband met de levering van UAV’s aan Rusland voor gebruik in Oekraïne. Het aanpakken van sanctieontwijking heeft voor Nederland hoge prioriteit, zoals mede blijkt uit ons recente non-paper hierover. Daarnaast wordt gekeken wat er diplomatiek mogelijk is om druk te zetten op tussenhandelaren in derde landen. Nederland heeft in EU verband steun uitgesproken voor het aanmerken van UAV motoren als gesanctioneerde goederen en bespreekt de problematiek in bilaterale gesprekken.

Vraag 4

Kunt u uiteenzetten hoe bedrijven met een bewezen geschiedenis van het faciliteren van de Russische krijgsmacht – zoals vermeld in het onderzoek – miljoenen Nederlandse chips in handen hebben kunnen krijgen? Bent u bereid om bedrijven waarvan dit type activiteit in landen als Rusland of Iran bekend is op een zwarte lijst te plaatsen?

Het gebruik van westerse – dus ook Nederlandse – componenten in Russische wapensystemen is hoogst onwenselijk. De componenten waar het hier om gaat zijn echter veelal universeel toepasbaar en worden in bulk (ordegrootte 100 miljard per jaar) over de gehele wereld verscheept. Ook in ieder Nederlands huishouden zijn veel van deze componenten terug te vinden.
Ondanks consultaties met betrokken bedrijven is niet duidelijk te zeggen hoe de handelsstromen van teruggevonden componenten zijn gelopen. De logistieke ketens zijn vaak lang en complex: Nederlandse exporteurs hebben inzicht in de klanten van hun distributeurs, maar daarna houdt hun inzicht vaak op.
Russische bedrijven die op enige wijze bijdragen aan de Russische militaire industrie worden opgenomen in bijlage IV van sanctieverordening 833/2014, waarvoor additionele handelsrestricties gelden. Nederland levert een zeer actieve bijdrage aan het doen van voorstellen hiervoor.
In het 9e sanctiepakket van sanctieverordening 269/2014 zijn diverse Iraanse entiteiten, die betrokken waren bij wapenleveranties aan Rusland, gesanctioneerd.

Vraag 5

Bent u bereid om duidelijk te maken aan de landen die dergelijke tussenhandelaren huisvesten, dat het met Nederlandse producten bijdragen aan agressie ook diplomatieke gevolgen kan hebben?

Ja, daar is het kabinet toe bereid en dit gebeurt ook actief.

Vraag 6

Vallen dergelijke tussenhandelaren onder bestaande sanctiewetgeving? Zo nee, bent u bereid wetgeving aan te passen?

Sanctieverordening (EU) 269/2014 geeft een aantal juridische gronden om personen en entiteiten te sanctioneren, waaronder het «materieel of financieel bijdragen aan acties die de territoriale integriteit, soevereiniteit en onafhankelijkheid van Oekraïne ondermijnen of bedreigen».
Deze sanctioneringsgronden zijn niet landgebonden. Met de recente opname van diverse Iraanse personen en entiteiten die hebben bijgedragen aan het leveren van UAV’s aan Rusland, heeft de EU reeds personen en entiteiten in derde landen, die bijdragen aan de Russische invasie, gesanctioneerd.
Het is onacceptabel dat tussenhandelaren Nederlandse goederen zonder toestemming doorleveren aan Russische wapenfabrikanten. Nederland heeft middels een non-paper ingezet op een veel structurelere aanpak van sanctieomzeiling, waaronder ook door de inzet van het sanctie-instrument.

Vraag 7

Welke stappen gaat het kabinet nog meer ondernemen om Nederlandse bedrijven te ondersteunen bij het nastreven van het gezamenlijke doel om niet met Nederlandse producten bij te dragen aan de Russische agressie? Bent u bereid om, in overleg met bedrijven, de mogelijkheid te verkennen om in contracten op te laten nemen dat doorverkoop van producten op de sanctielijsten niet is toegestaan?

Het Ministerie van Buitenlandse Zaken is doorlopend in nauw contact met betrokken bedrijven en deelt waar mogelijk informatie om hen te ondersteunen in het vormen van hun beleid. De bedrijven stellen reeds uitgebreide contractuele voorwaarden aan hun distributeurs v.w.b. de doorverkoop van hun producten. Indien nodig kan het ministerie met deze bedrijven samen bezien of dergelijke voorwaarden nog verder aangescherpt kunnen worden.

Vraag 8

Hoe kan het dat er sinds het instellen van de sancties helemaal geen daling in de doorverkoop van chips zichtbaar is? Wordt de doorverkoop van chips gemonitord? Waren er eerdere signalen van de inlichtingendiensten? Zo ja, welke actie is daarop ondernomen?

Het is duidelijk dat Rusland, ondanks het instellen van de sancties, via tussenhandelaren toch aan elektronische componenten kan komen. Rusland heeft reeds decennia ervaring in de heimelijke aanschaf van westerse technologie.
Het is echter niet zo dat de sancties geen impact hebben gehad. Van een aantal tussenhandelaren is een afname te zien in verscheepte componenten na het instellen van sancties. De Russische behoefte is groot, en sancties verstoren belangrijke aanvoerlijnen.
De doorverkoop van elektronische componenten wordt door diverse actoren gemonitord. Zo heeft Nederland onder meer onderzoek van het Britse Royal United Services Institute gebruikt om draagvlak te winnen voor het sanctioneren van veel elektronische componenten. De inlichtingendiensten hebben zich reeds meermaals in het openbaar3, 4 uitgesproken over de dreiging van de Russische verwervingspogingen van Nederlandse technologie. Het Ministerie van Buitenlandse Zaken zet zich samen met de Diensten in om bedrijven voor te lichten over risico’s van doorverkoop, onder andere tijdens het exportcontroleseminar.

Vraag 9

In hoeverre voorziet huidige wetgeving – naast het dual-use beleid – in het voorkomen dat Nederlandse chips in Russische handen terechtkomen?

De teruggevonden – door Nederlandse bedrijven geproduceerde – halfgeleiders vielen tot voor kort niet onder exportcontrole. Mede naar aanleiding van een voorstel van Nederland zijn deze goederen inmiddels toegevoegd aan de Ruslandsancties (Verordening (EU) 833/2014 van de Raad) middels het achtste pakket dat op 5 oktober 2022 werd aangenomen. Het is daarmee verboden om deze goederen aan Rusland te leveren, inclusief via tussenhandelaren in derde landen. Dit betekent echter niet dat de handel in deze goederen naar derde landen verboden is. Gezien de volumes waar we hier over spreken (vele miljarden per jaar) is een 100% controle hierop niet mogelijk.

Vraag 10

Welke individuele maatregelen kan de Nederlandse overheid nemen om de doorverkoop van chips te verminderen, reguleren of handhaven, wanneer de Europese Unie niet tot gepaste maatregelen komt en blijft achterlopen op de VS met het handhaven op de doorverkoop van chips?

Het kabinet zet er op in dat de Europese Unie tot gepaste maatregelen komt om de illegale doorverkoop van westerse halfgeleiderproducten aan te pakken. Nederland neemt hierin een voortrekkersrol. Nederland zet daarnaast in op meer onderzoek naar sanctieomzeiling, werkt nauw samen met betrokken producenten om informatie te delen en kaart de problematiek via diplomatieke kanalen aan.

Vraag 11

Wat zijn de voor- en nadelen van deze maatregelen?

Intensivering op het delen van informatie over omleidingsrisico’s en betrokken tussenhandelaren helpt betrokken producenten om duidelijke richtlijnen uit te zetten richting hun distributeurs in het buitenland.
Het nadeel hiervan is dat het probleem niet zo zeer bij Nederlandse exporteurs ligt, en zelfs niet bij hun buitenlandse distributeurs, maar bij verkopers die een aantal stappen verder in de keten liggen. Op die plekken heeft het beleid van de oorspronkelijke exporteur nauwelijks meer invloed, mede omdat het schenden van dergelijke richtlijnen geen juridische consequenties heeft.
Daarom heeft vooralsnog de eerste voorkeur van het kabinet dat de EU juridische consequenties oplegt aan betrokken entiteiten in derde landen.

Vraag 12

Welke stappen neemt de Nederlandse overheid in het faciliteren van onderzoek naar de handelsroute die deze chips afleggen?

Het kabinet geeft een hoge prioriteit aan het stoppen van sanctieomzeiling, in het bijzonder als het aankomt op kritieke componenten. Om onderzoek naar handelsroutes te faciliteren werkt het kabinet onder andere samen met onderzoeksinstituten. Het kabinet heeft de ambitie om deze samenwerking in de nabije toekomst te intensiveren.
Verder zet het kabinet in op een Europees contactpunt sanctieomzeiling cf. motie Brekelmans voor een EU OFAC. Inmiddels is er een EU sanctiegezant aangesteld die outreach naar derde landen kan doen. Ook dit contactpunt kan een rol spelen bij het in kaart brengen van omzeilingroutes wanneer EU lidstaten-informatie met elkaar delen.

Vraag 1

Wat is uw reactie op het bericht «UMCG getroffen door Russische cyberaanval, meer ziekenhuizen onder vuur»?1

Ik vind het zeer zorgelijk dat Nederlandse ziekenhuizen het doelwit zijn van DDoS-aanvallen.

Vraag 2

Zijn er de afgelopen maanden meer van dit soort aanvallen geweest? Zo ja, kunt u vertellen welke ziekenhuizen of andere zorginstellingen hierdoor zijn getroffen?

Het digitaal aanvallen van Nederlandse ziekenhuizen door middel van DDoS-aanvallen is niet eerder waargenomen door het Computer Emergency Response Team voor de zorg (Z-CERT), het Nationaal Cyber Security Center (NCSC) of hun (internationale) partners.

Vraag 3

In hoeverre vormen deze aanvallen een risico voor de patiëntenzorg?

Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. Tegelijkertijd kunnen diensten die een rol spelen bij de zorg voor patiënten wel verstoord worden door een DDoS-aanval. Het risico hierop wordt mede bepaald door de preventieve maatregelen van de zorgorganisatie, de inrichting van het netwerk en de eigenschappen van de DDoS-aanval.

Vraag 4

In hoeverre zijn Nederlandse ziekenhuizen in het algemeen voorbereid op cyberaanvallen, zoals DDoS-aanvallen?

Ziekenhuizen nemen maatregelen om de gevolgen van cyberaanvallen te beperken, en waar nodig zo spoedig mogelijk te mitigeren. Zo hebben ziekenhuizen afspraken met hun ICT-leveranciers over veiligheidseisen aan ICT-producten, en over beheers- en mitigerende maatregelen. Diverse Nederlandse ziekenhuizen maken bijvoorbeeld gebruik van een DDoS-«wasstraat» die ze helpt om DDoS-aanvallen af te kunnen weren.
Nederlandse ziekenhuizen moeten daarnaast wettelijk verplicht voldoen aan normen voor informatiebeveiliging in de zorg: de NEN 7510, 7512 en 7513. De NEN-7510 schrijft onder andere voor dat ziekenhuizen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid.
Alle ziekenhuizen in Nederland die lid van zijn van de Nederlandse Vereniging van Ziekenhuizen (NVZ) of de Nederlandse Federatie van Universitair Medische Centra (NFU) zijn daarnaast aangesloten bij Z-CERT. Z-CERT voorziet de ziekenhuizen van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een ziekenhuis ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Daarbij heeft Z-CERT onder andere contact met NCSC.

Vraag 5

In hoeverre zijn ziekenhuizen voorbereid op het wegvallen van IT-systemen? Hoe groot is de kans dat ziekenhuizen helemaal stilvallen bij grotere cyberaanvallen?

Zorgaanbieders zijn verantwoordelijk voor het leveren van goede en veilige zorg. Een onderdeel daarvan is dat zij risico’s inventariseren en bijpassende maatregelen treffen om deze risico’s te beheersen. Een voorbeeld van een risicobeheersmaatregel is een noodscenario om bij uitval van ICT-systemen tijdelijk een alternatieve voorziening te gebruiken.

Vraag 6

Welke acties onderneemt u om ziekenhuizen en andere zorginstellingen te ondersteunen om zich beter tegen cyberaanvallen te beschermen?

Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Ik zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. Daarvoor is het Ministerie van VWS in 2019 het project informatieveilig gedrag gestart. Via dit project werk ik aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. In mijn brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik uw Kamer hier nader over geïnformeerd.2
Daarnaast zorg ik er samen met het zorgveld voor dat we de eerder genoemde NEN-normen voor informatiebeveiliging blijven ontwikkelen, en breng ik deze normen actief onder de aandacht bij zorgaanbieders. Zo heb ik NEN in 2022 de opdracht gegeven om een herziening van de NEN-7510 te coördineren, en daarbij ook implementatietools te ontwikkelen.
Ook stimuleert het Ministerie van VWS op basis van een risicogebaseerde aansluitstrategie dat steeds meer zorgaanbieders lid worden van Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT.
In januari 2023 heeft het Ministerie van VWS daarnaast samen met ROAZ Zuidwest-Nederland en GHOR Zuid-Holland Zuid een grootschalige oefening georganiseerd. Hierbij is gezamenlijk geoefend met een scenario waarin sprake was van digitale verstoring van onder andere de ziekenhuiszorg. De lessen die hieruit zijn getrokken zullen de komende tijd worden gebruikt om de voorbereiding op dergelijke incidenten te verbeteren.
Tot slot wordt de komende tijd gewerkt aan de implementatie van nieuwe Europese richtlijnen met betrekking tot informatieveiligheid (NIB2) en algemene weerbaarheid (CER). Over de deze implementatie zal ik uw Kamer binnenkort nader informeren.

Vraag 7

Is deze cyberaanval op het Universitair Medisch Centrum Groningen (UMCG) voor u een aanleiding om aanvullende acties te ondernemen om de cyberveiligheid van Nederlandse zorginstellingen te versterken?

De cyberaanval op het UMCG onderstreept het belang van de cyberweerbaarheid van de Nederlandse samenleving in zijn geheel, en de zorgsector in het bijzonder. Het vergroten van de cyberweerbaarheid van de Nederlandse samenleving is een van de speerpunten van dit kabinet. In de Nationale Cybersecurity Strategie die in september 2022 is gepresenteerd heeft het Ministerie van VWS ook een aantal aanvullende acties gepresenteerd om de cyberweerbaarheid op peil te houden.

Vraag 1

Is het correct dat u een spreker («speaker») was tijdens het jaarlijkse congres van het World Economic Forum (WEF) afgelopen januari in Davos?1

Ik heb tijdens het World Economic Forum 2023 deelgenomen aan drie paneldiscussies. De eerste paneldiscussie was het «Ukrainian breakfast»2, de tweede paneldiscussie was «Finding Europe’s new growth»3 en de derde paneldiscussie was «Repowering the World»4. Deze drie paneldiscussies zijn gelivestreamd en terug te zien op YouTube.

Vraag 2

Indien dit correct is, kan de Kamer de tekst ontvangen van deze toespraak die u bij het WEF heeft gegeven?

Zie het antwoord op vraag 1.

Vraag 1

Bent u bekend met het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan»?1

Ja.

Vraag 2

Is bekend of ook ziekenhuizen in andere landen te maken hebben (gehad) met DDoS-aanvallen? Is bekend of hierbij patiëntgegevens of continuïteit van zorg in gevaar is gebracht?

Dat klopt. Andere landen hebben bevestigd dat ziekenhuizen getroffen zijn door DDoS-aanvallen. Wij hebben geen volledig beeld van de gevolgen in andere landen van deze DDoS-aanvallen.

Vraag 3

Wat is de (potentiële) schade die Killnet, en mogelijk andere hackerscollectieven, aan hebben kunnen richten aan de zorginfrastructuur in Nederland? Hoe zien de effecten van dit soort veiligheidsrisico’s eruit voor patiënten en zorginstellingen? Zijn zorgorganisaties of ziekenhuizen of websites onbereikbaar geweest? Kunt u meer vertellen over de modus operandi van de aanvallen? Welke lessen worden hieruit getrokken?

De Russische groep Killnet gebruikt DDoS-aanvallen voornamelijk om de dagelijkse dienstverlening van de beoogde slachtoffers te frustreren. Deze aanvallen passen in het huidige digitale dreigingsbeeld. Tijdens de DDoS-aanvallen waar het artikel naar verwijst is de zorgcontinuïteit niet in het geding geweest. De aanvallen hebben vooral geleid tot het beperkt beschikbaar zijn van de websites van ziekenhuizen. Ziekenhuizen zijn via andere kanalen wel bereikbaar gebleven.
De geleerde les is in hoofdlijnen dat cybersecurity een continu proces is dat geborgd dient te worden binnen de bedrijfsvoering van organisaties en ook periodiek dient te worden geëvalueerd: welke dreigingen zijn er, welke belangen zijn relevant, tot welke risico’s leidt dat en welke maatregelen moeten er genomen worden om te komen tot een passend niveau van weerbaarheid. Een DDoS-aanval is een scenario dat daarin kan worden meegenomen.

Vraag 4

Kunt u een stand van zaken geven over het lopende proces om de ziekenhuissector als vitale sector te identificeren zoals aangegeven in het commissiedebat Online veiligheid en cybersecurity en zoals aangegeven in het debat over de Wet elektronische gegevensuitwisseling in de zorg?

De Minister van Volksgezondheid, Welzijn en Sport zal u uiterlijk voor de zomer per Kamerbrief informeren over de stand van zaken van het aanwijzen van de zorgsector als vitale sector. In deze brief wordt u ook geïnformeerd over de implementatie van de herziene richtlijn voor Netwerk- en Informatiebeveiliging (NIB2) en de richtlijn Veerkracht van Kritieke Entiteiten (CER) in het zorgveld.

Vraag 5

Bestaat er een «scrubbing center» voor de zorg en de nu al aangewezen vitale infrastructuren/sectoren, waarin dataverkeer wordt opgeschoond en geanalyseerd, en kwaadaardig dataverkeer zoals DDoS wordt verwijderd? Zo nee, wat vindt u van een dergelijke «veiligheidsklep» voor deze infrastructuren/sectoren?

Er zijn leveranciers waar deze maatregel («scrubbing straat») in diverse vormen als dienst kan worden afgenomen. Diverse Nederlandse ziekenhuizen maken hier ook gebruik van. Er bestaat echter geen wasstraat specifiek voor de zorg en de nu al aangewezen vitale infrastructuur/sectoren. Behalve een wasstraat («scrubbing straat») zijn er nog andere maatregelen die genomen kunnen worden op het niveau van applicatie/diensten, netwerk en servers. Organisaties besluiten individueel welke maatregelen voor hen nodig zijn om DDoS-aanvallen af te weren. Of een wasstraat een noodzakelijke maatregel is, dient iedere organisatie voor zichzelf af te wegen op basis van het risicoprofiel en de overige maatregelen die er al zijn genomen. Ook is het goed mogelijk dat internetproviders reeds scrubbing diensten hebben opgenomen in hun dienstverlening, waarover de organisatie zelf afspraken kan maken over hoe en wanneer dergelijke technologie wordt geactiveerd.

Vraag 6

Het Ministerie van Volksgezondheid, Welzijn en Sport wil de zorg bewust maken van cyberveiligheid door onder andere de diensten van expertisecentrum Z-Cert uit te breiden naar de gehele zorgsector, waarom zijn diensten van Z-Cert nu alleen van toepassing op ziekenhuizen en de geestelijke gezondheidszorg (GGZ) en niet bijvoorbeeld op de Geestelijke Gezondheidsdiensten (GGD’en)? Welke termijn heeft u voor ogen om de diensten voor de gehele zorgsector beschikbaar te maken? In hoeverre gaat de inwerkingtreding van de NIS2 deze situatie veranderen?2

Zoals eerder aan uw Kamer gecommuniceerd4 kiezen het Ministerie van VWS en Z-CERT ervoor om de verschillende sub-sectoren in het zorgveld aan te sluiten volgens een risicogebaseerde aansluitstrategie. Concreet betekent dit dat de sub-sectoren waarin de risico’s op cyberincidenten en de bijbehorende gevolgen het grootst zijn als eerste worden aangesloten bij Z-CERT. Op dit moment zijn bijna 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Ook de GGD’en zijn via de koepelorganisatie aangesloten. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Daarbij wordt rekening gehouden met het absorptievermogen van Z-CERT. Voor de zomer zal de Minister van VWS de Kamer informeren over de implementatie van de nieuwe Europese Netwerk en Informatiebeveiligingsrichtlijn (NIB2) en zal hij ingaan op wat dit voor de zorgsector betekent.

Vraag 7

Bent u bereid actief te communiceren dat zorginstellingen zich aan kunnen sluiten bij Z-Cert en hoe wordt gestimuleerd dat straks de gehele zorgsector zich aansluit, aangezien in de beantwoording van eerdere schriftelijke vragen is aangegeven dat aangesloten zorginstellingen bij ICT-incidenten kunnen rekenen op de hulp van Z-Cert?3

Zie antwoord vraag 6.

Vraag 8

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van Killnet hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Onze eerste prioriteit lag bij het mitigeren van deze aanvallen en de getroffen systemen weer online te krijgen. Daarna kan er een onderzoek worden verricht naar de mogelijke dader(s) en kan bezien worden of sancties of strafrechtelijke vervolging tot de mogelijkheden behoren. Nederland zal hierbij zo mogelijk optrekken met de EU en afzonderlijke lidstaten, omdat een reactie sterker is als deze in coalitie-verband wordt vormgegeven.
Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Op dit moment wordt de Toolbox herzien, hier nemen we een actieve rol in. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 1

Bent u bekend met het bericht «Oude ict kost fiscus miljoenen»?1

Ja.

Vraag 2

Kunt u per jaar vanaf 2010 tot heden een overzicht geven van de kosten die de belastingdienst aan ICT heeft uitgegeven? Kunt u deze uitgesplitst in interne en externe inhuur met daarbij de overschrijdingen aangegeven?

In het overzicht hieronder ziet u de jaarlijkse budgetten van de ICT-organisatie van de Belastingdienst in de periode 2010–2022. De middelen voor de ICT-organisatie zijn bestemd voor zowel personele als materiële uitgaven. De personele uitgaven zijn als onderdeel van de totale ICT-uitgaven (kolom 1) apart inzichtelijk gemaakt, met daarbij ook een nadere splitsing naar eigen personeel en externe inhuur.
In de reguliere begrotingscyclus wordt gedurende het jaar inzicht gegeven in tussentijdse bijstellingen van beschikbare middelen op basis van de verwachte kasuitgaven. Ten opzichte van de tweede suppletoire begroting bij Najaarsnota hebben er in de periode 2010 t/m 2022 over het algemeen geen overschrijdingen van personeelsbudgetten plaatsgevonden. De gemiddelde onderschrijding lag rond de 3%. Uitzondering hierop zijn de jaren 2015 en 2016 waarin sprake was van een overschrijding van de personele budgetten van respectievelijk 5% en 8%. De overschrijding zat in deze jaren met name op externe inhuur en werd veroorzaakt door een grote opdrachtenstroom die niet volledig gerealiseerd kon worden met de bezetting eigen personeel. Op het niveau van de totale ICT-uitgaven waren de overschrijdingen in deze jaren overigens kleiner (4% in 2015 en <1% in 2016).

Vraag 3

Kunt u een overzicht geven van de verhouding tussen uitgaven aan onderhoud van bestaande systemen en de modernisering daarvan?

Afgelopen jaren zijn vanuit de voorjaarsbesluitvorming en Werk aan Uitvoering middelen beschikbaar gekomen voor de ICT-organisatie van de Belastingdienst. Inmiddels bedraagt het budget van de ICT-organisatie van de Belastingdienst in 2023 circa € 860 mln. Een groot gedeelte hiervan, circa 60%, is bestemd voor personele uitgaven. Met het personeel dat van deze budgetten wordt betaald, zowel eigen personeel als inhuur van externen, worden IV-dagen gerealiseerd. Voor 2023 wordt gewerkt met 626.000 IV-dagen.
Jaarlijks is circa 60% van de beschikbare IV-dagen nodig voor beheer en onderhoud. Onderdeel van beheer en onderhoud zijn de activiteiten voor het Datacenter van de Belastingdienst, de printstraat, regulier lifecycle-management en het bewaken van de digitale veiligheid in het Security Operations Center (SOC). Aan modernisering wordt circa 10% van de totaal beschikbare capaciteit besteed. Aan vernieuwing wordt circa 14% besteed. Onder vernieuwing vallen dienstverlening, integrale beveiliging, initiatieven met betrekking tot gegevens, toezicht en bedrijfsvoering. Onderstaande tabel geeft dit weer.
Portfolio categorieën in IV-dagen
2019
2020
2021
2022
Beheer en onderhoud
Data Center Services
163.400
152.400
155.700
152.700
Regulier Beheer en Onderhoud
162.200
185.200
186.200
206.200
Projecten
Wetgeving
33.900
31.600
47.000
45.500
Modernisering
61.800
64.600
80.400
74.800
Vernieuwing
57.300
72.100
93.300
81.500
Jaaraanpassingen

Vraag 4

Per wanneer kunnen de ICT-systemen uit bijvoorbeeld de jaren 70, of waarvoor geen expertise meer in huis is, worden omgezet in moderne ICT-systemen met moderne programmeerta(a)l(en)?

Het hebben van ICT-systemen uit de jaren «70 uit zich in technische schuld. De Belastingdienst is bezig met het reduceren van die technische schuld. Sinds 2018 is deze gehalveerd van 52% naar 26%. Deze modernisering is desondanks complex en wordt daarom in kleinere stappen uitgevoerd, zodat er grip is op deze projecten.
Voor alle ketens wordt aan de modernisering gewerkt. Het is de planning om het overgrote deel van het achterstallig onderhoud, dat wijzigingen belemmert, in 2026 opgelost te hebben. Of dat tijdpad gehaald wordt is afhankelijk van veel factoren, zoals de beschikbaarheid van ICT-personeel, tussentijdse onvoorziene ontwikkelingen (zoals box 3, energiemaatregelen, etc.) en het verloop van aanbestedingen.
Voor de volgende ketens geldt dat er na 2026 nog gemoderniseerd moet worden: inning en betalingsverkeer, omzetbelasting en gegevens. Bij inning en betalingsverkeer komt dit onder andere door werkzaamheden rondom het herstel toeslagen, FSV en corona uitstelbeleid die voorrang kregen boven modernisering. De binnenlandse omzetbelasting wordt gemoderniseerd met als planning dat in 2026 een nieuw systeem operationeel is. In deze keten dienen na 2026 ook andere regelingen nog gemoderniseerd te worden. Voor de keten gegevens is na 2026 nog een forse inspanning nodig, omdat er veel applicaties van lokale applicaties omgezet moeten worden naar centrale applicaties en de gegevenshuishouding verbeterd moet worden.

Vraag 5

Waarom is de aanbesteding voor het moderniseren van het nieuwe systeem voor de omzetbelasting nog niet uitgeschreven? Kunt u aangeven welke stappen u zet om deze en andere aanbestedingen te versnellen?

In 2021 heeft een marktconsultatie plaatsgevonden waaruit bleek dat er oplossingen in de markt beschikbaar zijn voor een nieuw systeem voor de omzetbelasting. Een extern advies in 2022 heeft dit bevestigd. De aanbesteding bevindt zich nu in de voorbereidende fase. Er zijn nog verschillende go en no-go momenten. Ik ben terughoudend om u in deze fase uitgebreid over de planning te informeren, zie ook antwoord 6.
Een versnelling in deze of andere aanbestedingen leidt tot risico’s en kan afbreuk doen aan de kwaliteit van het proces van aanbesteden of aan de aanbestede dienst of product. Ondanks dat ik de wens begrijp om een aanbesteding te versnellen om zo bijvoorbeeld sneller te beschikken over een modern systeem, wil ik zorgvuldigheid boven snelheid stellen.

Vraag 6

Welke andere aanbestedingen moeten nog worden uitgeschreven?

De Belastingdienst voert jaarlijks een groot aantal ICT-aanbestedingen uit met wisselende inhoud en omvang. In aanbestedingen die in voorbereiding zijn of in de nabije toekomst op de markt zullen worden gebracht, wordt door de Belastingdienst geen inzage vooraf gegeven. Dit kan marktverstorend werken of de juridische positie van de Belastingdienst schaden.

Vraag 7

Hoe duidt u de uitspraak in het artikel, gebasseerd op interne documenten, dat door personeelstekorten en achterstanden in de ICT het belastingmoraal van burgers en ondernemers kan worden aangetast?

De Belastingdienst heeft als taak om belastingen eerlijk en zorgvuldig te heffen en innen. Iedere burger, elk bedrijf en elke andere belastingplichtige organisatie moet erop kunnen vertrouwen dat hij of zij het juiste deel aangeeft en betaalt en dat hij of zij ook (terug)krijgt waar hij of zij recht op heeft. Daarnaast moeten burgers en bedrijven er ook op kunnen vertrouwen dat de Belastingdienst ervoor zorgt dat andere burgers en bedrijven hun bijdrage leveren. Als dat vertrouwen afneemt kan dat effect hebben op de belastingmoraal.
De Belastingdienst voert deze taak nog steeds naar behoren uit, in die zin is er geen sprake van een aantasting van de belastingmoraal. Dit komt ook naar voren in de fiscale monitor die jaarlijks wordt uitgevoerd en uw Kamer bij het jaarplan Belastingdienst 2023 heeft ontvangen. De situatie is nu ook anders dan in 2018. Er was toen sprake van een groot personeelsverloop en achterstand in de ICT. Inmiddels is meer personeel aangetrokken en worden ICT-systemen vernieuwd. Daardoor kan personeel efficiënter en mogelijk anders worden ingezet.
Dat laat onverlet dat de Belastingdienst nog stappen moet zetten. Zo is er nog sprake van een tekort aan (ICT-)personeel en wordt er in sommige ketens nog gewerkt met verouderde systemen.

Vraag 8

Kunt u aangeven bij welke ICT-systemen continuiteitsrisico’s spelen en welke delen van de bedrijfsvoering van de Belastingdienst hiervan afhankelijk zijn?

De urgentie voor modernisering wordt bepaald door risico’s. Systemen met de grootste risico’s op het gebied van continuïteit door verouderde technologie, zijn als eerste gemoderniseerd, zoals het systeem voor autobelastingen. De systemen voor omzetbelasting, loonheffing en inkomensheffing worden de komende tijd vervangen. Tot die systemen volledig zijn vervangen, ziet de Belastingdienst voor deze ketens risico’s. Om deze risico’s te beheersen, zijn aanvullende maatregelen genomen. In figuur 5 en 6 van de begeleidende brief ziet u hoe de technische schuld per keten nu is en wat de ambitie is qua ontwikkeling tot en met 2026.

Vraag 9

Kunt u de vragen één voor één beantwoorden?

Ja.

Vraag 1

Deelt u de mening dat het onduidelijk is in hoeverre de gegevensbescherming van TikTok voldoet en dat de Chinese applicatie daarmee een potentieel hoog veiligheidsrisico heeft?

In de begeleidende brief bij deze antwoorden, ben ik nader ingegaan op risico’s voor de rijksoverheid, en de stappen die ik in reactie daarop ga nemen.
Als het gaat om het voldoen van TikTok aan de geldende regels, doet op dit moment de Ierse privacytoezichthouder (de zogenaamde Data Protection Commission), als leidende EU-privacytoezichthouder, onderzoek naar de wijze waarop TikTok persoonsgegevens verwerkt. Het onderzoek van de Ierse toezichthouder richt zich onder andere op rechtmatigheid van de overdracht door TikTok van persoonsgegevens naar derde landen waaronder China en de naleving van de vereisten van de Algemene verordening gegevensbescherming (AVG) voor deze overdrachten.
De Minister voor Rechtsbescherming heeft de Autoriteit Persoonsgegevens (AP) gevraagd om bij haar Ierse collega te vragen naar de stand van zaken van dit onderzoek. Uit deze navraag blijkt dat de onderzoeksresultaten in de eerste helft van 2023 worden verwacht. Uit dit onderzoek zal blijken in hoeverre de gegevensbescherming van TikTok voldoet aan de geldende wet- en regelgeving.

Vraag 2

Hoe kijkt u naar de ontwikkeling in de Verenigde Staten waar het besloten is om publieke vertegenwoordigers te verbieden TikTok op hun mobiele werkdevice te hebben en zou u dit ook aan Nederlandse volksvertegenwoordigers adviseren?1

Zoals aangegeven in de begeleidende brief, is in het traject de afgelopen weken nauw contact geweest met Europese partners, en hun beleid rondom mobiele apparaten bij de overheid en TikTok. Deze contacten hebben daarmee bijgedragen aan de in de brief genoemde besluiten.
De risico’s die naar voren zijn gekomen, gelden niet alleen voor de rijksoverheid, maar kunnen ook breder gelden. Ik adviseer het Nederlandse parlement dan ook om kennis te nemen van de brief, en met inachtneming van zijn eigen onafhankelijke positie, te besluiten over eventuele extra veiligheidsmaatregelen.

Vraag 3

Bent u bereid medewerkers van de rijksoverheid en andere overheidsambtenaren te verbieden de applicatie TikTok op hun mobiele werkdevice te hebben, om op die manier potentiele risico’s te verkleinen?

Voor het antwoord op deze vraag verwijs ik naar het beleid zoals geformuleerd in de begeleidende brief bij deze antwoorden.