Kamervragen

Alle

14 januari 2022 - 23 februari 2022

40 dagen

Het artikel ‘Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden’
	Sylvana Simons (BIJ1)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NRC, 5 januari 2022, «Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden».

Vraag 1

Heeft u kennis genomen van het artikel «Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden» waarin staat beschreven dat de Nederlandse politie met proefproject Athene op grote schaal onrechtmatig data verzamelde van asielzoekers?1

Ja.
Vraag 2

Hoe reageert u op de stelling van criminoloog Maarten Bolhuis in het artikel dat Athene het risico van etnisch profileren in de hand werkte omdat er voor het daadwerkelijk analyseren van al deze data risico-indicatoren ontwikkeld dienen te worden?

Het project Athene is destijds gestart met als doel het verbeteren van de kwaliteit van de informatie om de identiteit van een individuele asielzoeker vast te kunnen stellen en in een vroeg stadium signalen van terrorisme en mensenhandel en -smokkel beter te onderkennen.
Gegevensdragers van asielzoekers worden altijd eerst handmatig gecontroleerd. Vervolgens wordt op basis van deze handmatige controle bij bijvoorbeeld «verdachte informatie» besloten of een volledige uitlezing gewenst is. In deze specifieke kwestie werd als «verdachte informatie» gezien het in bezit hebben van foto’s van meerdere verschillende identiteitspapieren of beelden, contactgegevens en locatiegegevens die betrokkenheid bij een gewapende strijd dan wel mensenhandel en -smokkel doen vermoeden. Etniciteit werd niet gebruikt als risico-indicator. Project Athene maakte het mogelijk om de uitgelezen gegevens met opsporingsinformatie met betrekking tot mensenhandel en terrorisme geautomatiseerd te vergelijken.
Vraag 3

Bent u het eens met de stelling in het artikel dat het project niet alleen privacy van asielzoekers op grote schaal heeft geschonden, maar daarnaast ook uiterst inefficiënt is in het opsporen van potentiële misdadigers en terroristen? En bent u het eens dat dit soort dataverzamelingsprojecten bij asielzoekers te allen tijden voorkomen moeten worden? Kunt u dit verder toelichten?

Het is van belang dat de politie de data die zijn vastgelegd op gegevensdragers kan controleren als onderdeel van het identificatie- en registratieproces. Gegevensdragers kunnen informatie bevatten die relevant is voor het vaststellen van de identiteit en nationaliteit van een asielzoeker. Het inzien van gegevensdragers is echter niet alleen van belang voor de beoordeling van een asielaanvraag maar ook ter bestrijding van mensenhandel en -smokkel en terrorisme. De Inspectie van Justitie en Veiligheid onderschreef dit belang ook in haar rapport uit 2016 dat met uw Kamer is gedeeld.2 De handmatige controle van gegevensdragers blijft daarom ook onderdeel van het identificatie- en registratieproces. De geautomatiseerde verstrekking van opsporingsgegevens aan de vreemdelingenpolitie voor vreemdelingrechtelijke taken is stopgezet, omdat een wettelijke grondslag in de Wet politiegegevens (Wpg) ontbreekt.
In 2021 zijn twintig signalen vanuit de vreemdelingenpolitie ten behoeve van een mogelijk strafrechtelijke onderzoek verstrekt. Deze signalen hebben niet geleid tot het starten van een strafrechtelijk onderzoek. Wel is hierdoor mogelijk de informatiepositie van de opsporing binnen de politie versterkt.
Vraag 4

Welke maatregelen heeft u getroffen om de gemaakte fouten in Athene bij de politie te corrigeren? Zijn de gegevens gewist? Worden disciplinerende maatregelen opgelegd?

Het project is stopgezet en alle door AVIM eerder ontvangen opsporingsinformatie in het kader van het project Athene is vernietigd. Er is geen aanleiding om disciplinaire maatregelen op te leggen.
Vraag 5

Op welke wijze worden of zijn gedupeerde asielzoekers op de hoogte gesteld en gecompenseerd voor de onrechtmatige verzameling en verwerking van hun gegevens?

In artikel 4 van de Kwalificatierichtlijn wordt – kort gezegd – bepaald dat van de aanvrager mag worden verlangd dat hij alle elementen ter staving van het verzoek om internationale bescherming zo spoedig mogelijk indient.3 Deze plicht om alle relevante informatie beschikbaar te stellen is neergelegd in artikel 31, tweede en derde lid, van de Vreemdelingenwet 2000. Voorts bestaat op grond van artikel 55, tweede lid, van die wet de bevoegdheid om digitale gegevensdragers in te zien en uit te lezen. Bij aanvang van het asielproces wordt de vreemdeling geïnformeerd over de verplichting om met de bevoegde autoriteiten samen te werken. Bij de asielzoeker is derhalve bekend dat het afgeven van de telefoon dient tot nader onderzoek naar de inhoud daarvan.
De geautomatiseerde vergelijking heeft voor zover bekend niet tot nadelige effecten in de zin van aantoonbare (immateriële) schade geleid zodat er geen compenserende maatregelen zijn getroffen.
Vraag 6

Gaat u openheid geven van de in het Athene gebruikte zoekmodellen en eventueel gebruikte profielen, in het kader van transparantie van algoritmes in gebruik bij de overheid? Zo ja, wanneer en hoe? Zo nee, waarom niet?

Project Athene volgde de hieronder beschreven werkwijze. Indien na een handmatige uitlezing van de telefoon aanleiding bestond om de inhoud van de telefoon diepgaander te onderzoeken, dan werden de telefoongegevens in het systeem Athene geplaatst. In het systeem werden de telefoongegevens van de vreemdeling aan de hand van bepaalde indicatoren (zoals bijvoorbeeld locaties en telefoonnummers) vergeleken met de aan AVIM verstrekte informatie uit de themaregisters contraterrorisme en mensenhandel/mensensmokkel. Indien een gegeven uit de telefoon van de vreemdeling overeenkomsten vertoonde met informatie uit de themaregisters leverde dit een «hit» op. Deze hit is derhalve het resultaat van de vergelijking. Deze hit werd vervolgens handmatig opgezocht in de telefoon en nader geduid met de originele data van de telefoon. Vervolgens werd een proces-verbaal opgemaakt waarmee het betreffende gegeven aan de opsporing kon worden verstrekt. Project Athene kende dus geen zelflerende, voorspellende of besluitvormende functie.
Vraag 7

Welke middelen gaat u inzetten om onrechtmatige verwerking van gegevens tegen te gaan bij asielzoekers?

Gegevensverwerking van asielzoekers in het kader van het identificatie- en registratieproces moet voldoen aan de Vreemdelingenwet, dat onder het regime van de Algemene Verordening Gegevensbescherming (AVG) valt. Dat betekent dat wanneer persoonsgegevens verwerkt worden, een Data Protection Impact Assessment (DPIA) opgesteld dient te worden. Het doel van een DPIA is om bij de verwerking van persoonsgegevens een zo goed en duidelijk mogelijk beeld te hebben wat de risico’s zijn bij het verwerken van desbetreffende persoonsgegevens en welke risico mitigerende maatregelen genomen worden om die risico’s zoveel mogelijk te verminderen. Elke organisatie binnen de asielketen heeft een privacyfunctionaris die toezicht houdt op de naleving van de AVG. Als de gegevensverwerkingen (bijvoorbeeld indien meer persoonsgegevens dan voorheen worden verwerkt) of de effecten daarvan veranderen, dient de DPIA te worden geactualiseerd. De European Data Protection Board stelt als good practice om een DPIA iedere drie jaar te evalueren.
Vraag 8

Welke middelen gaat u inzetten die transparantie, mensenrechten en privacy bevorderen bij het gebruik van algoritmen en dataverwerking door de politie en het ministerie in brede zin?

Voor een zorgvuldige inzet van algoritmen zijn de «Richtlijnen voor het toepassen van algoritmen door overheden en publieksvoorlichting over data-analyses» opgesteld.4 In maart jl. zijn deze geüpdatet. De politie gebruikt verder het «Kwaliteitskader big data» welke specifieke vragen bevat die zijn geënt op juridische, maatschappelijke en ethische aspecten welke voortkomen uit geldende wet- en regelgeving, alsmede belangrijke waarden.5 De politie handelt conform deze kaders. Daarnaast heeft het College voor de Rechten van de Mens het juridische kader over het gebruik van etniciteit en nationaliteit helder in beeld gebracht;6 is er de handreiking met systeemprincipes voor niet discriminerende algoritmes – die in opdracht van het Ministerie van Binnenlandse Zaken is gemaakt;7 en is er een Impact Assessment Mensenrechten en Algoritmes ontwikkeld.8
Ten aanzien van transparantie over algoritmen nog het volgende. Op 19 januari 2021 heeft de Tweede Kamer de motie Klaver c.s. aangenomen waarin de regering wordt verzocht een algoritmeregister op te zetten waarin beschreven wordt welke algoritmen de overheid gebruikt, voor welk doel en op basis van welke datasets. Op 28 oktober jl. heeft de Tweede Kamer de motie Dassen aangenomen, waarin het kabinet gevraagd wordt om dit algoritmeregister verplicht te stellen. De Staatssecretaris van BZK heeft aangegeven dat zij begin 2022 met een brief aan de Tweede Kamer hierover komt.9

24 december 2021 - 10 maart 2022

76 dagen

De aanleg van glasvezel in het Westland.
	Inge van Dijk (CDA)
	Stef Blok (VVD)

Bronnen

1. Algemeen Dagblad, 24 maart 2021, «Snel internet toch weer in beeld».

Vraag 1

Bent u bekend met het bericht «Snel internet toch weer in beeld»?1

Ja.
Vraag 2

Deelt u de mening dat het voor zowel particulieren als bedrijven, zoals in de glastuinbouwsector, van groot belang is dat zij ook in het buitengebied kunnen beschikken over glasvezel, vanwege de toenemende afhankelijkheid van digitalisering en van snelle, betrouwbare internetverbindingen voor bijvoorbeeld thuiswerken en online zakendoen?

Ik deel de mening dat het voor zowel particulieren als bedrijven in de buitengebieden van Nederland van belang is dat zij, met het oog op de toenemende digitalisering, kunnen beschikken over een snelle en betrouwbare internetverbinding. Dat kan een glasvezelverbinding zijn, maar ook andere technieken kunnen hiervoor geschikt zijn.
Vraag 3

Wat is de huidige stand van zaken met betrekking tot de aanleg van glasvezel in het Westland? Kunt u de ontwikkelingen schetsen vanaf het moment dat aanbieder Delta Fiber aangaf zich te willen terugtrekken uit het samenwerkingsverband met de gemeente Westland (december 2020)?

Voor de beantwoording van deze vragen heb ik contact gezocht met Delta Fiber en de gemeente Westland.
In december 2020 heeft Delta Fiber aan de bewoners in het buitengebied van Westland laten weten dat de eerder aangekondigde aanleg van glasvezel in het gebied niet doorgaat. Dit als gevolg van te hoge aanlegkosten. Volgens Delta Fiber is er daardoor geen sluitende business case te maken. De hoge aanlegkosten zijn het gevolg van de complexiteit van het gebied, dat zich kenmerkt door veel waterkeringen en dijken en smalle bermen. Hierdoor zijn er veel extra ingrepen nodig om het netwerk aan te leggen, zoals boringen onder waterwegen en het vrezen van sleuven in asfalt. Daarnaast is er afstemming nodig met veel eigenaren van privégrond waar doorheen gegraven moet worden. Voornoemde factoren maken de uitvoering complex en tijdrovend en daardoor kostbaar. Er is door Delta Fiber naar alternatieve aanlegroutes gekeken, maar ook die bleken complex en te kostbaar. Voor zover mij bekend, spelen er geen andere factoren mee die de aanleg van glasvezel door Delta Fiber in de weg staan.
Gelijktijdig met het besluit om geen glasvezel aan te leggen, heeft Delta Fiber laten weten het bestaande coaxnetwerk in het gebied op te waarderen naar de zogenaamde DOCSIS 3.1 standaard. Hiertoe wordt alle apparatuur in het netwerk en bij de eindgebruiker vernieuwd, waardoor de stabiliteit en de snelheid van het netwerk fors verbetert. Hierdoor krijgen eindgebruikers de beschikking over een internetsnelheid van ten minste 200 Megabit per seconde (Mbps) en is opwaardering mogelijk naar 1 Gigabit per seconde (Gbps). Op dit moment is 85% van werkzaamheden voltooid en verwacht wordt dat aan het einde van dit kwartaal de opwaardering grotendeels is afgerond.
Daarnaast heeft Delta Fiber specifiek voor de kern Heenweg en de bedrijventerreinen in Westland gekeken of de aanleg van glasvezel alsnog mogelijk is. Voor Heenweg en de grotere bedrijventerreinen bleek er wel een business case te maken en daar is of wordt gestart met de aanleg van glasvezel. Voor de kleinere bedrijventerreinen is Delta Fiber nog aan het inventariseren of er een sluitende business case mogelijk is.
Vraag 4

Is het juist dat hoge kosten, als gevolg van de complexiteit van het gebied (met veel dijken, smalle bermen en sloten) de aanleg van glasvezel in het Westland in de weg staat? In hoeverre spelen nog andere factoren mee?

Zie antwoord vraag 3.
Vraag 5

Deelt u de mening dat digitalisering, waaronder het kunnen beschikken over snel internet, een maatschappelijk belang is, wat overheidsingrijpen rechtvaardigt indien sprake is van marktfalen?

Ja, ik deel de mening dat het kunnen beschikken over snel internet een maatschappelijk belang is, waarbij in het geval van aantoonbaar marktfalen overheidsingrijpen gerechtvaardigd is. Van marktfalen is bijvoorbeeld sprake wanneer een snelle breedbandvoorziening in een gebied ontbreekt, alsook de bereidheid van de markt om een dergelijke voorziening alsnog op eigen initiatief en risico te realiseren. Verder geldt dat overheidssteun voor breedbandinfrastructuur alleen geoorloofd is, als voldaan wordt aan Europese staatssteunregels. Daarmee moet oneigenlijke marktverstoring worden voorkomen. Kortweg schrijven deze regels voor dat steun alleen is toegestaan in gebieden waar er op dit moment of binnen 3 jaar geen snel vast breedbandnetwerk voorhanden is2. Met een snel vast netwerk wordt bedoeld, een netwerk dat op betrouwbare wijze downloadsnelheden van ten minste 100 Mbps kan aanbieden.
Vraag 6

Wat kunt u voor de inwoners en ondernemers in het Westland en van andere moeilijk te verglazen gebieden in Nederland, waar niet tot een sluitende business case kan worden gekomen, betekenen om de aanleg van glasvezel daar alsnog mogelijk te maken? Bent u bereid hiertoe contact op te nemen met de betreffende gemeentes?

De bewegingsruimte voor overheidsingrijpen wordt begrensd door Europese staatssteunregels. Gelet op de situatie in het buitengebied van Westland, waar met de opwaardering van het coaxnetwerk van Delta Fiber een snel vast breedbandnetwerk van ten minste 200 Mbps beschikbaar komt, is mijn beeld dat overheidsingrijpen hier niet gepast is. Die mogelijkheid is er eventueel wel voor buitengebiedbewoners in het Westland en de rest van Nederland, die niet over een snelle vaste internetverbinding (ten minste 100 Mbps) kunnen beschikken. N.a.v. de motie Van Dijk c.s.3 wordt onderzocht hoe groot deze groep landelijk is en welke technische oplossingen (incl. kosten) en handelingsperspectieven voorhanden zijn. Over de resultaten van het onderzoek die ik uw Kamer naar verwachting nog dit kwartaal zal sturen, zal ik ook in contact treden met provincies en de VNG.
Vraag 7

Welke nationale en Europese mogelijkheden zijn er voor investeringen in glasvezel, met name in moeilijk te verglazen gebieden? Hoe maakt Nederland hier gebruik van? Welke rol kunnen de middelen uit het Recovery and Resilience Facility (RRF) hierbij spelen?

In de brief aan de Tweede Kamer van 17 mei 20214 is n.a.v. de motie Bromet c.s.5 toegelicht dat er afgezien van de middelen uit het RRF op dit moment geen concrete EU-financieringsmogelijkheden zijn voor de uitrol van snel internet in moeilijk te ontsluiten buitengebieden in Nederland. In het coalitieakkoord is afgesproken dat het Nederlandse herstelplan zal bestaan uit reeds begrote en gedekte uitgaven. De Minister van Financiën zal uw Kamer informeren over het Nederlandse herstelplan.
Vraag 8

Welke aanbevelingen geeft u aan het nieuwe kabinet mee om invulling te geven aan de inzet Nederland wordt het digitale knooppunt van Europa en krijgt robuust, supersnel en veilig internet in alle delen van het land. uit het onlangs gepresenteerde coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst»?

In het coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst» van 15 december jl. is de ambitie opgenomen dat Nederland het digitale knooppunt van Europa wordt en snel internet in alle delen van het land krijgt. De concrete uitwerking daarvan wat betreft de (on)beschikbaarheid van snel internet in de buitengebieden vindt momenteel plaats. Hierbij zal het externe onderzoek naar de technische opties en kosten voor snel internet voor de moeilijk gelegen adressen in de buitengebieden worden betrokken. Ik verwacht dat uw Kamer nog in dit kwartaal kan worden geïnformeerd over de uitkomsten van het lopende onderzoek en de vervolgstappen.

24 december 2021 - 16 februari 2022

54 dagen

De plannen voor het hyperscale datacenter van Facebookmoederbedrijf Meta in Zeewolde en andere datacenters
	Eva van Esch (PvdD), Lammert van Raan (PvdD)
	Kajsa Ollongren (minister defensie) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Stef Blok (VVD), Raymond Knops (CDA)

Bronnen

1. https://www.eerstekamer.nl/motiedossier/35925_xiv_h_motie_koffeman_pv…
2. Energeia, «Politieke keuze voor lage belastingen en nettarieven trekt…
3. «(X)XL-verdozing: Minder, compacter, geconcentreerder, multifunctione…
4. NOS, «Kabinet: nog plannen voor 20 tot 25 datacenters», 24 december 2…
5. Idem
6. De Stentor, «Land van Ons doet bod op perceel beoogd datacenter Zeewo…
7. Podcast NRC Vandaag, 22 december 2021

Vraag 1

Hoe gaat u uitvoering geven aan de aangenomen motie Koffeman (Partij voor de Dieren) (Kamerstuk 35 925 XIV, H) die de regering vraagt om de verkoop van grond voor (hyperscale) datacenters op te schorten?1

De in de motie genoemde verkoop van Rijksgronden is actueel in de casus Zeewolde. Naar aanleiding van het gevestigde voorkeursrecht, in het kader van de Wet voorkeursrecht gemeenten, moet het Rijk bij verkoop de gronden aanbieden aan de gemeente. Als grondeigenaar heeft de Staatsecretaris van BZK, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, voorwaarden gesteld voor de verkoop aan de gemeente Zeewolde. Deze voorwaarden liggen in het verlengde van keuzes in NOVI, zijn gebaseerd op een advies van het College van Rijksadviseurs (CRa) en betreffen maximale energiezuinigheid van servers, maximale opwekking van zonne-energie op daken en gevels van het datacenter, minimaal gebruik van water voor koeling en het gebruik van restwarmte voor een warmtenet. Op het moment dat Zeewolde hier aangepaste plannen voor indient zullen deze eerst worden getoetst en daarna beoordeeld.
Voor andere locaties is relevant dat het kabinet – zoals aangekondigd in het coalitieakkoord – naar aanleiding van het onevenredige beslag op duurzame energie in verhouding tot de economische en maatschappelijke meerwaarde, de landelijke regie voor hyperscale datacenters zal aanscherpen en ook de toelatingscriteria voor de vergunningverlening. Deze aanscherpingen zullen mogelijk ook doorwerken in de verkoop van Rijksgronden.
Vraag 2

Bent u bereid om ook andere partijen dan het Rijksvastgoedbedrijf te vragen (tijdelijk) geen grond te verkopen voor de aanleg van nieuwe datacenters?

Op dit moment ga ik dat niet doen. Andere partijen maken eigen keuzes. Het kabinet geeft in dat verband met de keuzes in de NOVI en de in het coalitieakkoord aangekondigde aanscherping van beleid al een signaal af over zijn voorkeur over waar datacenters zich kunnen vestigen.
Vraag 3

Waarom leek het u verstandig de afgelopen jaren een industrie naar Nederland te lokken die a) veel energie verbruikt en b) veel ruimte nodig heeft, terwijl Nederland a) een tekort heeft aan duurzame energie en b) een gebrek heeft aan ruimte om te bouwen?

Voor het beleid rond het aantrekken van datacenters naar Nederland verwijs ik u naar de antwoorden op vragen 2 en 3 van de vragen van het lid Van Dijk (PvdA) over het bericht «De rode loper voor datacenters» (Aanhangsel Handelingen, vergaderjaar, 2021–2022, nr. 1728).
Vraag 4

Waarom voelen datacenters zich zo sterk aangetrokken tot Nederland? En op welke wijze is er (financieel/fiscaal) beleid gemaakt om datacenters extra te verleiden naar Nederland te komen? Kunt u in uw antwoord ook ingaan op de rol van de energiebelasting en netwerktariefkosten?2

Wereldwijd is er sprake van toenemende digitalisering van economie en maatschappij daarmee groeit de sector. Datacenters kiezen hun vestigingsplaats onder andere op basis van de betrouwbaarheid en mogelijkheid van aansluiting op het elektriciteitsnet en toegankelijkheid tot de internetkabels die Europa met de rest van de wereld verbindt. Ook zijn een stabiel politiek en gematigd klimaat belangrijk. Nederland scoort hoog op al deze punten en is daarom een centrale plek geworden voor datacenters in Europa. Amsterdam is een groot internetknooppunt mede vanwege zeer snelle en goede dataverbindingen naar het buitenland.
Er is geen specifiek beleid op het gebied van energiebelasting of netwerktarieven voor datacenters. De energiebelasting wordt geheven op basis van de hoeveelheid gebruikte elektriciteit en de nettarieven worden gebaseerd op het capaciteitsbelslag dat gebruikers leggen op het elektriciteitsnet en het afnamepatroon.
Vraag 5

Kunt u bevestigen dat Nederland al decennia notoir slecht scoort in Europa op het gebied van duurzame energie?

Het aandeel duurzame energie in Nederland was in 2020 11,5%. Via een statistische overdracht met Denemarken voldeed Nederland aan het Europese doel van 14% in 2020. Het PBL constateert dat het doel uit het Energieakkoord van 16% in 2023 in beeld blijft. Nederland neemt een achterstandspositie in ten opzichte van andere landen in Europa. Dit komt onder andere door ons hoge aandeel energie-intensieve industrie, het relatief lage aandeel biomassa in onze warmtevoorziening en het ontbreken van hoogteverschillen waardoor waterkracht niet mogelijk is. Met de extra investeringen van € 7 miljard uit de Miljoenennota 2021 en het pakket van extra maatregelen uit het coalitieakkoord zet het kabinet in op het snel inhalen van deze achterstand.
Vraag 6

Kunt u bevestigen dat in de Nationale Omgevingsvisie valt te lezen dat datacenters zich kunnen vestigen op locaties waar veel aanbod is van duurzame energie? Betekent het gegeven dat er nergens in Nederland voldoende duurzame energie is daarmee ook dat er geen ruimte is voor nieuwe datacenters?

De NOVI geeft aan dat datacenters zich daar kunnen vestigen waar (onder andere) op een duurzame manier in de energievraag kan worden voorzien via huidige of toekomstige energienetwerken. Voor hyperscale datacenters noemt de NOVI daarnaast dat vestiging kan waar veel aanbod van hernieuwbare energie is. Dit is het geval aan de randen van Nederland, zoals op bestaande locaties Eemshaven en Middenmeer. Hyperscale datacenters vestigen zich dan ook bij voorkeur daar.
De NOVI is een zelfbindend instrument waarin de rijksoverheid voor datacenters uit oogpunt van de kwaliteit voor de leefomgeving voorkeuren uitspreekt voor vestigingslocaties. De uiteindelijke afweging over het vestigen van datacenters is op dit moment daarom een afweging van het bedrijf zelf en de decentrale overheid. Zoals aangegeven in het antwoord op vraag 1 werkt het kabinet de komende periode uit hoe te komen tot een aangescherpte regie op hyperscale datacenters.
Vraag 7

Wat is het effect van het aantrekken van dit soort – absoluut gezien – energieslurpers op het draagvlak voor de energietransitie?

Zie het antwoord onder vraag 4 van de beantwoording van de Kamervragen van het lid Leijten (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1726).
Vraag 8

Wat is het effect van de komst van datacenters op de haalbaarheid van de energiedoelen? Kunt u in uw reactie niet alleen ingaan op de extra vraag naar energie die datacenters met zich meebrengen, maar vooral ook op het risico dat het kabinet zijn energiedoelen niet haalt als de vraag naar energie toeneemt?

In algemene zin kan gesteld worden dat naarmate het energieverbruik in Nederland toeneemt, de opgave groter wordt voor het behalen van de Nederlandse doelstellingen op het gebied van duurzame energieopwekking. Zie daarvoor ook het antwoord onder vraag 14 van de beantwoording van de Kamervragen van de leden Van Dijk, Nijboer, Thijssen (allen PvdA) en Kröger (GroenLinks) over «De rode loper voor datacenter Zeewolde» (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1727).
Het is nu nog niet te zeggen wat dit betekent voor het halen van de energiedoelen. Hiervoor is immers de implementatie van de Fit for 55 voorstellen van de Europese Commissie van belang en de uitwerking van de maatregelen uit het coalitieakkoord. Jaarlijks zal via de Klimaat- en Energieverkenning en de Klimaatnota de voortgang gemonitord worden en worden zonodig extra maatregelen getroffen, waarbij het kabinet zich richt op een hogere opgave dan 55% reductie van CO2 in 2030.
Vraag 9

Welke rol spelen de lage energiebelasting en netwerktariefkosten die Nederland aanbiedt in de businessplannen van dit soort bedrijven?

Ik heb geen zicht op de precieze achterliggende kostenstructuur van datacenters maar ik heb niet de indruk dat de kosten voor energie of infrastructuur van doorslaggevend belang zijn bij een afweging om zich in Nederland te vestigen. Een goede internet infrastructuur en stabiel vestigingsklimaat zijn dat in veel grotere mate.
Vraag 10

Hoe zijn de netwerktariefkosten verdeeld over consumenten, het midden- en kleinbedrijf, en grootverbruikers (zoals datacenters en hyperscale datacenters)? Klopt het dat grootverbruikers relatief veel minder betalen en consumenten relatief veel meer? Kunt u een overzicht geven waaruit duidelijk wordt wie wat betaalt?

De tarieven die afnemers betalen voor het gebruik van het elektriciteitsnet dienen gebaseerd te zijn op de werkelijke kosten. Daarnaast zijn belangrijke uitgangspunten voor de nettarieven dat deze niet mogen discrimineren en dat ze transparant moeten zijn. Deze randvoorwaarden zijn vastgelegd in Europese regelgeving.
Het bovenstaande komt er in de praktijk op neer dat de netkosten worden verdeeld aan de hand van verdeelsleutels die een verband leggen tussen het gebruik van het elektriciteitsnet en de veronderstelde kosten die met dat gebruik gepaard gaan. Hierbij worden de kosten verdeeld over de gebruikers op basis van waar een aansluiting zich in de topologie van het elektriciteitsnet bevindt (het zgn. netvlak) omdat dit maatgevend is in hoeverre de rest van het elektriciteitsnet gebruikt wordt en andere tariefdragers zoals het maximale beschikbare vermogen, het gecontracteerde vermogen en het verbruik. Het elektriciteitsnet kent 7 typen netvlakken waar partijen op worden aangesloten variërend van een aansluiting van de grote industrie op het extra hoogspanningsnet tot een aansluiting op het laagspanningsnet waar zowel woningen als kleine bedrijven op zijn aangesloten. Voor aangeslotenen op het laagspanningsnet (kleinverbruikers) geldt dat het nettarief enkel afhankelijk is van de fysieke capaciteit van de aansluiting en dat er één nettarief geldt voor alle typen elektriciteitsaansluitingen die vaak worden gebruikt door huishoudens. Er wordt dus verondersteld dat alle huishoudens hun aansluiting op een vergelijkbare manier gebruiken. De bevoegdheid om de verdeelsleutels vast te stellen ligt bij de onafhankelijke toezichthouder, dit is de Autoriteit Consument en Markt (hierna ACM). De ACM moet bij vaststellen van de verdeelsleutels uitgaan van de eerder genoemde randvoorwaarden.
Het klopt dat in de Elektriciteitswet 1998 sinds 2013 een specifieke passage is opgenomen voor grootverbruikers met een bijzonder vlak afnamepatroon. Deze afnemers krijgen een gereduceerd nettarief wanneer zij een voldoende hoog elektriciteitsverbruik en een voldoende vlak afname patroon hebben. De gedachte achter deze passage was destijds dat deze gebruikers een bijdragen leveren aan het stabiel houden van het elektriciteitsnet (Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 2209). De regeling gaat niet worden overgenomen in het voorgenomen wetsvoorstel Energiewet omdat uit Europese jurisprudentie is gebleken dat het niet aan de nationale wetgever is om dit soort regels te stellen. De ACM heeft aangekondigd te gaan onderzoeken of het blijven toepassen van deze regeling wenselijk is.
Ik kan geen nationaal overzicht geven van de verdeling van de netkosten elektriciteit over verschillende groepen van gebruikers. Er wordt nationaal niet bijgehouden welke aansluiting door welk type bedrijf wordt gebruikt omdat dit niet relevant is voor de (regionale) netbeheerder. Op de website van de ACM worden alle tarievenbesluiten gepubliceerd. Daarbij is ook per regionale netbeheerder een overzicht te vinden van alle tarieven die worden gehanteerd en hoe vaak deze tarieven ongeveer in rekening worden gebracht.
Zie bijvoorbeeld voor netbeheerder Liander.https://www.acm.nl/nl/publicaties/tarievenbesluit-liander-elektriciteit-2022.
Vraag 11

Klopt het dat met de Wijziging van de Energiewet 1998 in 2013 grootverbruikers financieel nog verder worden beloond met lage netwerktariefkosten? Wie draaien er dan voor die kosten op?

Zie antwoord vraag 10.
Vraag 12

Waarom wordt er in Nederland niet betaald naar de mate waarin een verbruiker het net belast? Is dat eerlijk/rechtvaardig naar uw mening?

De tarieven van de netbeheerders zijn kosten georiënteerd. De kosten worden voornamelijk veroorzaakt door de beschikbare capaciteit die netbeheerder moeten aanleggen en onderhouden om aangesloten van transportcapaciteit te voorzien. Een op kosten gebaseerd tarief vindt ik eerlijk en rechtvaardig. Het is aan ACM om als onafhankelijk toezichthouder invulling te geven aan een juiste kostenverdeling.
Vraag 13

Hoe staat het met het voornemen om een norm voor de energiebesparing in te stellen voor datacenters?

Veel datacenters vallen, zeker na het aflopen van het energiebesparingsconvenant MJA3, onder de energiebesparingsplicht (Kamerstuk 32 813, nr. 675). Zij moeten alle energiebesparende maatregelen met een vijf jaar terugverdientijd uitvoeren. Energiebesparende maatregelen zijn vastgelegd in de Erkende Maatregelenlijst (EML Commerciële Datacenters). Datacenters die een milieuvergunning nodig hebben en/of onder het EU Emissiehandelssysteem (ETS) vallen kennen nog geen energiebesparingsplicht, al kunnen bij niet EU-ETS datacenters wel eisen aan energiebesparing in de vergunning gesteld worden door het decentrale bevoegd gezag. Vanaf 2023 zal de energiebesparingsplicht ook voor deze datacenters gaan gelden. De juridische uitwerking van de actualisatie van de energiebesparingsplicht is onlangs geconsulteerd en ik verwacht deze medio 2022 aan uw Kamer voor te kunnen leggen.
Vraag 14

Klopt het dat reguliere datacenters in Nederland al 550.000m2 in beslag namen? Klopt het dat de twee hyperscale datacenters nog eens 213.000m2 in beslag namen? Kunt u een actualisatie van die cijfers geven aangezien de laatste cijfers uit 2018 lijken te komen?3

Het CRa-rapport (X)XL-verdozing vermeldt dat in 2018 de commerciële multi-tenant, «reguliere», datacentra bruto (inclusief aanvullende voorzieningen als kantoorruimte) ongeveer 55 ha. in gebruik hebben. Google (Groningen) en Microsoft (Middenmeer) voegden daar 213.000 m2 aan toe. Deze cijfers ontleende het CRa aan de cijfers van de Dutch Datacenter Association (DDA).
De DDA laat jaarlijks onderzoek doen naar de activiteiten van de commerciële co-locatie datacenters in Nederland. Hieruit blijkt voor het peiljaar 2020 een netto ruimtegebruik (datavloer) voor deze datacenters van 378.000 m2 (37,98 ha) en een bruto ruimtegebruik (datavloer incl. kantoorruimte) van 688.000 m2 (68,8 ha). Ook aan deze cijfers dienen de totalen niet-commerciële datacenters en hyperscale datacenters te worden toegevoegd. Het totaal bruto in gebruik zijnde oppervlak van de in Nederland gevestigde datacenters bedraagt dan per 2020 naar schatting 240 ha. Dit getal komt overeen met ongeveer 0,007% van het Nederlands landoppervlak en 0,2% van het areaal bedrijventerrein in Nederland.
Vraag 15

Klopt het dat de sector (en daarmee ook het ruimtegebruik) de afgelopen tien jaar gemiddeld met 10% is gegroeid?

Het CRa meldt in het rapport (X)XL-verdozing dat het gebruik van de cloud als opslagmedium in de afgelopen tien jaren met gemiddeld 10% toenam.
Hierdoor groeide ook het ruimtegebruik. Volgens opgave van de sector zelf is het netto ruimtegebruik door commerciële co-locatie datacenters over de periode 2016–2020 jaarlijks met ruim 10% gemiddeld per jaar gegroeid. Dit is exclusief de groei van de (2) hyperscale bedrijven in Nederland. Uit internationale publicaties blijkt vooral de verwachting van een sterke groei in het segment van de hyperscales.
Vraag 16

Kunt u aangeven wat de verwachtte groei is in ruimtegebruik, aangezien u stelt dat de sector over tien jaar twintig keer de omvang kan hebben die het in 2020 had?

De Staatssecretaris van EZK meldde in haar brief van 16 december jl. dat niet bekend is hoe de Nederlandse behoefte aan datacentercapaciteit zich tot 2030 precies zal ontwikkelen. In het algemeen wordt wereldwijd tot 2030 een sterke stijging van het dataverkeer verwacht, mogelijk tot 20 maal de omvang van het dataverkeer in 2020. Stijging van het dataverkeer betekent niet automatisch een recht evenredige stijging van de groei van de sector in Nederland en het ruimtegebruik.
Over de groei van de sector in Nederland bestaan uiteenlopende schattingen, verband houdend met vele onzekerheden en aannames hieromtrent. Indien de jaarlijkse groei van (minimaal) 10% ruimtegebruik doorzet, zal het ruimtegebruik in 2030 2,6 keer de omvang van die in 2020 hebben. Als we kijken naar het energieverbruik (thans 3,2 TWh), groeit dat volgens schattingen van de Stuurgroep Extra Opgave in 2030 tot maximaal 15 TWh en zou de sector over 10 jaar maximaal vijf keer zo groot zijn. Het is daarmee aannemelijk dat het ruimtegebruik in ieder geval minder hard groeit dan de wereldwijde groei van de sector. Indien het meerlaags bouwen van datacenters doorzet, zoals in de Metropool Regio Amsterdam al op enkele locaties plaatsvindt, groeit het ruimtegebruik nog minder hard.
Vraag 17

Waar in Nederland denkt u dat die ruimte te vinden is? Vindt u het wenselijk dat schaarse ruimte die nodig is voor natuurontwikkeling en woningbouw om iedereen een dak boven het hoofd te kunnen bieden in beslag wordt genomen door datacenters?

De NOVI geeft voor datacenters aan dat ruimte gezocht kan worden waar op een duurzame manier in de energievraag kan worden voorzien via huidige of toekomstige energienetwerken, levering van restwarmte aan een warmtenet mogelijk is en waar voldaan kan worden aan eisen van de markt zelf aan digitale connectiviteit. Voor hyperscale datacenters stelt de NOVI daarnaast dat vestiging kan waar veel aanbod van hernieuwbare energie is, waar aansluiting op het elektriciteitsnetwerk kan worden geboden en waar ruimte minder schaars is. Dit is het geval aan de randen van Nederland, zoals op bestaande locaties Eemshaven en Middenmeer.
Voor de concrete locatiekeuze in deze gebieden is de absolute omvang van de benodigde ruimte niet het probleem, wel het gegeven dat ruimte schaars is in Nederland en lokaal meerdere functies dezelfde grond kunnen claimen. Dan zijn goede afwegingen belangrijk. Voor deze afweging, door medeoverheden, geeft de NOVI afwegingsprincipes mee: combinaties van functies gaan voor enkelvoudige functies, kenmerken en identiteit van een gebied staan centraal en afwentelen dient te worden voorkomen.
De komende maanden werkt het kabinet uit hoe de in het coalitieakkoord aangekondigde aangescherpte regie vorm zal krijgen. Het kabinet zal de Kamer hier in het voorjaar over informeren.
Vraag 18

Kunt u aangeven waar de 20 tot 25 datacenters die in aantocht zijn, geplaatst zullen worden? Is er al contact, formeel of informeel, om te bekijken waar deze zullen komen en wie is daarbij betrokken?4 Welke functies hebben de mogelijke locaties waar momenteel aan wordt gedacht?

Deze gegevens zijn bij ons niet bekend. Gemeenten zijn verantwoordelijk voor de ruimtelijke inpassing. Bedrijven zullen daar contact mee leggen voor het indienen van een vergunningaanvraag. Voor het verkrijgen van een aansluiting van het net onderhouden bedrijven contacten met de netbeheerders. Specifieke informatie over het type datacenter en de locaties zijn bedrijfsvertrouwelijk en kunnen door de netbeheerders niet worden overgedragen aan het Rijk.
Vraag 19

Waarom wordt geschermd met werkgelegenheidseffecten terwijl reeds bekend is dat, bezien per m2, een datacenter een van de functies is die het minste werkgelegenheid biedt?5

Ten aanzien van de werkgelegenheidseffecten en effecten van datacenters op de digitalisering verwijs ik u naar de beantwoording op vraag 7 van de vragen van het lid Van Dijk (PvdA) over het bericht «De rode loper voor datacenters» (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1728).
Vraag 20

Welke activiteiten vinden plaats op, of welke functie heeft de grond, die momenteel in handen is van het Rijksvastgoedbedrijf (RVB), maar die in de toekomst mogelijk verkocht wordt aan Meta (moederbedrijf van Facebook)?

De rijksgronden zijn momenteel in pacht en erfpacht uitgegeven voor agrarisch gebruik. De gemeenteraad van Zeewolde heeft op 5 november 2020 besloten om artikel 5 van de Wet voorkeursrecht gemeenten (Wvg) toe te passen voor de beoogde percelen voor het datacenter, waaronder de rijksgronden. De gemeente Zeewolde heeft de mogelijkheid om vervolgens een onteigeningsprocedure op te starten.
Door de vestiging van het voorkeursrecht moet het Rijksvastgoedbedrijf (RVB) de rijksgronden bij eventuele verkoop eerst aan de gemeente aanbieden. Indien de rijksgronden verkocht worden dan worden deze aan de gemeente Zeewolde verkocht.
Vraag 21

Klopt het dat er een milieueffectrapportage zal worden vereist voor de oprichting van het datacenter in Zeewolde?

De gemeente Zeewolde heeft voor het vaststellen van het bestemmingsplan Trekkersveld IV voor de vestiging van een groot datacenter een milieueffectrapportage opgesteld. Op 12 oktober 2021 bracht de Commissie m.e.r. haar definitieve advies uit en concludeerde dat het rapport nu volledig de mogelijke gevolgen van een datacenter voor de omgeving beschrijft. Daarmee biedt het in de ogen van de Commissie een goede basis voor de besluitvorming over het project.
Op 16 december jl. stelde de gemeenteraad van Zeewolde dit bestemmingsplan vast.
Vraag 22

Erkent u dat de grond in Flevoland zeer jong is en bekend staat als de meest vruchtbare grond van Nederland en wellicht zelfs van Europa, waardoor het uiterst geschikt is voor biologische, plantaardige voedselproductie?6 Waarom kiest u ervoor om deze grond op te geven voor de bouw van een datacenter?

In Flevoland bevinden zich gronden die zeer geschikt zijn voor grondgebonden landbouw, zo ook in Zeewolde (zie ook Cra advies: Leren van een datacenter in Zeewolde. Advies over een hyperscale datacenter op gronden van het Rijk; http://www.collegevanrijksadviseurs.nl/adviezen-publicaties/publicatie/2021/08/31/advies-datacentrum-zeewolde).
Het datacenter is deels gepland op rijksgronden, die verpacht zijn of in erfpacht uitgegeven voor agrarisch gebruik. De gemeente Zeewolde verzocht het RVB daarom mee te werken aan verkoop van deze gronden. In lijn met de Nationale Omgevingsvisie (NOVI) wil het Rijk bijdragen aan meerdere (maatschappelijke) doelen, met daarbij oog voor multifunctioneel ruimtegebruik. Daarom zijn op basis van bovengenoemd advies van het CRa voorwaarden gesteld aan deze verkoop van rijksgronden. Deze voorwaarden gaan over energiegebruik, zonnepanelen op daken en gevels, watergebruik en omgaan met restwarmte. Het is aan de gemeente wanneer zij naar aanleiding van deze voorwaarden bij het RVB aangepaste plannen indient. Op dat moment wordt getoetst of deze voldoen. Pas daarna vindt definitieve beoordeling plaats. Het besluit over overdracht van gronden is nog niet aan de orde en er is nog geen begin gemaakt met een verkoopproces (zie TK brief 16 december 2021–0000659094). Wel heeft de gemeenteraad van Zeewolde op 16 december jl. ingestemd met het bestemmingsplan voor Trekkersveld IV; het bedrijventerrein voor Meta.
Bij de in het coalitieakkoord aangekondigde aanscherping van de beleidskaders zal het maatschappelijk belang van goede landbouwgrond worden meegewogen. Onderhavige casus laat bovendien zien dat in toekomstige situaties een integrale afweging eerder dient plaats te vinden. Het lopende Nationaal Programma Landelijk Gebied (NPLG), waarin onder meer structurerende keuzes worden voorbereid, kan hierin een belangrijke rol spelen en zoals in het coalitieakkoord staat vermeld zal er ook bezien worden wat het toekomstperspectief van de landbouw is in de verschillende gebieden (zie ook Motie-Boswijk – Kamerstuk 33 037, nr. 402 en Verzamelbrief LNV 23 november 2021 BPZ / 21287096).
Vraag 23

Is er al een plan waar het water (drink-, oppervlakte-, of grondwater) vandaan gaat komen om het datacenter in te koelen? Zo nee, wanneer zal dit duidelijk worden? Zo ja, waar zal het water vandaan komen en wat is momenteel de functie van dat water?

Op 10 augustus 2021 heeft de Staatssecretaris van BZK per brief voorwaarden gedeeld met de gemeente Zeewolde. Een van deze voorwaarden heeft betrekking op het watergebruik van het datacenter en luidt als volgt: «Voor het koelen van het datacenter wordt gebruik gemaakt van intelligente koeloplossingen, waarin drinkwatergebruik tot een minimum is beperkt en waarbij primair hemelwater wordt opgeslagen en ingezet. De koeloplossingen dienen ook in de jaren na ingebruikname te voldoen aan de actuele stand van de techniek, volgens de dan geldende norm voor efficiënte datacenters.»
Zeewolde heeft nog geen aangepast plan ingediend voor deze en de andere voorwaarden. Het Rijk zal als Zeewolde hiervoor informatie aanlevert deze eerst laten toetsen door TNO en daarna beoordelen.
Vraag 24

Hoeveel water is er maximaal en minimaal nodig voor de koeling van het datacenter?

De gemeente Zeewolde heeft informatie op haar website gepubliceerd over het waterverbruik van het datacenter7. Uit deze informatie blijkt dat alleen wanneer de buitentemperatuur te hoog is en/of de buitenlucht te droog is, water wordt gebruikt. De maximale watervraag bedraagt 270 m3/uur en de minimale watervraag is 0 m3/uur. De maximale watervraag zal 4 à 5 dagen per jaar optreden. Het water zal worden ingenomen van de Hoge Vaart. Het datacenter moet voor de waterinname een vergunning aanvragen bij het waterschap Zuiderzeeland.
Vraag 25

Klopt het dat het drinkwaterbedrijf een aansluitplicht heeft wanneer het datacenter daarom vraagt, ook al betreft het levering van drinkwaterkwaliteit voor koeling?

Er is geen aansluitplicht voor levering van water van drinkwaterkwaliteit als dit voor koeling wordt gebruikt. Drinkwater is «water bestemd of mede bestemd om te drinken, te koken of voedsel te bereiden dan wel voor andere huishoudelijke doeleinden, met uitzondering van warm tapwater, dat door middel van leidingen ter beschikking wordt gesteld aan consumenten of andere afnemers.» (artikel 1 Drinkwaterwet). Bij gebruik voor koeling is sprake van levering van «ander water» wat buiten de wettelijke leveringsplicht van het waterbedrijf valt. De afweging of een datacenter aangesloten moet worden op het leidingwaternet voor levering van «ander water» ligt uiteindelijk bij het drinkwaterbedrijf. Hierbij wordt opgemerkt dat het drinkwaterbedrijf vanuit de Drinkwaterwet een verantwoordelijkheid heeft die primair gericht is op de levering van drinkwater voor consumptie en sanitaire doeleinden aan consumenten (dus niet op levering van koelwater aan bedrijven). Een drinkwaterbedrijf kan de gevraagde aansluiting of levering weigeren op basis van zijn algemene voorwaarden.
Vraag 26

Zal het koelwater worden geloosd? Zo ja, waar? En is er sprake van het gebruik van additieven in het koelwater? Kunt u aangeven op welke wijze eisen gesteld zouden kunnen worden aan koelsystemen?

De gemeente Zeewolde geeft op haar website aan dat het gebruikte koelwater zal worden geloosd op de Hoge Vaart42. Het datacenter moet voor deze lozing een vergunning aanvragen bij het waterschap Zuiderzeeland. De gemeente geeft tevens aan dat het op dit moment nog niet bekend is welke stoffen worden gebruikt om ingenomen water te zuiveren bij gebruik als koelwater. Voor wat betreft de beoordeling van mogelijke additieven die worden toegevoegd aan koelwater, verwijs ik naar het antwoord op eerdere Kamervragen door van Raan en van Esch d.d. 1 april 2021 over watergebruik bij datacenters8.
Voor wat betreft het stellen van eisen aan het koelsysteem, verwijs ik naar het antwoord op vraag 23.
Vraag 27

Wat is het effect van de recente uitspraak van de Hoge Raad die oordeelde dat de overheid percelen niet exclusief aan één partij mag verkopen?

De uitspraak van de Hoge Raad heeft betrekking op de verkoop door een overheidslichaam van onroerende zaken. De uitspraak stelt dat (potentiële) gegadigden aan de hand van objectieve, toetsbare en redelijke selectiecriteria ruimte moet worden geboden om mee te dingen.
Deze uitspraak heeft geen gevolgen voor de verkoop door het RVB van Rijksgronden ten behoeve van het datacenter van Meta. Op deze gronden had de gemeente Zeewolde al een Wet voorkeursrecht gemeente gevestigd. Indien het Rijk deze gronden verkoopt zal zij deze eerst aan de gemeente moeten aanbieden.
Vraag 28

Klopt het dat Facebook (of Meta) druk heeft uitgeoefend om een locatie geregeld te krijgen?

Nee, dit klopt niet. Ik verwijs u verder naar de beantwoording op vragen 8 en 9 van de vragen van het lid Leijten (SP) over het bericht «Het Rijk regelde onder druk van Facebook voorrang op het stroomnet» (Aanhangsel handelingen, vergaderjaar 2021–2022, nr. 1726).
Vraag 29

Klopt het dat uw voorganger Minister Wiebes destijds een brief «bestelde» bij de gemeente Zeewolde en de provincie Flevoland, waarin ze moesten vragen om een datacenter om daarmee te kunnen pretenderen dat hier lokaal vraag naar was?7 Wat vindt u van die gang van zaken?

Dit klopt niet. De Minister van EZK heeft zich destijds alleen gericht op de vraag of een bijzondere wijze van aansluiting van het datacenter op het hoogspanningsnet past binnen het wettelijke kader van de Elektriciteitswet, en geconcludeerd dat dit het geval is. Omdat de locatie schuurt met de voorkeursrichtingen uit de NOVI, maar daar niet mee in strijd is, heeft de Minister van EZK destijds een brief gevraagd aan de gemeente en provincie of zij achter de komst van het datacenter staan. Dit is toegelicht door de Minister van Economische Zaken en Klimaat in het Vragenuur van 7 december 2021.
Vraag 30

Wat is, naar uw mening, de betekenis van de erkenning in het coalitieakkoord dat hyperscale datacentra een onevenredig groot beslag leggen op de beschikbare duurzame energie en beschikbare ruimte in verhouding tot de maatschappelijke en/of economische meerwaarde?

Het kabinet zal de keuzes in de NOVI over datacenters aanscherpen. Daarnaast wordt uitgewerkt met welke sturing meer regie zal worden gevoerd in het realiseren van deze keuzes en de toelatingscriteria bij de vergunningverlening.
Het kabinet informeert dit voorjaar de Kamer over de voortgang in deze aanscherpingen.
Vraag 31

Betekent dit dat de komst van hyperscale datacenters momenteel ten koste gaat van de brede welvaart? Betekent dit ook dat het kabinet hyperscale datacenters gaat weren?

De impact van hyperscale datacenters verschilt per datacenter. In algemene zin komt de passage in het coalitieakkoord over hyperscale datacenters voort uit een afweging rondom de brede welvaart. In lijn met het coalitieakkoord zal dit kabinet de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters aanscherpen. De Minister voor Volkshuisvesting en Ruimtelijke Ordening zal de Kamer hier dit voorjaar samen met de Minister van Economische Zaken en Klimaat en de Minister voor Klimaat en Energie over informeren.
Het kabinet is niet in het algemeen «tegen» hyperscale datacenters en zal deze dus ook niet «weren». Vanwege de lokaal mogelijk grote impact door het omvangrijke ruimtebeslag en grote elektriciteitsgebruik is wel meer regie nodig op waar deze datacenters zich vestigen en de inrichting van locaties.
Vraag 32

Wat is, naar uw mening, de betekenis van de erkenning in het coalitieakkoord dat verdozing moet worden tegengegaan? Wat is het effect daarvan op de visie voor datacenters?

In het coalitieakkoord kondigt het kabinet aan zich in te zetten voor het voorkomen van verrommeling en verdozing van onze leefomgeving.
Hyperscale datacenters zijn ook «dozen». De betekenis van deze uitspraak in het coalitieakkoord voor deze datacenters is daarom dat ook voor deze datacenters bij de keuze van vestigingslocaties verrommeling van het landschap wordt tegengegaan, zoals dat ook voor andere «dozen» geldt.
Het bij deze keuze van vestigingslocaties toepassen van het in antwoord op vraag 17 genoemde afwegingsprincipe «kenmerken en identiteit van een gebied staan centraal» is hierbij ondersteunend. Volgens het CRa beslaan de grote dozen momenteel 14.600 ha. Aangezien het huidig ruimtegebruik van datacenters 239 ha beslaat, leveren de datacenters slechts een klein aandeel (1,6%) aan de verdozing van Nederland. Lokaal kan de impact vanwege de omvang van hyperscale datacenters echter groot zijn (zie ook het antwoord op vraag 31).
Vraag 33

Heeft het stukje over hyperscale datacenters in het coalitieakkoord betrekking op de mogelijke komst van de 20 tot 25 datacenters? Zo nee, waarom niet? Zo ja, hoe gaat u voorkomen dat ze toch naar Nederland komen?

De Staatssecretaris van EZK meldt in haar brief over datacenters op 16 december jl. op basis van informatie van TenneT dat er rond 20 á 25 projecten lopen voor de vestiging en uitbreiding van datacenters in Nederland. Deze lopen uiteen in grootte, bevinden zich in verschillende fases van voorbereiding en zitten op verschillende plaatsen in het land. Of en hoeveel hyperscale datacenters hier tussen zitten is niet bekend.
Zoals genoemd in het antwoord op vraag 31 wil het kabinet hyperscale datacenters in algemene zin niet weren. Het kabinet wil wel dat deze bedrijven het landschap niet verrommelen door zich op de juiste locaties te vestigen en voorkomen dat het stroomgebruik andere ontwikkelingen van nationaal belang belemmert.
Vraag 34

Wat wordt er precies bedoeld met deze zin in het coalitieakkoord over hyperscale datacenters: «Daarom scherpen we de landelijke regie en de toelatingscriteria bij de vergunningverlening hiervoor aan»?

Zie het antwoord op vraag 30.
Vraag 35

Op welke manieren kunt u datacenters nog meer weren? Welk effect zou het stoppen met de verlaagde energiebelasting en netwerktariefkosten hebben op de aantrekkingskracht die Nederland uitoefent op datacenters? Welke activiteiten vinden plaats op, of welke functie heeft de grond, die momenteel in handen is van het RVB, maar die mogelijk verkocht wordt aan Meta?

Hoewel ik geen zicht heb op de onderliggende kostenstructuur van datacenters heb ik niet het beeld dat deze bedrijven zich in Nederland vestigen vanwege de wijze waarop energiebelasting of netwerktarieven zijn vormgegeven. Hierin spelen een betrouwbare infrastructuur en stabiel vestigingsklimaat een vele grotere rol. Het verhogen van de energiebelasting zou ook niet alleen datacenters raken maar alle grootverbruikers. Netwerktarieven zijn in lijn met Europese kaders kosten georiënteerd en ACM houd daar als onafhankelijk instantie toezicht op.
De rijksgronden die op het beoogde bedrijventerrein voor Meta liggen worden momenteel in pacht en erfpacht uitgegeven voor agrarisch gebruik (zie ook het antwoord op vraag 20).
Vraag 36

Is u bekend waarom in het coalitieakkoord alleen gesproken wordt over hyperscale datacenters? Is naar uw mening één grote ruimte en energieverbruiker wezenlijk anders dan drie wat kleinere die netto dezelfde ruimte en energie verbruiken?

De reden waarom alleen over hyperscale datacenters word gesproken is dat gelet op hun relatief grote omvang en energiegebruik deze ook grotere impact hebben op de leefomgeving en andere ontwikkelingen dan meerdere kleinere datacenters. Daar komt bij dat hyperscale datacenters een beperktere bijdrage leveren aan de digitalisering en werkgelegenheid in Nederland dan kleinere co-locatie datacenters en niet per se in Nederland gevestigd hoeven te worden (zie ook het antwoord op vraag 19).
Vraag 37

Op welke wijze gaat het kabinet in de toekomst om met het vraagstuk van welke bedrijvigheid men wil aantrekken, aangezien het niet logisch is om in een land met schaarse grond en een tekort aan duurzame energie industrieën aan te trekken die ruimte- en energie-intensief zijn?

Buitenlandse bedrijven leveren een belangrijke bijdrage aan de ambities van dit kabinet, bijvoorbeeld in de vorm van werkgelegenheid, innovatie en toegevoegde waarde van onze economie. Op 17 april 2020 is uw Kamer geïnformeerd over het acquisitiebeleid.10 Daarin is aangegeven dat het kabinet in het acquisitiebeleid sterker wil focussen op juist die buitenlandse bedrijven die ook bijdragen aan versterking van innovatie-ecosystemen en de verduurzaming en digitalisering van onze economie.
De Netherlands Foreign Investment Agency (NFIA), de uitvoeringsorganisatie van EZK die verantwoordelijk is voor het aantrekken van buitenlandse bedrijven naar Nederland, geeft invulling aan dit acquisitiebeleid. Bij het aantrekken van buitenlandse bedrijven werkt de NFIA intensief samen met de verschillende regionale partijen. Samen vormen zij het Invest in Holland netwerk. Deze samenwerking is ook logisch omdat een bedrijf immers altijd in een bepaalde regio zal moeten landen. Deze samenwerking zorgt er ook voor dat rekening kan worden gehouden met eventuele schaarste van grond of duurzame energie in de afweging of een potentiële vestiging van een buitenlandse bedrijf wenselijk is. Uiteindelijk is deze afweging aan de regio zelf, waarbij de NOVI uit oogpunt van de kwaliteit van de fysieke leefomgeving wel voorkeuren aangeeft voor waar deze bedrijven zich vestigen.
Vraag 38

Deelt u de mening dat het niet langer verstandig is om telkens maar nieuwe industrieën aan te trekken en bestaande industrieën in de benen te houden, zonder een visie over welke industrie past bij een duurzame samenleving en wat het betekent voor de brede welvaart?

Doelstelling van dit Kabinet is om te zorgen dat bedrijven, zowel bedrijven die hier reeds zijn gevestigd als nieuwe, bijdragen aan de brede welvaart in Nederland. Het gaat dan om bedrijven die o.a. bijdragen in de vorm van verdienvermogen, duurzame werkgelegenheid, strategische autonomie maar zeker ook de maatschappelijke uitdagingen waar we voor staan zoals de verduurzamingstransitie. Het Kabinet werkt momenteel haar industrievisie nader uit, onder andere over de invulling van de groene industriepolitiek zoals omschreven in het Coalitieakkoord Deze industriebrief zal naar verwachting in het tweede kwartaal van dit jaar verschijnen.

22 december 2021 - 11 maart 2022

79 dagen

Het gebruik van algoritmes door decentrale overheden
	Renske Leijten
	Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. Argos, «In het vizier van het Rotterdamse bijstandsfraude-algoritme?»…
2. Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1093
3. NOS, «Bijstandszaak» Wijdemeren staat niet op zichzelf: «Zakgeld kind…
4. DeDrontenaar, «Camera’s in gemeentehuis gaan aan bij risico op verbaa…

Vraag 1

Kunt u aangeven aan welke regels en voorwaarden algoritmes moeten voldoen als deze gebruikt worden door decentrale overheden en andere overheidsinstanties?1

De overheid is gebonden aan mensenrechten en wetgeving zoals de Algemene verordening gegevensbescherming (AVG), de Algemene wet gelijke behandeling en Algemene wet bestuursrecht. De overheid is verder gebonden aan domeinspecifieke wetgeving zoals die op het terrein van de sociale zekerheid. De inzet van algoritmen, maar ook van andere technologieën, moet in lijn zijn met de geldende wetten en regels. De Europese Commissie werkt daarnaast aan nieuwe wetgeving voor de toepassing van AI-systemen. Belangrijk is dat de technologie zelf op een behoorlijke manier werkt, zodat mensenrechtenschendingen door die technologie worden voorkomen. In elke fase van de levenscyclus (ontwerpen, bouwen, testen, gebruiken en monitoren) van AI-systemen moet daarom aandacht zijn voor de mensenrechten. De AI-verordening biedt daartoe mogelijkheden. Toepassingen met onaanvaardbare risico’s voor de mensenrechten zijn verboden. Aan hoog-risico toepassingen worden eisen gesteld die er voor moeten zorgen dat systemen veilig zijn en mensenrechten respecteren: er worden bijvoorbeeld eisen gesteld aan de data, de accuraatheid van het systeem, de mogelijkheid van menselijk toezicht en cybersecurity. Met een ex ante conformiteitsbeoordeling moeten aanbieders van zulke hoog-risico toepassingen aantonen dat het AI-systeem werkt volgens de regels. Voor AI-systemen die bedoeld zijn om interactie te hebben met natuurlijke personen of content genereren, zoals bots of deepfakes, gaan transparantieverplichtingen gelden. Ook de tijdelijke AI-commissie van de Raad van Europa (CAHAI) werkt aan een juridisch raamwerk voor AI.
Om wetten en regels beter toepasbaar te maken zijn er diverse instrumenten ontwikkeld, zoals de Handreiking non-discriminatie by design om bias en non-discriminatie vroegtijdig te herkennen, een Impactassessment Mensenrechten en Algoritmen (IAMA) die risico’s voor mensenrechten in kaart brengt en mitigeert, en een Code Goed Digitaal Bestuur met beginselen die richting geven aan een verantwoorde inzet van technologie. Het gebruik hiervan is op vrijwillige basis; wel laat ik door de ADR onderzoeken hoe de impact en het gebruik van de handreiking kunnen worden vergroot.
Tot slot zijn adequaat toezicht en controle van belang. De toezichthouders hebben een kader ontwikkeld om beter onderzoek te doen naar algoritmen. En dit kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmewaakhond die is ondergebracht bij de Autoriteit Persoonsgegevens (AP).
Vraag 2

Voldoet volgens u het gebruikte algoritme in de gemeente Rotterdam aan deze voorwaarden? Zo ja, waarom?

Ik begrijp dat u vraagt naar mijn mening over de rechtmatigheid van het gebruik van het algoritme in Rotterdam. Het is echter niet aan mij om daarover te oordelen. Het is belangrijk dat overheden zich aan de regels houden, ook als zij algoritmen inzetten bij het uitoefenen van hun taken. In dit geval is de gemeente Rotterdam daar zelf voor verantwoordelijk. De ex ante conformiteitsbeoordeling, zoals die wordt voorgesteld in de AI-verordening, kan organisaties helpen om aan de voorkant al te ontdekken of aan de verplichtingen wordt voldaan. De hiervoor genoemde instrumenten kunnen er ook aan bijdragen om aan de voorkant al goede keuzes te maken. Uiteindelijk is het aan de Autoriteit Persoonsgegevens om te bezien of het specifieke algoritme op het punt van de verwerking van persoonsgegevens voldoet aan de eisen van de AVG en aan de rechter om te oordelen of het gebruik van het algoritme in overeenstemming met de geldende regelgeving is. Voor intern toezicht dient een privacyfunctionaris om een oordeel gevraagd te worden als persoonsgegevens worden verwerkt; dat kan bij algoritmen het geval zijn. De Staatssecretaris van Koninkrijksrelaties en Digitalisering werkt aan de verbetering van het toezicht. In de iStrategie Rijk wordt daarom voorgesteld dat CIO’s ook toezicht gaan houden op algoritmen. Daarnaast is de ADR gevraagd inzicht te geven in de kwaliteit van de beheersing van de algoritmen door onderzoek te doen naar de wijze waarop de organisaties de kwaliteit en verantwoorde inzet van hun algoritmen op dit moment borgen. Op basis van deze inzichten en aanbevelingen kunnen er op stelselniveau verbeteringen worden doorgevoerd. Tot slot is er ook extern toezicht uitgevoerd door toezichthouders die toezicht houden op een specifiek domein. De toezichthouders hebben een kader ontwikkeld om beter onderzoek te doen naar algoritmen. De Algemene Rekenkamer komt medio mei met een rapport waar mogelijk ook lessen getrokken kunnen worden m.b.t. toezicht op algoritmen.
In het kader van het eigen onderzoek van de gemeente heeft de Rotterdamse Rekenkamer in haar rapport over het ethisch gebruik van algoritmen enkele aandachtspunten geformuleerd. Daaruit vloeide voort dat de transparantie van het gebruik van algoritmen verbeterd diende te worden. Zoals in de eerdere beantwoording van vragen over het gebruik van algoritmen door de gemeente Rotterdam2 is aangegeven, vergt het transparantievereiste uit de AVG (artikel 5, eerste lid, onder a) dat persoonsgegevens worden verwerkt op een wijze die voor de betrokkenen transparant is. De gemeente Rotterdam heeft inmiddels in het kader van transparantie een eerste aanzet gedaan tot een algoritmeregister en dit opgenomen op de website van de gemeente.3 Onder het punt «uitkeringsonrechtmatigheid» staat informatie over het hier aan de orde zijnde algoritme.
Verder heeft gemeente Rotterdam laten weten dat bij het ontwikkelen van het model kritisch wordt gekeken naar de bruikbaarheid en het niet-discriminerende karakter van variabelen en kenmerken. Uit het rapport van de Rekenkamer Rotterdam is gebleken dat de vastlegging van deze toetsing zou moeten worden verbeterd. De gemeente Rotterdam geeft aan op dit punt momenteel stappen te zetten, onder meer door het verstevigen van de governance rondom algoritmen met een grote impact of gevoeligheid (hoog-risico algoritmen). Op verzoek van de Staatssecretaris van Koninkrijksrelaties en Digitalisering doet het Rathenau Instituut op dit moment onderzoek naar de werkprocessen, functies, expertise en hulpmiddelen die organisaties kunnen helpen om bij de ontwikkeling en inzet van algoritmen te werken in lijn met onze grondrechten. De lessen uit dat onderzoek kunnen ook behulpzaam zijn voor gemeenten; de Staatssecretaris gaat daarover graag met hen in gesprek.
Vraag 3

Bent u bereid onderzoek te doen naar de vraag in welke gemeenten en provincies soortgelijke algoritmes worden gebruikt, en met welk doel? Zo nee, waarom niet?

Er vinden steeds meer inventarisaties plaats van het gebruik van AI en algoritmen door overheden. De Algemene Rekenkamer heeft begin 2021 onderzoek gedaan naar algoritmen die door het Rijk worden ingezet.4 Het onderzoek van de Algemene Rekenkamer levert inzichten op van de typen algoritmen die worden ingezet en de zorgen en twijfels die er nog bestaan. Graag verwijs ik ook naar een TNO-publicatie van mei vorig jaar5, waarin diverse toepassingen van AI in de publieke dienstverlening zijn onderzocht. Hier zaten ook voorbeelden bij uit het sociaal domein.
Gelet op hun eigen verantwoordelijkheid voor het naleven van de regelgeving is het de eigen verantwoordelijkheid van provincies en gemeenten om waar nodig onderzoek te laten doen, via de provinciale staten of gedeputeerde staten en gemeenteraad of B&W.6 Daarnaast kunnen ook toezichthouders zoals de Autoriteit Persoonsgegevens (AP) of onafhankelijke instanties met controlerende en toezichthoudende taken, zoals lokale rekenkamers, besluiten om onderzoek te doen. Er vindt dus al met al veel onderzoek plaats en er zijn mogelijkheden om onderzoek te laten doen. De Staatssecretaris van Koninkrijksrelaties en Digitalisering wil stimuleren dat overheden meer inzicht bieden in de werking en de impact van algoritmen die zij inzetten. Daarbij wordt voortgebouwd op de kennis en ervaringen die gemeenten opgedaan hebben met experimenten rond algoritmeregisters, waaronder ook de gemeente Rotterdam, die haar eerste algoritmen heeft opgenomen en de bedoeling is dat dit verder wordt uitgebreid. Met het opzetten en uitvoeren van een verplicht algoritmeregister voor overheden wordt uitvoering gegeven aan de wens van uw Kamer. Op dit moment wordt onderzocht op welke manier dit juridisch en beleidsmatig vorm kan worden gegeven. Uw kamer wordt dit voorjaar verder geïnformeerd, en het is daarom niet gelukt om de kamer zoals eerder toegezegd door mijn voorganger eind januari hierover te informeren.
Vraag 4

Welke bedrijven of instanties ontwikkelen dergelijke algoritmes voor overheidsinstanties en worden deze ontwikkelaars actief aanbevolen door bijvoorbeeld de VNG, de landelijke overheid of door andere belanghebbenden? Zo ja, welke ontwikkelaars zijn dit?

Er zijn geen lijsten bekend met aanbieders bij het Rijk of de VNG, of leveranciers die aanbevolen worden. Bekende aanbieders zijn onder andere Deloitte, Capgemini en Accenture. De laatste was bij Rotterdam betrokken. Grotere overheidsorganisaties – met name de uitvoeringsorganisaties – beschikken vaker dan kleine organisaties over de capaciteit om algoritmen zelf te ontwikkelen.
Vraag 5

Op welke manieren wordt er door gemeenten of andere overheden getoetst of het gebruik van een dergelijk algoritme de meest proportionele maatregel is ten aanzien van andere maatregelen? Is een dergelijke toetsing verplicht? Zo nee, waarom niet?

Een verwerking van persoonsgegevens moet altijd voldoen aan de eisen van de AVG. Eén van die eisen is dat een verwerking proportioneel is. Een middel om dit in kaart te brengen is de data protection impact assessment (DPIA). De Autoriteit Persoonsgegevens heeft een lijst opgesteld wanneer het verplicht is om een DPIA te doen. Daaronder valt ook het doen van heimelijk onderzoek, dat wil zeggen grootschalige of stelselmatige verwerkingen van persoonsgegevens waarbij informatie wordt verzameld met onderzoek, zonder de betrokkene daarvan vooraf op de hoogte te stellen. Ook bij grootschalige of stelselmatige verwerkingen van persoonsgegevens voor fraudebestrijding is een DPIA verplicht. Een DPIA moet in ieder geval een beoordeling van de noodzaak en proportionaliteit van de verwerkingen bevatten. Daarbij hoort dus de vraag of er een minder ingrijpend middel beschikbaar is dan een algoritme. Ook worden in een DPIA de privacyrisico’s voor betrokkenen in kaart gebracht. Vragen die daarbij worden beantwoord, zijn bijvoorbeeld welke data in een algoritme gaat en of die van goede kwaliteit en betrouwbaar is, of de werking van het algoritme uitgelegd en zo nodig gecorrigeerd kan worden en of er risico is op discriminatie door gebruik van het algoritme. Als er risico’s worden gesignaleerd, wordt in kaart gebracht welke maatregelen genomen worden om die risico’s aan te pakken zodat de gebruiker van het algoritme aan de AVG voldoet. Als risico’s niet voldoende beperkt kunnen worden, is het verplicht om voorafgaand aan de verwerking met de AP te overleggen.
De gemeente Rotterdam heeft aangegeven dat het algoritme als een efficiënte manier wordt gezien om te bepalen welke uitkeringsgerechtigden het beste voor een rechtmatigheidsonderzoek kunnen worden uitgenodigd. Gelet op het grote aantal uitkeringsgerechtigden heeft de gemeente Rotterdam vastgesteld dat het onhaalbaar om de rechtmatige uitkeringsverstrekking binnen een tijdsbestek van 1 of 2 jaar te onderzoeken voor de volledige uitkeringspopulatie. Daarbij geeft de gemeente Rotterdam aan dat door gebruikmaking van het algoritme, bij een deel van de uitkeringsgerechtigden administratieve lasten worden voorkomen. Uitkeringsgerechtigden waarvoor de kans dat de uitkering niet meer aansluit op de feitelijke situatie van de uitkeringsgerechtigde minder groot wordt geschat, zullen ook minder snel worden uitgenodigd voor een rechtmatigheidsonderzoek. Daarnaast benadrukt de gemeente Rotterdam dat het algoritme slechts ondersteunt bij de selectie van uitkeringsgerechtigden die voor een rechtmatigheidsonderzoek worden uitgenodigd. Het feitelijke onderzoek naar de rechtmatige verstrekking van bijstand wordt altijd door een medewerker uitgevoerd. Het toepassen van een (algoritmische) selectiemethode kan grote risico’s met zich meebrengen. Het leidt onvermijdelijk tot het maken van een onderscheid. Het is belangrijk om te zorgen en erop toe te zien dat zulk onderscheid niet leidt tot discriminatie (verboden in artikel 1 Grondwet). Het College voor de Rechten van de Mens heeft eind vorig jaar een mensenrechtelijk toetsingskader gepresenteerd over discriminatie door risicoprofielen dat hierbij kan helpen.
Vraag 6

Vindt u het begrijpelijk dat mensen met een uitkering zich automatisch verdacht voelen als ze lezen dat gemeenten gesprekken met bijstandsgerechtigden standaard filmen, verregaande algoritmes ingezet worden om uitkeringsfraude op te sporen, en drones en camera’s worden gebruikt om mensen thuis te controleren op bijstandsfraude? Zo nee, waarom niet?2 3

Mensen die recht hebben op een uitkering moeten die krijgen. Het is belangrijk dat er gecontroleerd wordt op de rechtmatigheid van de toekenning. Deze controle moet echter wel gedaan worden met oog voor de mens achter de uitkering, zoals door de Staatssecretaris van Sociale Zaken en Werkgelegenheid aangegeven in diens brief van 23 november 2021.9 Daarbij moet gebruik worden gemaakt van passende instrumenten. Het standaard filmen van gesprekken zal, zoals is toegelicht in de antwoorden op de vragen van de leden Leijten en Van Kent (SP) over «een gemeente die gesprekken over uitkeringen filmt» van 14 december 2021, alleen in heel bijzondere gevallen acceptabel zijn. Dit geldt des te meer voor situaties waarin er sprake zou zijn van het volgen van burgers. Dergelijke handhavingsinstrumenten maken een inbreuk op de privacy en tot de inzet daartoe kan slechts worden besloten indien wordt voldaan aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit en er een verwerkingsgrondslag voor aanwezig is. De AVG biedt daarvoor het toetsingskader.
Vraag 7

In de beantwoording van eerdere schriftelijke vragen zegt u: «De camera had geen invloed op het gesprek of de strekking van het gesprek en het al dan niet verstrekken van de uitkering.», kunt u bevestigen dat mensen die weigerden deel te nemen aan een gesprek omdat zij gefilmd werden, om die reden een uitkering is ontzegd of is verminderd? Zo nee, waarom niet?

Weigeren van het betreden van een spreekkamer met cameratoezicht is geen grond om een uitkering te ontzeggen dan wel te verlagen. De gemeente Dronten heeft desgevraagd bevestigd dat hier ook geen sprake van is geweest.
Vraag 8

In diezelfde beantwoording stelt u dat er geen onderscheid gemaakt werd naar de aard van het gesprek of de doelgroep waarbij camera’s werden ingezet, terwijl de gemeente in antwoord op vragen aangeeft dat dit bij gesprekken gebeurde «waarbij een verhoogd risico bestaat op fysiek of verbaal geweld». Wat waren daar de selectiecriteria voor, los van eerdere geweldsincidenten die hebben plaatsgevonden met een individu? Vindt u deze selectiecriteria passend?4

De gemeente Dronten heeft desgevraagd bevestigd dat er geen onderscheid gemaakt werd naar de aard van het gesprek of de doelgroep waarbij camera’s werden ingezet.
Vraag 9

Is er een verplichting voor gemeenten en andere (decentrale) overheden om mensen op de hoogte te stellen dat zij onderwerp zijn van een fraudeonderzoek op basis van een resultaat van een algoritme? Zo nee, waarom niet?

Ik begrijp dat u vraagt naar een algoritme dat selecteert welke personen nader zullen worden onderzocht. In algemene zin is een gemeente of andere overheid niet verplicht om individuen vooraf op de hoogte te stellen dat zij onderwerp zijn van een onderzoek. Het kabinet hecht wel aan zo veel mogelijk transparantie rondom het gebruik van algoritmen en investeert het onder meer in het opzetten van een algoritmeregister. Zoals hiervoor opgenomen, heeft de gemeente Rotterdam recentelijk zo’n register online gezet. Hierin zijn de eerste algoritmen opgenomen en de bedoeling is dat dit verder wordt uitgebreid. Verder is van belang dat als de input van een algoritme leidt tot de beslissing om vervolgonderzoek te doen, binnen dat vervolgonderzoek de betrokkene moet worden gehoord. Daarbij moet de betrokkene worden geïnformeerd dat het onderzoek het resultaat is van een algoritme en moet worden toegelicht hoe het algoritme werkt zodat een betrokkene daarop kan reageren en eventuele onjuistheden kan tegenspreken.
Vraag 10

In hoeverre zijn mensen vrij om te weigeren dat zij zonder individuele aanleiding worden gefilmd, zonder dat dit nadelige gevolgen heeft voor de aanvraag van een uitkering of andere voorziening?

Het weigeren van het betreden van een spreekkamer met cameratoezicht is, zoals ook bij de beantwoording van vraag 7 is aangegeven, geen grond om een uitkering te ontzeggen dan wel te verlagen.
Vraag 11

Wanneer vindt u het gerechtvaardigd dat gemeenten of andere decentrale overheden algoritmes gebruiken gebaseerd op kenmerken als woonplaats, leeftijd, geslacht, levensovertuiging, burgerlijke staat of etnische achtergrond?

Artikel 1 van de Grondwet verbiedt discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht of op welke grond dan ook. Niet elk verschil in behandeling op kenmerken als woonplaats, leeftijd, geslacht, levensovertuiging, burgerlijke staat of etnische achtergrond is discriminatie. In sommige gevallen kan onderscheid toch gerechtvaardigd zijn. Deze objectieve rechtvaardiging moet echter wel voldoen aan een strenge toets. Aan het onderscheid moet een legitieme doelstelling ten grondslag liggen en het middel dat is ingezet moet geschikt zijn om het doel te bereiken. Daarnaast moet het middel proportioneel zijn en moeten er geen minder ingrijpende middelen ter beschikking staan om hetzelfde doel te bereiken. Rechtvaardiging is dus niet de norm, maar uitzondering in een specifieke situatie waarin voldaan is aan alle genoemde eisen. In mijn brief van 14 december 2021 heb ik meer specifiek ten aanzien van het kenmerk etnische achtergrond aangegeven dat onderscheid op deze grond niet, of slechts in uitzonderlijke situaties, gebruikt mag worden en alleen als er zeer zwaarwegende redenen ter rechtvaardiging van het onderscheid zijn.11

21 december 2021 - 2 februari 2022

43 dagen

Het bericht ‘Banken en overheden zetten software af uit angst voor hacks’.
	Queeny Rajkowski (VVD)
	Ferdinand Grapperhaus (CDA)

Bronnen

1. Financieel Dagblad, «Banken en overheden zetten software af uit angst voor hacks» (fd.nl/tech-en-innovatie/1423222/banken-en-overheden-zetten-software-af-uit-angst-voor-hacks-knl1ca56jOoK)

Vraag 1

Bent u bekend met het bericht «Banken en overheden zetten software af uit angst voor hacks»?1

Ja.
Vraag 2

Kunt u een inschatting maken wat tot nu toe de schade is als gevolg van het lek bij Apache log4j? Wat is de schatting voor de komende weken?

Tot nu toe heeft het Nationaal Cybersecurity Centrum (NCSC) geen signalen ontvangen van grootschalige uitval of schade bij rijksoverheidsorganisaties of vitale aanbieders. Het NCSC acht het waarschijnlijk dat incidenten, waaruit schade kan ontstaan, over een langere tijdsperiode kunnen gaan plaatsvinden.
Vraag 3

Hoeveel gevallen zijn er al bekend waarbij criminele hackers Nederlandse organisaties aanvallen als gevolg van het lek bij Apache log4j? Met welk doel worden de betreffende organisaties aangevallen? Om welke organisaties gaat het en wat zijn de gevolgen van deze hacks?

Op dit moment is kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland bij het NCSC bekend. Het doel van de aanvallen is veelal financieel gewin. Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren; de Log4J kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen.
De politie heeft tot op heden geen aangiften binnengekregen van aanvallen met betrekking tot deze kwetsbaarheid.
Vraag 4

In hoeverre zijn organisaties en (vitale) bedrijven die mogelijk gebruik maken van Apache log4j van dit lek op de hoogte? Wat is de rol van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hierin? Hebben zij een regierol hier? Zo ja, wat hebben zij tot nu toe gedaan om de risico’s van dit grootschalige lek te mitigeren? Hoe is de IT-informatiesessie van 15 december jl. bevallen?

Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties zo veel als mogelijk proactief gewaarschuwd. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek is geïnformeerd. Daarnaast heeft het NCSC genoemde partijen meerdere doelgroepberichten met aanvullende duiding en handelingsperspectieven verzonden. In deze zin is dus door het NCSC in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform, dat momenteel wereldwijd het meest compleet is, wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Het Digital Trust Center (DTC) zet bij ernstige kwetsbaarheden al haar kanalen in om het niet- vitale bedrijfsleven te informeren en waarschuwen. Ook bij de Log4J kwetsbaarheid was dit het geval.
Als reactie op deze kwetsbaarheid heeft het DTC berichtgeving over Log4J inclusief handelingsperspectief breed gedeeld via de website van het DTC, DTC sociale media kanalen en de DTC community. Ook werd berichtgeving direct gedeeld met DTC samenwerkingsverbanden zodat deze de beschikbare informatie konden verspreiden bij hun achterban (de regio, sector of branche die ze vertegenwoordigen).
Het Cyber Security Incident Response Team voor digitale diensten (CSIRT-DSP) heeft een actieve rol gespeeld door het informeren van digitale dienstverleners binnen hun doelgroep over de Log4J kwetsbaarheid.
Op 15 december hebben NCSC, DTC en CSIRT-DSP gezamenlijk een informatiesessie voor IT-specialisten georganiseerd met als doel meer informatie te delen over de Log4J kwetsbaarheid, te adviseren over mogelijke acties, en vragen over de Log4J kwetsbaarheid direct te beantwoorden. Hier deden ongeveer 4000 deelnemers aan mee.
Vraag 5

In hoeverre zijn organisaties ervan op de hoogte dat er een update van Apache log4j beschikbaar is en dat ze deze update moeten uitvoeren? Hoe vaak is deze update uitgevoerd door organisaties? Welke maatregelen worden getroffen om ook de kleinere bedrijven in te lichten over het doen van deze update?

Zoals in antwoord op vraag 3 aangegeven zijn organisaties vanuit het NCSC en het DTC geïnformeerd over de kwetsbaarheid in Apache Log4J, evenals over de daartoe mogelijke beveiligingsmaatregelen, waaronder het uitvoeren van updates.
De betreffende kwetsbaarheid zit in software die vaak is ingebouwd in andere producten. De aard van de Log4J-kwetsbaarheid maakt het daarmee complex om zicht te krijgen op de mate waarin updates zijn uitgevoerd. Elke organisatie blijft zelf primair verantwoordelijk voor het uitvoeren van updates en maatregelen.
Vele organisaties in Nederland maken gebruik van software waar Log4J in verwerkt zit. Zij kunnen daarom afhankelijk zijn van updates van hun softwareleverancier die op hun beurt de Apache Log4J updates dienen te verwerken in hun software. Daarnaast hebben genoemde organisaties regelmatig een externe IT-dienstverlener die bijvoorbeeld het gebruik van software binnen de organisatie beheert. Dit houdt in dat organisaties niet altijd zelf nodige updates uitvoeren of weten voor welke gebruikte software dat nodig is.
Het NCSC en DTC hebben daarom hun doelgroepen geadviseerd contact op te nemen met hun IT-dienstverlener om te bevestigen dat de juiste updates uitgevoerd worden of andere maatregelen genomen zijn.
Vraag 6

Welke overheidsorganisaties maken gebruik van Apache Log4j? Zijn er al overheidsorganisaties aangevallen door criminele hackers? Welke maatregelen neemt u om de kans zo klein mogelijk te maken dat criminele hackers succesvolle aanvallen op cruciale overheidsorganisaties kunnen uitvoeren en hen digitaal kunnen gijzelen?

Log4J is een softwaremodule die wereldwijd in velerlei software wordt gebruikt, waaronder bij de overheid. Er bestaat geen centraal overzicht van welke softwareproducten Log4J gebruiken binnen de overheid. Iedere overheidsorganisatie is primair verantwoordelijk voor zijn eigen netwerken, systemen en softwareproducten die worden gebruikt. Overheidsorganisaties scannen en inventariseren ook hun maatwerktoepassingen. Er zijn in dit verband wel overheidsbreed kaders afgesproken met eisen waaraan iedere organisatie moet voldoen, waaronder de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat onder andere dat organisaties bij ernstige kwetsbaarheden binnen een week maatregelen moeten treffen. Daarnaast is het verplicht om de informatie-verwerkende omgeving te monitoren om onder meer aanvallen van criminele hackers te detecteren. Hiervoor zijn binnen de overheid Security Operations Centers (SOC’s) en IT- organisaties actief. Zij hebben ook de beschikking over indicatoren die misbruik op basis van de Log4J kwetsbaarheid detecteren.
Na de ontdekking van de Log4J-kwetsbaarheid heeft BZK een crisisteam opgestart en zorg gedragen voor afstemming in het vervolg hierop met de departementen en de koepels/Computer Emergency Response Teams (CERT’s) van de medeoverheden. Het crisisteam heeft er in dat verband op aangedrongen dat de benodigde maatregelen behorende bij deze kwetsbaarheid en het door het NCSC ontwikkelde stappenplan werden opgevolgd en er doorlopend onderzoek plaatsvond op mogelijk misbruik. De komende tijd zullen overheidsorganisaties extra alert blijven op aanwijzingen van mogelijk misbruik.
Op dit moment zijn er geen signalen dat overheidsorganisaties naar aanleiding van de Log4J kwetsbaarheid succesvol zijn aangevallen.
Vraag 7

Bekend is dat meerdere gemeentes hun systemen gedeeltelijk hebben afgesloten? Om hoeveel gemeentes gaat dit? Wat doen deze systemen en hoe lang gaan ze afgesloten blijven? Welke gevolgen heeft het voor de gemeentes als ze hun systemen tijdelijk gedeeltelijk moeten afsluiten?

De Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) houden geen overzicht bij van maatregelen van individuele gemeenten. Iedere situatie en iedere afweging is namelijk anders. De afwegingen om systemen gedeeltelijk/tijdelijk uit te zetten zijn door de gemeenten zelf gemaakt. Gemeenten volgen bij deze afweging het handelingskader van de IBD, zoals vermeld op hun website:2
Dat is in sommige gevallen gebeurd en gemeenten zijn hierover transparant geweest via eigen mediakanalen naar inwoners.
Bij de afweging om systemen gedeeltelijk/tijdelijk uit te schakelen wegen aspecten mee zoals de mate waarin de systemen kwetsbaar of kritisch zijn voor de bedrijfsvoering, of direct aan het internet gekoppeld zijn (internet facing), in relatie tot continuïteit van dienstverlening. Tijdens de feestdagen van eind vorige maand is dit ook gebeurd, op momenten waarop de dienstverlening dit toeliet, zodat in deze beperkt bezette periode het aanwezige personeel niet intensief hoefde te monitoren.
Vraag 8

Naast gemeentes hebben ook organisaties in de vitale sectoren zoals banken hun systemen gedeeltelijk afgesloten. Welke gevolgen heeft dit voor de vitale sectoren? In hoeverre wordt er via het NCSC ondersteuning geboden en samengewerkt met vitale sectoren zoals de banken- en telecomsector om de schade van dit lek te beperken?

De gevolgen van het nemen van preventieve maatregelen, zoals het gedeeltelijk afsluiten van systemen is afhankelijk van de sector of organisatie. Het NCSC heeft gelet op de ernst van de kwetsbaarheid geadviseerd waar updaten niet mogelijk is, te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is. Het (gedeeltelijk) afsluiten van een systeem is een eigen afweging van elke organisatie.
Het NCSC heeft ten behoeve van vitale aanbieders, alsook organisaties die deel uitmaken van de rijksoverheid, de wettelijke taak te informeren en adviseren over digitale dreigingen en incidenten en bijstand te verlenen bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen.
Vraag 9

Hoe wordt in andere landen omgegaan met dit lek? Werkt u samen met andere landen om oplossingen te vinden voor dit lek? Kunnen lessen getrokken worden uit hoe in het buitenland om wordt gegaan met dit lek?

Het beeld van het NCSC met betrekking tot deze kwetsbaarheid wordt gedeeld met nationale CSIRT’s van EU-lidstaten. Het CSIRT-netwerk, bedoeld in de EU Netwerk en Informatiebeveiligingsrichtlijn (NIB), is ook opgeschaald geweest tot alert cooperation mode op initiatief en advies van het NCSC. Dit houdt in dat er, naast het regulier delen van informatie, regelmatig overleggen tussen de CSIRTs van alle EU-lidstaten plaatsvinden om het beeld over de kwetsbaarheid actiever te kunnen delen.
Het door het NCSC opgezette en gecoördineerde publieke informatieplatform is door vele internationale partijen gebruikt om informatie over deze kwetsbaarheid te delen. Dit zien wij als een zeer geslaagde samenwerking met buitenlandse partners.
Vraag 10

Welke gevolgen heeft dit lek voor het gebruik maken van Apache log4j door de overheid? Zijn er betere alternatieven waar naar gekeken kan worden?

In geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4J, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4J. De kwetsbaarheden in Log4J zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger. Het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing. Wel is er structurele aandacht nodig voor dergelijke problematiek en de Onderzoeksraad voor Veiligheid (OVV) heeft in het rapport «Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix» daarvoor diverse adviezen gegeven. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.
Vraag 11

Deelt u de mening dat het NCSC en DTC proactief lijken te communiceren? Op welke verschillende manieren proberen zij organisaties te bereiken en van informatie te voorzien? Wat kan het NCSC en DTC nog beter doen om meer mensen te bereiken, in begrijpelijke taal en welke informatie zou er nog meer gedeeld kunnen worden?

Zoals in het antwoord op vraag 4 en 5 staat vermeld staan het NCSC en het DTC hierover in nauw contact met hun respectievelijke doelgroepen en met elkaar. Eén van de grote uitdagingen bij het stimuleren van organisaties om maatregelen te nemen is het vinden van de juiste balans tussen inhoudelijk technisch advies en praktisch handelingsperspectief.
Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties dan ook zo veel als mogelijk proactief gewaarschuwd én beveiligingsadviezen verzonden. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek in die zin is geïnformeerd. Daarnaast heeft het NCSC meerdere doelgroepberichten met aanvullende duiding verzonden.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Hiermee is door het NCSC dus in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Ook het DTC streeft ernaar waar mogelijk proactief handelsperspectief te bieden voor haar doelgroep. Deze informatie wordt breed gedeeld via de DTC website, sociale media kanalen en de DTC community. Daarnaast deelt DTC beschikbare informatie ook direct met de DTC samenwerkingsverbanden, die het vervolgens binnen hun regio, sector of branche verder verspreiden. Uitgangspunt is dat het gegeven handelsperspectief voor de kleinere en minder cybervolwassen doelgroep ook te begrijpen is. Het DTC werkt op dit moment, met medewerking van het NCSC, aan een verdiepend informatieproduct voor de doelgroep van het DTC met ditzelfde uitgangspunt.
Bedrijven die geen deel uitmaken van een samenwerkingsverband maar wel de berichtgeving willen ontvangen worden door het DTC proactief uitgenodigd om zich aan te melden bij de DTC-community waar de informatie ook wordt gedeeld.3
Vraag 12

Deelt u de mening dat het afkondigen van een code rood, zoals het Duitse Ministerie van Binnenlandse Zaken heeft gedaan, een interessante manier kan zijn om de urgentie van deze kwetsbaarheid aan te geven, er aandacht voor te vragen en de handelingsbereidheid bij organisaties te vergroten? Zo nee, waarom niet?

In de Nederlandse context worden organisaties ook, maar op een andere manier, geattendeerd op digitale dreigingen.
Naar aanleiding van een geconstateerde dreiging wordt in de eerste plaats door het Nationaal Cyber Security Centrum een beveiligingsadvies verspreid ten behoeve van organisaties in de eigen doelgroep (vitale aanbieders, rijksoverheidsorganisaties) en schakelorganisaties zoals het DTC. Daarnaast wordt ook een algemeen beveiligingsadvies gepubliceerd op de NCSC-website. De beveiligingsadviezen worden ingeschaald op (1) de kans dat een kwetsbaarheid wordt misbruikt en (2) de ernst van de schade die optreedt wanneer een kwetsbaarheid misbruikt wordt. Bij Log4J is een High/High advies gepubliceerd.4
Vraag 13

Het Belgische Ministerie van Defensie lijkt aangevallen te zijn via de log4j-kwetsbaarheid; Deelt u de mening dat deze kerstperiode voor criminelen en statelijke actoren een uitgelezen kans zou kunnen zijn om de rijksoverheid en vitale sectoren aan te vallen? Zo nee, waarom niet? Zo ja, welke voorbereidingen worden getroffen? Staan er extra cyberteams paraat en zijn alle systemen gecheckt? Is het helder wie bij een crisis de leiding neemt en hoe cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden? Zo nee, waarom niet? Zo ja, welke rol speelt het Defensie Cyber Commando?

Uit eerdere aanvallen in verband met andere kwetsbaarheden is gebleken dat vakantieperiodes of feestdagen vaker worden misbruikt door cybercriminelen. Een lagere bezettingsgraad kan betekenen dat organisaties mogelijk minder alert zijn of dat middelen voor herstel beperkt zijn in vergelijking met andere periodes.
Op 10 december jl. heeft het NCSC het eerste algemene beveiligingsadvies voor deze kwetsbaarheid op haar website gepubliceerd. Het NCSC waarschuwt daarin voor potentieel grote schade en adviseert organisaties daarom zich voor te bereiden op een mogelijke aanval. Daarbij is aangegeven dat het zeer waarschijnlijk is dat in de komende weken digitale (ransomware)aanvallen en datalekken plaatsvinden. Het NCSC heeft op 16 december het Nationaal Respons Netwerk (NRN) geactiveerd om aanvullende incident respons capaciteit gereed te hebben voor het kunnen verlenen van bijstand.
Vanaf het bekend worden van de kwetsbaarheid heeft het NCSC de situatie doorlopend gemonitord, adviezen geactualiseerd en nauw contact onderhouden met Rijksorganisaties, vitale aanbieders en cybersecuritypartners in binnen- en buitenland. Ook het DTC communiceert de meest actuele informatie en handelingsperspectieven naar haar doelgroep.
Daarnaast kan er ook aanleiding bestaan om de nationale crisisstructuur te activeren bij een dreiging van (zeer) grote omvang. Deze nationale opschaling wordt in de praktijk gecoördineerd door het Nationaal Crisis Centrum van de NCTV. Dit is ook zo beschreven in het Nationaal Crisisplan Digitaal (NCP-D).
De wijze waarop cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden en samenwerken staat ook in het NCP-D beschreven. Ditzelfde plan wordt ook gebruikt om met elkaar cybercrisis te oefenen. Ook de rol van het Defensie Cybercommando (DCC) is te vinden in dit plan.
De rol van het DCC was minimaal in deze casus. Zoals ook in de Kamerbrief Tegenmaatregelen ransomware-aanvallen van 6 okt 2021 uiteengezet door de Minister van Buitenlandse Zaken speelt het DCC de rol van het laatste digitale instrument, waarbij in een eerdere fase inzet van andere overheidsinstanties of minder vergaande instrumenten niet afdoende is gebleken.5 Ook kan het DCC op verzoek de desbetreffende teams versterken met kennis en expertise van cyberoperators. Dat laatste is niet nodig gebleken. Wel heeft het Defensie Cyber Security Centrum (DCSC) cyberexperts geleverd uit het NRN aan het NCSC om te ondersteunen bij deze crisis. Aangezien deze casus meer toezag op cybersecurity – wat het vakgebied en de verantwoordelijkheid is van het DCSC binnen Defensie. Hiertoe is in de Log4J casus de nationale crisisstructuur tweemaal bijeengekomen op het niveau van een Interdepartementaal Afstemmingsoverleg (IAO).

20 december 2021 - 31 januari 2022

42 dagen

Het rapport Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix
	Barbara Kathmann (PvdA)
	Raymond Knops (CDA), Ferdinand Grapperhaus (CDA), Stef Blok (VVD)

Bronnen

1. Onderzoeksraad voor Veiligheid, 16 december 2021, Fundamenteel ingrij…

Vraag 1

Bent u bekend met het rapport van de Onderzoeksraad voor Veiligheid en het bericht Fundamenteel ingrijpen is nodig voor Nederlandse digitale veiligheid?1

Het kabinet is bekend met het rapport van de Onderzoeksraad voor Veiligheid OVV «Kwetsbaar door software – lessen naar aanleiding van beveiligingslekken door software van Citrix» en het bijbehorende bericht van de OVV. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.2
Vraag 2

Bent u het eens met de stelling dat de veiligheid van software allereerst de verantwoordelijkheid is van de softwarefabrikant en dat deze fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren? Zo nee, waarom niet? Zo ja, wat gaat u doen om te zorgen dat deze verantwoordelijkheid in de praktijk feitelijk bij softwarefabrikanten komt te liggen?

Zoals aangegeven in de Nederlandse Cybersecurity Agenda en de Roadmap Digitaal Veilige Hard- en Software zijn organisaties in de eerste plaats zelf verantwoordelijk voor cybersecurity. Voor softwarefabrikanten geldt dat zij primair verantwoordelijk zijn voor de digitale veiligheid van de door hen aangeboden producten en diensten. Daarnaast kunnen afnemers van ICT-producten en diensten (consumenten en organisaties) de vraag naar digitaal veilige ICT-producten en diensten stimuleren. Dit stimuleert aanbieders om te investeren in de digitale veiligheid van hun ICT-producten en diensten. De overheid staat voor de publieke belangen, stimuleert marktpartijen om hun eigen verantwoordelijkheid te nemen en is zelf ook een afnemer van ICT-producten en diensten. Zoals de OVV aangeeft zijn alle partijen van elkaar afhankelijk om de digitale veiligheid in de samenleving en economie te borgen. De afgelopen kabinetsperiode is met een samenhangend pakket aan maatregelen in de Roadmap Digitaal Veilige Hard- en Software ingezet op het verhogen van het digitale veiligheidsniveau van ICT-producten en diensten. Over de jaarlijkse voortgang van de Roadmap Digitaal Veilige Hard- en Software bent u geïnformeerd door de Minister van Economische Zaken en Klimaat op 30 november 2021.3 Voorbeelden van maatregelen uit deze roadmap zijn de inzet van EZK voor de begin dit jaar gerealiseerde Europese cybersecurity markttoegangseisen voor draadloos verbonden apparaten onder de Radio Equipement Directive, de ontwikkeling van Europese cybersecurity certificering voor ICT-producten, diensten en processen onder de Cyber Security Act, een non-paper over de in ontwikkeling zijnde Cyber Resilience Act als horizontale Europese regulering voor de cybersecurity van ICT-producten en diensten en de door BZK en EZK ontwikkelde cybersecurity inkoopeisen voor alle overheidsorganisaties. De Roadmap Digitaal Veilige Hard- en Software is onderdeel van de rijksbrede Nederlandse Cybersecurity Agenda. Over de jaarlijkse voortgang van de Nederlandse Cybersecurity Agenda bent u voor het laatst geïnformeerd op 28 juni 2021.4
Daarnaast wordt momenteel gewerkt aan het ontwikkelen van een integrale Nederlandse Cybersecuritystrategie waarin met name ook de ambities uit het coalitieakkoord nader worden uitgewerkt. Deze strategie wordt zodra gereed met uw Kamer gedeeld. De digitale veiligheid van ICT-producten en diensten zal hier integraal onderdeel van zijn. Ook zal uiteraard worden bezien op welke wijze het kabinet de verschillende aanbevelingen van de OVV kan meenemen ten behoeve van de ontwikkeling van deze strategie en het verder versterken van het cybersecuritystelsel in Nederland en Europa.
Vraag 3

Hoe gaat u invulling geven aan het advies om een voortrekkersrol te nemen voor Nederlandse organisaties en consumenten om gezamenlijk veiligheidseisen te formuleren en af te dwingen bij softwarefabrikanten?

Zoals aangegeven bij vraag 1 is het kabinet het OVV-rapport zorgvuldig aan het bestuderen en zal het voor de zomer hierop een kabinetsreactie geven. Het rapport van de OVV laat zien dat cybersecurity een complex vraagstuk is en de aanbevelingen van de OVV in samenhang moeten worden bezien. Er is niet één afzonderlijke maatregel die de digitale veiligheid kan realiseren. Bij de besluitvorming over de opvolging van deze aanbeveling zal het bestaande instrumentarium in volle breedte in ogenschouw moeten worden genomen.
Een voorbeeld hiervan is de Baseline Informatiebeveiliging Overheid (BIO), die van kracht is op de aanschaf van ICT-producten en diensten door de overheid. De BIO schrijft voor dat overheidsorganisaties ook bij inkoop op basis van risicomanagement bepalen aan welke veiligheidseisen bijvoorbeeld ICT-producten en -diensten moeten voldoen. Om hen daarbij te helpen, hebben de Ministeries van BZK en EZK gezamenlijk een inkoophulpmiddel ontwikkeld, de zogenaamde ICO-wizard.5 De overheid is een grote afnemer van ICT-producten en diensten en kan als grote marktpartij de vraag in de markt stimuleren naar digitaal veilige ICT-producten en diensten.
Vraag 4

Wat gaat u ondernemen om bij softwarefabrikanten af te dwingen dat ze meer investeren in structurele en toetsbare oplossingen voor veiligheidsproblemen in software, in plaats van dat softwarefabrikanten de softwaregebruikers overladen met patches en updates?

Europese samenwerking op dit terrein is van groot belang. Een voorbeeld van een van de huidige maatregelen is de inzet op de ontwikkeling van Europese cybersecuritycertificeringschema’s onder de Cyber Security Act. De Cyber Security Act is het Europese raamwerk waarbinnen cybersecuritycertificeringsschema’s worden ontwikkeld voor verschillende categorieën ICT-producten, diensten en processen. Nederland zet hierbij in op de ontwikkeling van een certificeringschema voor softwarebeveiliging. Ook voor deze vraag geldt dat het kabinet de aanbevelingen op dit vlak nog nader zal bestuderen en daarop zal ingaan in de eerdergenoemde kabinetsreactie.
Vraag 5

Hoe gaat u opvolging geven aan het advies om softwarefabrikanten aansprakelijk te stellen voor de gevolgen van softwarekwetsbaarheden?

Zoals aangegeven bij vraag 1 is het kabinet het OVV-rapport zorgvuldig aan het bestuderen. Het wettelijk vastleggen van de verantwoordelijkheid van fabrikanten voor veilige software en hun aansprakelijkheid voor de gevolgen van eventuele kwetsbaarheden zal op Europees niveau geregeld moeten worden. De OVV heeft deze aanbeveling dan ook gericht aan de Europese Commissie. Eventuele inzet in lijn met deze aanbeveling vanuit het kabinet zou dan ook gericht zijn op het beïnvloeden van besluitvorming hierover op Europees niveau.
Vraag 6

Hoe gaat u invulling geven aan de aanbeveling van de Onderzoeksraad voor Veiligheid om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product?

Zoals aangegeven in de beantwoording op vraag 5 is deze aanbeveling van de OVV gericht aan de Europese Commissie. Vanwege het grensoverschrijdende karakter van de markt voor ICT-producten en – diensten ligt het in algemene zin voor de hand om dergelijke eisen op te leggen in internationaal en Europees verband. Gedurende de afgelopen periode heeft Nederland zich op basis van de Roadmap Digitaal Veilige Hard- en Software sterk gemaakt voor Europese maatregelen zoals cybersecurity certificering van ICT-producten, diensten en processen onder de Cyber Security Act en wettelijke cybersecurityeisen voor Europese markttoegang voor verbonden apparaten onder de Radio Equipment Directive.
Ook gaat Nederland actief het gesprek aan met de Europese Commissie over de ontwikkeling van horizontale regulering voor de cybersecurity van ICT-producten en diensten via de Cyber Resilience Act. Hiervoor is een non-paper opgesteld en aangeboden aan Uw Kamer op 14 december 2021.6

14 december 2021 - 10 februari 2022

58 dagen

Digitale veiligheid
	Renske Leijten
	Raymond Knops (CDA), Ferdinand Grapperhaus (CDA), Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. Follow the Money, 11 december 2021, «Wetenschappers waarschuwen voor …
2. NOS, 11 december 2021, «Cyberwaakhond waarschuwt voor gevaarlijk bev…

Vraag 1

Kunt u een stand van zaken geven over de ontwikkeling van een Europese digitale identiteit en de Nederlandse inzet daaromtrent?1

De Europese Commissie heeft op 3 juni 2021 een wetsvoorstel ingediend voor een «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet. De Commissie deed ook een aanbeveling voor een met de lidstaten te ontwikkelen «Toolbox».2
De Minister van Buitenlandse Zaken informeerde Uw Kamer op 9 juli 2021 over de positie van het kabinet in dit dossier in het BNC-fiche.3 De kern van dit fiche is dat het voorstel van de Commissie inhoudelijk aansluit op het Nederlandse beleid voor elektronische identificatie en uitwisseling van gegevens. Het Nederlandse beleid heeft tot doel dat alle ingezetenen en bedrijven in Nederland en in andere Europese landen op een veilige, betrouwbare, toegankelijke en gebruiksvriendelijke manier digitaal transacties kunnen verrichten in het publieke en in het private domein. Een verdere toelichting op het Europese digitale identiteit raamwerk is eerder gegeven in de Kamerbrief voortgangsrapportage domein toegang.4
Vraag 2

Kunt u een stand van zaken geven over de ontwikkeling van Nederlandse digitale identiteiten, zoals de eID?

Op 12 oktober 2021 is uw Kamer uitgebreid geïnformeerd over de voortgang op het domein digitale toegang.5 In deze brief wordt uitgebreid ingegaan op het gehele domein van de digitale toegang waar zowel de doorontwikkeling van DigiD, het publieke inlogmiddel voor burgers, als eHerkenning, het private stelsel van inlogmiddelen voor bedrijven) onder valt. Het domein Toegang heeft in de kern twee doelen. Allereerst (persoonlijke) toegang verlenen tot een goede, efficiënte digitale dienstverlening voor burgers en bedrijven. En ten tweede de betrouwbaarheid van de private en publieke inlogmiddelen garanderen, zodat persoonsgegevens zo goed mogelijk beschermd zijn.
In de genoemde brief over het domein toegang zijn eveneens de ontwikkelingen op het domein digitale identiteit meegenomen. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.6 Hierin wordt uitgebreid ingegaan op de taken en verantwoordelijkheden die de overheid invult met betrekking tot de digitale identiteit en de digitale infrastructuur.
Vraag 3

Kunt u helder uiteenzetten in welke mate en hoe de data die gekoppeld is aan een eID decentraal wordt opgeslagen en in welke mate en hoe dit centraal wordt opgeslagen? Zo nee, waarom niet?

Bij de inrichting van het eID-stelsel worden om in te loggen bij overheden geen andere attributen (persoonsgegevens) verwerkt dan het burgerservicenummer; dat wil zeggen niet op andere plekken dan waar dit nu reeds plaatsvindt. Bij de implementatie van eID is overigens een centrale, maar ook een decentrale opzet, of een combinatie van beide mogelijk. In alle situaties is de kern dat er een adequate privacybescherming wordt gerealiseerd. Daarbij dienen alle beginselen uit de AVG worden meegenomen.
Vraag 4

Begrijpt u de kritiek van experts, die aangeven dat hoewel mensen eigenaar lijken te zijn van hun eigen data, maar dat dit principe ondermijnd wordt door verdienmodellen van verschillende deelnemers en aanbieders van digitale identiteiten? Zo nee, waarom niet? Zo ja, wat zijn de waarborgen waardoor deze prikkels worden weggenomen?

Ik deel de achterliggende zorg. Ik ben het met de experts eens dat persoonsgegevens van burgers geen handelswaar zijn en dat verdienmodellen van aanbieders daarop ook niet gebaseerd mogen zijn. Ik ben van mening dat daarvoor ook afdoende waarborgen getroffen zijn en worden. Zowel in de revisie van de bestaande eIDAS verordening tot vorming van een Europees digitale identiteit raamwerk, als in de voorstellen voor de Wet Digitale Overheid, is opgenomen dat gebruiks- en gebruikersgegevens en eventuele andere categorieën persoonsgegevens niet gebruikt mogen worden voor andere doeleinden dan de veilige uitgifte van inlogmiddelen en het inloggen met deze middelen.7 De data van mensen dienen dus niet het verdienmodel van een aanbieder van een digitaal identiteitsmiddel, omdat dit onder de voorgestelde wetgeving niet wordt toegestaan.
Vraag 5

Waarom is er bij de ontwikkeling van de eID/SSI (Self-Sovereign Identity) gekozen voor blockchaintechnologie? Begrijpt u de kritiek van wetenschappers dat dit kwetsbaar en kostbaar is, onder andere omdat data, ook als deze niet juist is, niet verwijderd kan worden? Kunt u uw antwoord toelichten?

Het artikel waaraan u refereert beschrijft één experiment en geen breed maatschappelijk geïmplementeerde toepassing. De genoemde pilot wordt momenteel niet aan burgers aangeboden. Het Nederlandse eID voor burgers is DigiD. Hierbij wordt de door u genoemde technologie niet gebruikt.
De mate waarin distributed ledger technologie (blockchain) in de toekomstige Europese en Nederlandse digitale identiteit infrastructuur gebruikt wordt staat nog niet vast. Ik kijk hier zeer kritisch naar, niet alleen vanuit het oogpunt van privacy, maar ook vanuit duurzaamheid. Het maatschappelijke doel staat in het Nederlandse beleid voorop, niet de ondersteunende technologie. De overheid blijft graag in open dialoog en onderzoekt diverse technologische initiatieven die kunnen bijdragen aan een betrouwbare digitale identiteit infrastructuur, zeker waar het gaat om het borgen van de autonomie en privacy van Nederlandse burgers. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties tracht hierbij zo min mogelijk voorbarige conclusies te trekken, maar probeert te leren door te experimenteren.
Vraag 6

Kunt u ingaan op de zorgen over hoe de gekozen techniek mensen ernstig kan benadelen, omdat zij aan een systeem vastzitten en daar alleen afstand van kunnen nemen met grote persoonlijke consequenties? Hoe denkt u dit te voorkomen?

Ik ben bekend met deze technologie en de kritiek hierop. We onderzoeken, bijvoorbeeld in het kader van het European Blockchain Partnership, diverse mogelijkheden om distributed ledgers (blockchains) te gebruiken zonder daarop persoonsgegevens op te slaan. Dit heeft mijn voorkeur. Zoals in het antwoord op de vorige vraag is aangegeven, staat de mate waarin distributed ledger technologie (blockchain) in de toekomstige Europese en Nederlandse digitale identiteit infrastructuur gebruikt wordt, nog niet vast. Het maatschappelijke doel staat in het Nederlandse beleid voorop, niet de ondersteunende technologie.
Vraag 7

Hoeveel lobbycontacten zijn er geweest tussen de overheid en het platform ID2020? Kunt u een overzicht verstrekken?

In het opstellen van de Nederlandse lijn in het werken aan het Europese digitale identiteit raamwerk zijn geen contacten geweest met medewerkers van het platform ID2020.
Vraag 8

Kunt u ingaan op de zorgen van wetenschappers dat de coronapandemie door bedrijven en politici wordt gebruikt of misbruikt om een digitale identiteitskaart(ID) in te voeren? Kunt u uw antwoord toelichten?

De Nederlandse digitale identiteitskaart bestaat op dit moment niet. De wet op de identificatieplicht laat dit niet toe. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.8
Vraag 9

In hoeverre vindt u het ethisch verantwoord dat bedrijven of beleidsmakers een gezondheidscrisis gebruiken om een digitale identiteit aan te prijzen, waardoor zij meer winst kunnen maken of meer invloed kunnen vergaren door dataverzameling?

Er is door de overheid geen gezondheidscrisis gebruikt om meer winst te maken of invloed te vergaren door datavergaring. De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen stappen vergt. In de visiebrief digitale identiteit (feb 2021) heb ik nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen.9 Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. De kern is dat ik wil bouwen aan vertrouwen in de digitale wereld door een betrouwbare digitale identiteit infrastructuur in te richten. Winst van private partijen zal hierbij geen doel zijn. Invloed vergaren door middel van dataverzameling bij het gebruik van digitale identiteitsmiddelen is voor zowel overheden als private partijen volgens de voorgestelde wetgeving niet toegestaan. Zie het antwoord op vraag 4.
Vraag 10

Op welke manier zijn de ethische aspecten meegewogen in het beleid rond de Europese en Nederlandse digitale identiteit? Kunt u uw antwoord toelichten?

De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen en ethisch verantwoorde stappen vergt. In de visiebrief digitale identiteit (feb 2021) is nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen. Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. Ook worden in deze brief enkele uitgangspunten voor de toekomstige digitale identiteit infrastructuur aangegeven.10 Om een gedragen en betrouwbare inrichting van de Nederlandse en Europese digitale identiteit infrastructuur te bewerkstelligen zal ik hierover in de toekomst met uw Kamer en met diverse maatschappelijke experts, waaronder ethici, in gesprek gaan.
Vraag 11

Kunt u reflecteren op de wenselijkheid van de invloed van onder andere Microsoft, maar ook andere multinationals of big techbedrijven, in de oproep aan overheden tot het ontwikkelen van een zogenoemde coronapas? Zo nee, waarom niet?

De inrichting van het «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet, wordt onafhankelijk van het eerder ontwikkelde EU digitale Corona Certificaat ontwikkeld. Voor de ontwikkeling van de onder vraag 1 genoemde toolbox zal ook de kennis en ervaring vanuit het bedrijfsleven betrokken worden. Dit doen we op een open wijze met een gelijk speelveld voor de betrokken partijen.
Vraag 12

In hoeverre vindt u het afhankelijk worden van een digitale identiteit wenselijk als er tegelijkertijd nog altijd grote beveiligingsrisico’s zijn voor mensen als het gaat om het gijzelen van data en persoonsgegevens?2

Op het terrein van informatieveiligheid binnen en buiten de overheid is veel werk te doen. Het kabinet zet zich permanent in voor het vergroten van de digitale veiligheid in de samenleving; ik verwijs naar de Kamerbrief met de Beleidsreactie Cybersecuritybeeld Nederland 2021 (CSBN2021) en de voortgangsrapportage Nederlandse Cybersecurity Agenda (NCSA).12 De digitale dreiging is immers groeiende en alle overheden en organisaties wereldwijd kampen met dit vraagstuk. Het is een brede maatschappelijke opgave voor publieke en private partijen. Digitale veiligheid is dan ook een essentiële randvoorwaarde voor het slagen van de digitale transitie. Daarom dient deze veiligheid in de basis geborgd te worden zodat dit geen beletsel vormt voor de toekomstbestendigheid van de Europese en Nederlandse digitale identiteit infrastructuur.
Vraag 13

Kunt u aangeven wat u onderneemt om deze kwetsbaarheid, en het oplossen van die kwetsbaarheden, zo veel mogelijk onder de aandacht te brengen van (overheids)instellingen en bedrijven?

Vanuit de driehoek BZK, JenV en EZK wordt nauw samengewerkt om de digitale weerbaarheid in de publieke en private sectoren in Nederland te verhogen. Een goed voorbeeld hiervan is de recente aanpak van Apache Log4j kwetsbaarheid waarbij binnen de rijksoverheid, onder operationele coördinatie door het NCSC, organisaties vanuit de eigen rollen en taken nauw hebben samengewerkt. Een speciaal georganiseerd online-webinar, georganiseerd door het Digital Trust Center (DTC), NCSC en CSIRT-DSP, werd door 4000 IT- en cyberspecialisten bezocht waardoor kennis snel gedeeld kon worden met partijen die aan de knoppen zitten. Uw Kamer is hier op 17 december jl. over geïnformeerd.13
Vraag 14

Kunt u aangeven hoe bedrijven en (overheids)instellingen en getroffen burgers worden ondersteund bij eventuele schade van dit veiligheidslek?

Leveranciers van software zijn allereerst verantwoordelijk om bij kwetsbaarheden actie te nemen en zo te zorgen dat hun producten veilig zijn. Door de stichting Apache zijn in deze casus ook updates beschikbaar gesteld om de kwetsbaarheden te dichten.14 Bedrijven en organisaties in Nederland zijn primair zelf verantwoordelijk voor de beveiliging van hun IT en dienen de patch, waar dat kan, dan ook zo snel mogelijk uit te voeren.
Het NCSC heeft daarnaast krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak om vitale aanbieders en Rijksoverheidsorganisaties in het geval van dreigingen of incidenten met betrekking tot hun netwerk- en informatiesystemen, zowel desgevraagd als proactief, te informeren, adviseren en overige bijstand te verlenen. Digitale dienstverleners (clouddiensten, online marktplaatsen, zoekmachines) die onder de Wbni vallen kunnen desgewenst bijstand verkrijgen van het nationale Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP).15 Het DTC ondersteunt het MKB hierin met algemene en specifieke dreigingsinformatie, advies, handelingsperspectieven en tools. Ook stimuleert het sectorale en regionale samenwerkingsverbanden van bedrijven die tot doel hebben de cyberweerbaarheid van hun deelnemers te verhogen.
Het is aan alle partijen om zich goed voor te bereiden op eventuele compromittering van hun netwerk- en informatiesystemen, zoals dat ook bij inbraak en diefstal het geval is in de analoge situaties. Wanneer onverhoopt burgers slachtoffer worden van een dergelijk incident, dan zal per geval bekeken moeten worden of er partijen aansprakelijk gesteld kunnen worden. Wanneer burgers of instellingen als gevolg van een dergelijk incident te maken krijgen met cybercrime, dan kunnen zij hiervan aangifte doen bij de politie.
Vraag 15

Vindt u het wenselijk dat zoveel bedrijven en instellingen afhankelijk zijn van het veiligheidsbeleid van één bedrijf? Zo nee, wat is hiervoor volgens u een oplossing?

Als een (digitale) toepassing door heel veel bedrijven en instellingen wordt gebruikt dan zal de economische of maatschappelijke schade bij incidenten veelal groter zijn dan wanneer er weinig gebruikers zijn. Organisaties zijn zelf primair verantwoordelijk voor hun eigen digitale weerbaarheid en het bepalen van welke producten of diensten ze daartoe afnemen. Voor verschillende organisaties geldt wel dat ze wel onder meer op grond van de Wbni een zorgplicht hebben en dus passende en evenredige beveiligingsmaatregelen moeten treffen. Ook vindt er toezicht op de naleving hiervan plaats.16
Daarnaast is het kabinet in dit verband positief over het commissievoorstel voor de herziening van de NIB-richtlijn. Dat voorstel bevat onder andere bepalingen over het inrichten van een proces voor gecoördineerde risicoanalyses voor kritieke ICT-systemen, -producten of diensten. Ook regelt het voorstel dat de entiteiten die zullen vallen onder de herziene NIB-richtlijn adequate beveiligingsmaatregelen moeten treffen, waarbij ook rekening moet worden gehouden met de beveiliging van hun toeleveringsketens. Zie ook het antwoord op vraag 16.
Vraag 16

Kunt u aangeven of er een melding moet worden gedaan van digitale aanvallen en beveiligingslekken waardoor er preventief kan worden opgetreden om verdere onveiligheden op te lossen? Kunt u uw antwoord toelichten?

Het doel van het kabinetsbeleid ten aanzien van digitale aanvallen en beveiligingslekken is om slachtoffers en schade te voorkomen, het aanvalsproces te verstoren en daders op te sporen. Voor verschillende organisaties geldt er onder meer krachtens de Wbni reeds een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening. Op dit moment wordt er in de EU onderhandeld over de herziening van de NIB-richtlijn, die in Nederland is geïmplementeerd via de Wbni. Met de herziening van de NIB-richtlijn zal het aantal sectoren en organisaties die onder de herziene richtlijn komen te vallen en dus onder meer moeten voldoen aan een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening behoorlijk worden uitgebreid. Tevens stimuleert het NCSC het inrichten van een beleid voor Coordinated Vulnerability Disclosure (CVD), waarbij gebruikers melding kunnen maken van kwetsbaarheden bij de eigenaars of producenten van software en systemen. Het NCSC kan bemiddelen indien een leverancier of eigenaar niet of niet goed reageert op een dergelijke melding.
Daarnaast staan het NCSC, het CSIRT voor digitale diensten en het DTC met elkaar in contact om zo veel als mogelijk te adviseren over welke beveiligingsmaatregelen organisaties kunnen nemen en zij waarschuwen bij geconstateerde kwetsbaarheden hun onderscheidenlijke doelgroepen om onder meer het bewustzijn te vergroten. Ook bieden ze hulpmiddelen voor het treffen van maatregelen aan ter verhoging van de cyberweerbaarheid.

14 december 2021 - 4 februari 2022

52 dagen

Het bericht ‘Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie’.
	Queeny Rajkowski (VVD)
	Ferdinand Grapperhaus (CDA)

Bronnen

1. https://www.volkskrant.nl/nieuws-achtergrond/technologieleverancier-v…

Vraag 1

Bent u bekend met het bericht «Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie»1?

Ja. Dit voorval is zeer onwenselijk. Onderdeel van ons beleid is beter te gaan monitoren hoe toeleveranciers van de overheid omgaan met onze data. Het gaat daarbij om een samenhang van de te treffen beveiligingsmaatregelen (in zowel de contracten van de overheid als van de ICT-leverancier) als om het inregelen van toezicht. Ook het beleid van ICT-leveranciers ten aanzien van ransomware moet hierin worden meegenomen.
Vraag 2

Aan welke overheidsorganisaties levert Abiom communicatietechnologie?

Voor zover bekend nemen onder andere de Nationale Politie, de Dienst Justitiële Inrichtingen, Rijkswaterstaat, het Centraal Bureau Rijvaardigheidsbewijzen, Luchtverkeersleiding Nederland en het Ministerie van Defensie diensten en producten af van Abiom. Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de wettelijke verankering van en toezicht op informatieveiligheid voor het gehele openbaar bestuur, waaronder de Baseline Informatiebeveiliging Overheid (BIO) in een volgende tranche van de Wet Digitale Overheid (WDO). Overwogen wordt om in nadere regelgeving op te nemen dat bij iedere bestuurslaag voldoende snel kan worden achterhaald welke organisaties gebruik maken van welke leveranciers en/of software. Met deze informatiepositie kan de overheid haar respons op toekomstige digitale aanvallen beter invulling geven.
Vraag 3

Gelden er bepaalde (veiligheids)eisen voor kritieke toeleveranciers zoals Abiom die technologie leveren aan overheidsorganisaties? Zo ja, welke en in welke mate wordt hierop gescreend bij aanbestedingsprocessen? Zo nee, waarom niet?

(Veiligheids)eisen zijn van toepassing op alle leveranciers. Zoals bijvoorbeeld in antwoord op eerdere Kamervragen over het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen» is aangegeven, is voor de aanschaf van ICT-producten en diensten, door de overheid de Baseline Informatiebeveiliging Overheid (BIO) van kracht.2, 3 De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat ICT-producten en diensten van een leverancier worden afgenomen. Op grond van die risicoafwegingen bepalen zij dan de toepassing binnen hun eigen bedrijfsprocessen. De inkopende overheidsorganisatie bepaalt ook aan welke eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Deze overheidsorganisaties zullen ook tijdens de looptijd van het contract moeten toezien op het naleven van die eisen door de leverancier.
Om de inkopende overheidsorganisatie te helpen bij het bepalen aan welke inkoopeisen op het gebied van informatieveiligheid moet worden voldaan in het geval van ICT-producten en -diensten heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties samen met het Ministerie van Economische Zaken en Klimaat een inkooptool ontwikkeld, de zogenaamde ICO-wizard, Inkoopeisen Cybersecurity Overheid.4
Tevens geldt in algemene zin dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. Bij elke casus wordt bezien hoe risico’s beheersbaar kunnen worden gemaakt. Het uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.5 Uiteindelijk is het aan de opdrachtgever om deze risicoafweging te maken en mitigerende maatregelen te implementeren en te monitoren. De term «kritieke toeleveranciers» heeft geen specifieke status binnen de overheid.
In algemene zin biedt het wettelijk kader de mogelijkheid om bij inkoop en aanbestedingen specifieke (veiligheids)eisen als voorwaarden te stellen aan de (mogelijke) opdrachtnemer. Hier kan op worden gecontroleerd tijdens het aanbestedingsproces en gedurende de looptijd van het contract. Ook hier geldt dat de betreffende overheidsorganisatie hier zelf verantwoordelijk voor is.
Politie:
Bij alle Europese aanbestedingen betreffende door de Politie te verlenen opdrachten zijn eisen en contractuele bepalingen opgenomen die zich richten op geheimhouding en de verwerking van persoonsgegevens. Met de toeleveranciers van de politie worden – indien nodig – verwerkersovereenkomsten gesloten. In deze overeenkomsten staan de eisen met betrekking tot de omgang met informatie opgenomen waaraan een toeleverancier moet voldoen om leverancier van de politie te kunnen zijn. Deze eisen neemt de politie al mee bij de (voor-)selectiekeuzen voor leveranciers. Daarnaast worden, wanneer relevant, bij aanbestedingen eisen opgenomen die betrekking hebben op het beschermen van (digitale) politiegegevens, het vernietigen na gebruik en de plicht tot het melden van datalekken. Recentelijk is door de Korpsleiding van de politie besloten tot het intensiveren van het toezicht tijdens de uitvoeringsfase van een contract waarbij substantiële veiligheidsrisico’s zijn voorzien.
Defensie:
Voor Defensie geldt dat de Algemene Beveiligingseisen Defensieopdrachten (ABDO) van toepassing is op gerubriceerde opdrachten die Defensie bij de industrie belegt. De ABDO voorziet in diverse maatregelen om gerubriceerde informatie te beveiligen tegen een dreiging van bijvoorbeeld statelijke actoren. Welke (beveiligings-)eisen van toepassing zijn wordt per opdracht bepaald. ABDO is ook van toepassing op subcontractors en heeft daarmee impact op de beveiliging van de hele keten waar een gerubriceerde opdracht wordt belegd. De MIVD houdt toezicht op het naleven van de ABDO. Er worden in het openbaar geen uitspraken gedaan over welke bedrijven dit betreft.
Vraag 4

Deelt u de mening dat het goed is om de minimale veiligheidseisen voor IT-leveranciers te herzien en wellicht te verhogen om de kans op hacks met grootschalige impact zo klein mogelijk te maken? Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer? Zo nee, waarom niet?

De minimale beveiligingseisen waar IT-leveranciers van overheden zich aan moeten houden liggen vast in de BIO. De uitdaging ligt in het toepassen van de BIO bij bijvoorbeeld inkooptrajecten. Die eisen zullen specifiek ingevuld moeten worden voor de verschillende in gebruik te nemen ICT-producten en -diensten. De inkooptool, de eerdergenoemde ICO-wizard, die ontwikkeld is voor tien inkoopsegmenten, ondersteunt de inkopende overheidsorganisaties bij het bepalen en/of uitwerken van deze beveiligingseisen. Dat ontheft de inkopende organisatie niet van de verantwoordelijkheid om zelf op basis van risicomanagement te bepalen welke eisen in relatie tot de inkoop van ICT-producten of -diensten moeten komen te gelden.
Daarnaast wijs ik er graag op dat er op dit moment binnen de EU wordt onderhandeld over de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn). Deze richtlijn regelt onder meer dat entiteiten in 16 sectoren, waaronder de overheid, maatregelen moeten nemen om risico’s voor hun netwerk- en informatiesystemen die zij gebruiken bij het leveren van hun diensten te beheersen. Onderdeel van deze zorgplicht is dat zij rekening moeten houden met risico’s die voortkomen uit de relatie met hun leveranciers en dienstverleners. Op de naleving van de bepalingen uit de richtlijn moet worden toegezien door de lidstaten via hun nationale toezichthouders.
Vraag 5

Aan welke eisen moeten IT-leveranciers aan de overheid voldoen na een veiligheidsincident zoals een hack? Welk controle of testen worden er uitgevoerd?

De BIO schrijft voor dat er na een incident een analyse moet worden gemaakt ter voorkoming van vergelijkbare incidenten in de toekomst. Dit voorschrift geldt voor zowel de proceseigenaar als voor de leverancier. Dergelijke analyses moeten worden gedeeld met relevante partners om herhaling van en toekomstige incidenten te voorkomen. De exacte invulling hiervan is afhankelijk van de aard en het belang van het betreffende ICT-proces en zal voor elke organisatie per geval verschillen. Los hiervan moeten (overheids)organisaties inbreuken in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens melden, indien die inbreuk een risico vormt voor de rechten en vrijheden van personen.
Vraag 6

Klopt het dat de ransomwaregroep LockBit vertrouwelijke documenten online heeft gezet? Zo ja, om wat voor documenten en gegevens gaat het en komen hierdoor processen van de overheid in gevaar en/of lopen burgers gevaar om eventueel slachtoffer te worden van misbruik met hun gegevens?

Nee, burgers en processen van de overheid lopen, voor zover bekend, geen gevaar om door dit lek slachtoffer te worden van misbruik met hun gegevens. In tegenstelling tot de genoemde berichtgeving heeft Abiom geen kopieën van paspoorten van de politieambtenaren, verdachten, verbalisanten en/of benadeelden ontvangen vanuit de politie. De informatie die door de ransomwaregroep LockBit is gepubliceerd betreft – in het geval van de politie – kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. Deze informatie heeft Abiom tot zijn beschikking vanwege uitlevering van randapparatuur zoals bijvoorbeeld op maat gemaakte oortjes voor communicatievoorzieningen. Deze informatie stond op facturen van Abiom aan de politie. De vrijgekomen informatie heeft naar verwachting een beperkte impact op het operationele proces. Op basis van de nu beschikbare informatie kunnen politiemedewerkers en andere hulpverleners nog steeds veilig gebruik maken van C2000. Ook de informatie ten behoeve van het primaire proces bij meldkamers en politiediensten is nog steeds beschikbaar en ongewijzigd.
Naar huidig inzicht heeft de vrijgekomen informatie een beperkte impact gehad bij Defensie. Uit onderzoek is gebleken dat van enkele Defensiemedewerkers contactgegevens zijn gelekt en een beperkte hoeveelheid ongerubriceerde informatie. Deze informatie had geen betrekking op operationele eenheden. Ook zijn er geen missies in gevaar gekomen.
Vraag 7

Wat is het bedrag dat LockBit vraagt voor het niet publiceren van deze documenten? Klopt het dat Abiom niet is ingegaan op de eis van de hackers?

Zoals aangegeven in een statement van Abiom over het incident is er in overleg met de politie door Abiom besloten om niet in contact te treden met de actor die verantwoordelijk is voor de ransomware-aanval.6 In verband met het lopende politieonderzoek kan er op dit moment niet nader in worden gegaan op de casus.
Vraag 8

Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?

Op basis van de beschikbare informatie wordt ervan uitgegaan dat LockBit informatie heeft gestolen met het doel om losgeld te verkrijgen voor het niet publiceren van vertrouwelijke informatie. Vanwege het lopende politieonderzoek kan geen nadere informatie worden gegeven over de casus.
Vraag 9

Wordt er vanuit de overheid toezicht gehouden op gevoelige data van kritieke toeleveranciers van de overheid die online komen te staan? Zo ja, wie verzorgt dit toezicht en wat voor data is tot nu gevonden dat kan worden herleid tot de hack bij Abiom? Zo nee, waarom gebeurt dit niet?

Nee, zoals genoemd in vraag 3, heeft de term «kritieke toeleveranciers» geen specifieke status van de overheid. Hierop wordt als zodanig vanuit de overheid dus ook geen toezicht gehouden. Wel kan een incident aanleiding vormen voor andere toepasselijke toezichthoudende partijen om een onderzoek in te stellen. Wanneer bijvoorbeeld persoonsgegevens online komen te staan (een zogenaamde datalek) als gevolg van een incident is het aan de Autoriteit Persoonsgegevens om te overwegen of nader onderzoek ingesteld moet worden.
Daarnaast eist de BIO in het algemeen dat overheidsorganisaties beveiligingseisen opnemen in hun contracten met leveranciers en dat ze jaarlijks de prestatie van leveranciers op het gebied van informatiebeveiliging beoordelen op basis van vooraf vastgestelde prestatie-indicatoren. Deze behoren onderdeel te zijn van het contract met de leveranciers. Met een toekomstige wettelijke verankering van de BIO worden deze bepalingen van de BIO ook wettelijk verplicht.
Vraag 10

Deelt u de mening dat het goed om is Abiom te vragen om informatie over de hack te delen met bijvoorbeeld het Nationaal Cyber Security Centre en/of Digital Trust Centre? Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren? Zo nee, waarom niet?

Het Nationaal Cyber Security Centrum (NCSC) van mijn ministerie heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Dit betekent onder andere dat het NCSC zich daartoe een zo goed mogelijk beeld vormt van dergelijke dreigingen of incidenten en van de in die gevallen mogelijke mitigerende maatregelen. Het NCSC kan hiervoor informatie opvragen bij betrokken partijen, zoals de leverancier van kwetsbare softwareproducten. DTC heeft vooruitlopend op het wetsvoorstel Bevordering digitale weerbaarheid bedrijven (Wbdwb) de bevoegdheid het als niet-vitaal aangemerkte bedrijfsleven te informeren over serieuze dreigingen indien deze bekend zijn bij het DTC. Daarnaast neemt het DTC in voorkomende gevallen contact op met bedrijven waarbij er sprake is geweest van een serieus incident en DTC hier weet van heeft. In sommige gevallen deelt het DTC de verkregen informatie in meer algemene vorm zodat andere bedrijven hiervan kunnen leren en hun eigen cyberweerbaarheid kunnen vergroten. Het delen van informatie door bedrijven met het DTC over incidenten gebeurt op basis van vrijwilligheid. Het DTC heeft contact gezocht met Abiom om navraag te doen en is nog in afwachting van een reactie. Daarnaast hebben de getroffen overheidsorganisaties contact met Abiom gehad inzake aangifte, onderzoek en herstel, buitgemaakte gegevens, acties van Abiom en acties van de politie zelf.
Vraag 11

Deelt u de mening dat dit soort voorvallen zeer schadelijk kunnen zijn voor het functioneren van kritieke processen van de overheid zoals het functioneren van onze hulpdiensten? Zo ja, welke lessen worden uit deze hack getrokken en welke maatregelen kunnen worden genomen om kritieke toeleveranciers van de overheid (nog) weerbaarder te maken tegen ondermijnende digitale aanvallen zoals ransomware-aanvallen?

Als een incident leidt tot de verstoring van een vitaal proces is er een risico op maatschappelijke ontwrichting. Zoals ik in het antwoord op vraag 5 heb vermeld, schrijft de BIO voor dat organisaties incidenten evalueren. Welke lessen er exact worden getrokken zal per organisatie verschillen, omdat iedere organisatie verschilt en ook omdat de verlening van diensten en producten van Abiom op verschillende manieren is ingezet binnen de betrokken overheidsorganisaties. Die organisaties zullen daarbij zelf steeds een afweging moeten maken hoe risico’s gemitigeerd kunnen worden en welke eventuele restrisico’s blijven bestaan.

9 december 2021 - 16 februari 2022

69 dagen

De rode loper voor datacenter Zeewolde
	Joris Thijssen (PvdA), Suzanne Kröger (GL), Henk Nijboer (PvdA), Gijs van Dijk (PvdA)
	Stef Blok (VVD), Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. De Telegraaf, 24 november 2021 (https://www.telegraaf.nl/financieel/5…
2. NRC Handelsblad, 3 december 2021 (https://www.nrc.nl/nieuws/2021/12/0…
3. Nota beleidsbrief datacenters, 11 januari 2021

Vraag 1

Bent u bekend met de artikelen «Rode loper voor datacenter Facebook, Zeewolde wuift groene bezwaren weg»1 en «Het Rijk regelde onder druk van Facebook voorrang op het stroomnet»?2

Ja, daar ben ik mee bekend.
Vraag 2

Klopt het dat uw ministerie, net zoals bij het datacenter in de Wieringermeer, een actieve rol heeft gespeeld bij het binnenhalen van het datacenter van Facebook? Hoe zag die actieve rol eruit?

De Netherlands Foreign Investment Agency (NFIA), een uitvoeringsorganisatie van EZK, is verantwoordelijk voor het aantrekken van buitenlandse bedrijven naar Nederland. De NFIA heeft Meta niet actief aangetrokken naar Nederland. In maart 2019 is NFIA door Meta zelf benaderd voor een verkenning van een geschikte datacenter locatie in Nederland. Uit de verkenning van NFIA onder de regionale acquisitiepartners volgde in eerste instantie dat er geen locatie was die voldeed aan de door het bedrijf genoemde criteria. Later in het proces (eind 2019) heeft Meta zelf de gemeente Zeewolde benaderd. Na de locatiekeuze voor Zeewolde werd de NFIA vanaf begin 2020 op verzoek van Meta en de decentrale overheden weer bij het project betrokken om vanuit haar rol als eerste aanspreekpunt bij de rijksoverheid voor buitenlandse bedrijven het contact te leggen met de juiste partijen binnen de rijksoverheid voor specifieke vragen, bijvoorbeeld met het Ministerie van EZK over de elektriciteitsaansluiting. Verder is gedurende het traject de NFIA op de hoogte gehouden van de voortgang van het proces door Meta en regionale partijen.
Vraag 3

Klopt het dat het Ministerie van Algemene Zaken heeft aangespoord tot snelheid in het proces? Welke rol heeft het Ministerie van Algemene Zaken gehad rondom het datacenter van Facebook in Zeewolde?3

In het belang van de Nederlandse economie en de werkgelegenheid heeft het Ministerie van Algemene Zaken een rol in het aantrekken van buitenlandse investeringen en werkgelegenheid. Het Ministerie van Algemene Zaken onderneemt in dat licht geregeld internationale reizen onder meer gericht op het bevorderen van handel en investeringen en heeft daarnaast geregeld contact met bedrijven, zo ook met Meta.
In het geval van Meta is er contact geweest tussen het Ministerie van Algemene Zaken en het Ministerie van Economische Zaken en Klimaat waarin gewezen is op het belang van snelheid in het proces en is geïnformeerd naar de voortgang. Dit contact was erop gericht om informatie te krijgen of de door Meta gewenste wijze van aansluiting op het hoogspanningsnet zou passen binnen de kaders van de Elektriciteitswet, dit was immers van belang voor netbeheerders en Meta voor het verdere proces.
Vraag 4

Kunt u toelichten wat uw voorganger precies heeft gedaan aangaande het leveren van de genoemde voorrang op het hoogspanningsnet? Welke bevoegdheden heeft u om voorrang te geven aan bedrijven op het hoogspanningsnet?

Er is geen sprake van «voorrang» voor aansluiting van Meta op het hoogspanningsnet. Dit is een misvatting, zoals ook aangegeven door de Minister van Economische Zaken en Klimaat in het Vragenuur van 7 december 2021.
Op het moment dat Meta zich bij mijn ministerie meldde, had Meta reeds een aansluitverzoek bij TenneT4 ingediend. Haar recht op aansluiting en positie in een eventuele wachtrij van beoogd aangeslotenen, lag toen reeds vast. Overigens was er op deze plek geen sprake van een wachtrij van aangeslotenen, en is Meta de enige partij die om aansluiting heeft verzocht. Zoals blijkt uit de openbaar gemaakte stukken (zie nummer 9, notitie «Aansluitproblematiek datacentrum «Tulip», van 13 mei 2020), waren de discussies tussen TenneT en Meta over de wijze van aansluiting van het datacenter vastgelopen. Het ging dus niet om de vraag of Meta recht had op een aansluiting of de prioritering daarvan. Het wettelijk kader bepaalt namelijk dat elke partij in Nederland recht heeft op een aansluiting op het elektriciteitsnet.
TenneT had in reactie op het aansluitverzoek van Meta voorgesteld om aan te sluiten op een bestaand onderstation op 5 kilometer afstand van het beoogde datacenter. Meta stelde voor om aansluiting plaats te laten vinden op een door haar nieuw te bouwen transformatorstation, nabij het beoogde datacenter, en op een plek waar een bestaande hoogspanningsverbinding al loopt. Dit is een ongebruikelijke manier van aansluiting. Meta en TenneT werden het op dit punt niet eens. Elk van de partijen vroeg aan het ministerie of een dergelijke manier van netuitbreiding en aansluiting paste binnen het wettelijke kader in de Elektriciteitswet 1998. Het ministerie heeft hier onderzoek naar gedaan en geconcludeerd dat het wettelijk kader zich niet verzet tegen een dergelijke wijze van aansluiting. Hiervoor is ook advies ingewonnen bij de Landsadvocaat. Ook is gevraagd aan provincie en gemeente om nogmaals per brief hun standpunt over vestiging aan de Minister te bevestigen. Tenslotte heeft mijn voorganger een brief aan TenneT (en Liander) gestuurd ter bevestiging dat deze aanpak juridisch toegestaan is en het verzoek om aan TenneT (en Liander) om de samenwerking aan te gaan met het bedrijf en om zich in te spannen de bouw van het onderstation en de aansluiting van het bedrijf te realiseren.
Naast het juridische aspect, is van het begin af aan aandacht geweest voor de kostenverdeling van een dergelijke aanpak. Zoals eveneens uit de openbaar gemaakte stukken blijkt, is vanaf het begin de voorwaarde gesteld dat Meta «de kosten voor de aansluiting en het nieuwe onderstation» voor haar rekening zou nemen. Voor de helderheid: het nieuwe onderstation wordt na haar constructie om niet overgedragen aan TenneT en onderdeel van het hoogspanningsnet van TenneT. Normaliter worden de kosten van een onderstation dat onderdeel is van het hoogspanningsnet gesocialiseerd via de transporttarieven van alle gebruikers, maar in dit geval betaalt alleen Meta. Dit staat vervolgens niet in de weg aan aansluiting van andere partijen op het desbetreffende onderstation in de toekomst.
Vraag 5

Bent u van mening dat een nieuw datacenter van Facebook van enorm strategisch belang is voor de Nederlandse economie?

Rond Amsterdam zitten veel co-locatie (of multi-tenant) datacenters met zeer snelle onderlinge verbindingen. Dit zorgt voor zogeheten hyperconnectiviteit tussen deze datacenters. Op dit moment hebben maar vijf steden in Europa5, waaronder Amsterdam, de unieke vestigingsvoorwaarden voor (hyperconnectiviteit)datacenters. Dit is dus bijzonder en speelt een belangrijke faciliterende rol voor de Nederlandse maar ook de Europese digitale economie. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig vestigingsklimaat voor co-locatie datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is en vertegenwoordigt in die zin strategische waarde.
Hyperscale datacenters, zoals het voorgestelde datacenter van Meta, zijn voor de kwaliteit van hun dienstverlening niet genoodzaakt om zich te vestigen in een regio met hyperconnectiviteit, internationale ontsluiting vindt plaats via eigen connecties met hyperconnectiviteitsclusters. Dit betekent dat de locatie waar het hyperscale datacenter is gevestigd vanuit het perspectief van de gebruiker weinig uitmaakt. Omdat hyperscale datacenters niet bijdragen aan deze hyperconnectiviteit en primair worden gebruikt voor het opslaan van data of het verlenen van specifieke dienstverlening voor de internationale markt, kan worden gesteld dat de (in)directe regionale en nationale meerwaarde voor de Nederlandse digitalisering en digitale infrastructuur lager is dan bij co-locatie datacenters.
Dit heeft tot gevolg dat hyperscale datacenters weinig tot niet bijdragen aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters, een belangrijk onderdeel van de kwaliteit van de Nederlandse digitale infrastructuur. Ook faciliteren co-locatie datacenters meer dan hyperscale datacenters regionale partijen in hun digitaliseringsbehoefte, omdat hyperscale datacenters primair worden gebruikt voor het opslaan van data of het verlenen van dienstverlening voor de internationale markt. Dit betekent dat de vestiging van hyperscale datacenters, zoals het voorgestelde datacenter van Meta, een relatief beperkte invloed heeft op de internationale concurrentiekracht van Nederland en de digitale infrastructuur.
Vraag 6

Welke consequenties heeft deze voorrang op het hoogspanningsnet mogelijk voor andere bedrijven of nieuwe woningen? Welke nieuwe woningen, scholen of bedrijven zijn hierdoor niet of pas veel later aangesloten op het hoogspanningsnet?

Ik verwijs u naar het antwoord op vraag 4.
Vraag 7

Op welke manieren heeft u Meta/Facebook nog meer gefaciliteerd? Kunt u daarbij inzage geven in uw contacten en die van uw ministerie met Meta/Facebook, lobbyorganisaties of organisaties die namens Meta/Facebook hebben gehandeld? Kunt u ook alle in- en uitgaande correspondentie met Meta/Facebook, lobbyorganisaties of organisaties die namens Meta/Facebook hebben gehandeld vanuit de Ministeries van Economische Zaken en Klimaat, Binnenlandse Zaken en Koninkrijksrelaties en Algemene Zaken naar de Kamer sturen?

Zie het antwoord onder vraag 3 hierboven, en de antwoorden op vraag 10 en 11 van het lid Leijten (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1726). Er is op verschillende momenten en verschillende niveaus contact geweest tussen de ministeries, decentrale overheden en Meta/Facebook. Wij hebben de belangrijkste momenten in deze antwoorden opgesomd. Verder verwijs ik u naar de geopenbaarde stukken in het kader van het besluit op het Wob-verzoek over datacenters. En verwijs ik u naar de antwoorden die de Minister van EZK heeft gegeven in het Vragenuur van dinsdag 7 december.
Vraag 8

Hoe kan het zo zijn dat het datacenter van Facebook toch op een plek komt die niet past in de voorkeurslocatie van dit kabinet? Bent u hierdoor door Facebook ook actief op belobbyd?

In de Nationale Omgevingsvisie (NOVI) staan voorkeursrichtingen opgenomen over de vestiging van o.a. hyperscale datacenters. Conform de Omgevingswet heeft de NOVI geen juridisch bindende doorwerking naar decentrale overheden. Ook staat in de NOVI opgenomen dat decentrale overheden uiteindelijk de afweging maken. Kortom; decentrale overheden hebben afwegingsruimte om hier zelf nadere invulling aan te geven en hiervan af te wijken.
Facebook heeft hier verder geen rol in gespeeld, de rijksoverheid gaat immers uiteindelijk ook niet over de ruimtelijke plannen en de locatiekeuze over dit datacenter.
Vraag 9

Wat heeft u gedaan met de kritische opmerkingen over datacenters vanuit uw ministerie? Welke rol hebben deze kritische opmerkingen gehad op de besluitvorming rondom de komst van het datacenter Facebook?

De Minister van EZK heeft zich destijds alleen gericht op de vraag of een bijzondere wijze van aansluiting past binnen het wettelijke kader, en geconcludeerd dat dit het geval is. Dit is toegelicht door de Minister van Economische Zaken en Klimaat in het Vragenuur van 7 december 2021. Zoals te lezen valt in de stukken van het WOB-verzoek, staan er zowel voor- als nadelen beschreven in de nota’s. Ook hebben de provincie en gemeente op zijn verzoek nogmaals hun standpunt over vestiging per brief aan de Minister kenbaar gemaakt.
Zie verder ook het antwoord onder vraag 6 van het lid Van Dijk (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1728).
Vraag 10

Klopt het dat er ook bij dit datacenter opnieuw grote vragen bestaan over het stroom- en waterverbruik en de restwarmte?

De plannen hierover worden door Zeewolde nog nader uitgewerkt.
Vraag 11

Is er inmiddels duidelijkheid voor de benutting van de restwarmte van dit datacenter?

De gemeente Zeewolde geeft aan dat de benutting van restwarmte realistisch is. Zie verder het antwoord onder vraag 10.
Vraag 12

Heeft Facebook inmiddels al zekerheid gegeven wat zij met de restwarmte van het datacenter gaat doen?

Voor de benutting van restwarmte is er onder meer een warmtenet nodig, zijn er voldoende afnemers nodig, en is er een haalbare businesscase voor een warmtebedrijf nodig om de restwarmte af te nemen. Zie verder het antwoord onder vraag 10.
Vraag 13

Kunt u aangeven hoeveel stroom het datacenter gaat verbruiken en hoeveel daarvan duurzaam, door bestaande wind- zonneparken, opgewekte energie is? Klopt het dat dit datacenter net zoveel stroom gaat gebruikt als de stad Amsterdam?

Zie het antwoord onder vraag 7 van de beantwoording van de Kamervragen van de leden Erkens en Rajkowski (Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1725).
Vraag 14

In hoeverre maken deze hyperscale datacenters het voor Nederland lastig om de productiedoelstelling voor duurzame energie te halen?

In algemene zin kan gesteld worden dat naarmate het energieverbruik in Nederland toeneemt, de opgave groter wordt voor het behalen van de Nederlandse doelstellingen op het gebied van duurzame energieopwekking.
Ten tijde van het Klimaatakkoord was er nog geen duidelijk beeld over de extra vraag voor datacenters en industrie in 2030. Deze wordt door de Stuurgroep Extra Opgave inmiddels ingeschat op 15–45 TWh bovenop het Klimaatakkoord, waarvan 5–15 TWh voor datacenters6. De Stuurgroep adviseert deze extra vraag op te wekken met extra wind op zee. In lijn met de moties Boucke c.s.7 wordt ingezet op het mogelijk maken van 10 GW aan extra wind op zee tot rond 2030. Een volgend kabinet zal besluiten over de precieze omvang van de opgave. Het kabinet werkt conform de motie Boucke (Kamerstuk 35 668, nr. 21) daarom aan 10 GW extra wind op zee in 2030.
Het elektriciteitsverbruik van bijvoorbeeld een datacenter is niet direct te koppelen aan bijvoorbeeld een te plaatsen hoeveelheid windmolens. Een datacenter krijgt immers ook elektriciteit als het niet waait. Maar voor de vergelijking verhoudt de 1,38 TWh die het datacenter in de eindsituatie verbruikt, zich tot de elektriciteitsproductie van zo’n 20–25 zeeturbines met een vermogen van 12–15 MW (uitgaande van 4.500 vollasturen).
Vraag 15

Hoeveel extra wind- en zonneparken moeten er aan worden gelegd voor het datacenter Facebook in Zeewolde?

Zie antwoord vraag 14.
Vraag 16

Wat is de reden dat Facebook niet zelf zonnepanelen op het dak van haar datacenter neerlegt? Hoeveel duurzame energie zou dit opleveren?

Uit opgave van het bedrijf zelf in het milieueffectrapport zouden de mogelijkheden van eigen energie-opwek, bijvoorbeeld door zon op gevel en dak beperkt zijn door ruimtegebrek op daken, het beschikbaar moeten blijven van open grond voor de bouwfase en problemen met de brandveiligheid. TNO heeft in het kader van het advies van het College van Rijksadviseurs over dit datacenter, onderzocht wat de opbrengst kan zijn van toepassing van zon-pv op daken, gevels en het terrein en geeft aan dat dit gaat om 50,84 GWh per jaar in totaal.8
Vraag 17

Klopt het dat voor het datacenter in Zeewolde 34 dieselaggregaten als noodstroomvoorziening noodzakelijk zijn? Hoe vaak moeten deze dieselaggregaten proefdraaien? Hoeveel CO2 stoten deze dieselaggregaten dan uit tijdens dit proefdraaien? Wat is de CO2-uitstoot van deze dieselaggregaten? Hoeveel extra CO2-emissierechten dienen hiervoor aangeschaft te worden?

Uit het milieueffect-rapport valt op te maken dat het datacenter beschikt over 34 noodaggregaten en een hiermee verband houdende opslag van dieselbrandstof. Bij de voorgenomen inrichting is er sprake van een mogelijkheid tot opslag van in totaal 777,08 ton diesel. Details over proefdraaien, belasting en uitstoot zijn mij niet bekend. Bij datacenters is maandelijks testen van de noodstroomvoorziening gangbaar.
Vraag 18

Gaat er voor deze dieselaggregaten ook een dieselmeer worden aangelegd? Zo ja, van hoeveel liter? Hoe is de veiligheid, zoals het tegengaan van lekkages, geborgd?

Zie antwoord vraag 17.
Vraag 19

Kunt u aangeven hoeveel duurzame banen (directe en indirecte werkgelegenheid) dit datacenter oplevert?

Het is niet eenduidig te zeggen hoeveel structurele werkgelegenheid dit hyperscale datacenter uiteindelijk zal opleveren. Een grove indicatie op basis van openbare gegevens van bedrijven met een hyperscale datacenter in Nederland geeft aan dat de drie thans in Nederland gevestigde hyperscale datacenters gemiddeld circa 6 tot 8 structurele directe banen per hectare verschaffen. Daarnaast voorzien datacenters ook in indirecte structurele werkgelegenheid in de dienstensector van de regio. Deze inschatting is gebaseerd op informatie die op dit moment bekend is en geeft geen sluitend of definitief beeld van de toegevoegde structurele werkgelegenheid. Wat betreft de mogelijke vestiging van het datacenter van Meta in Zeewolde, geeft de gemeente aan dat na afronding van de bouw 410 banen voor langere periode worden gerealiseerd.9
Vraag 20

Deelt u de mening dat de komst een enorme impact heeft voor het hele land en dat om die reden een beslissing over de komst van datacenters op nationaal niveau genomen zou moeten worden?

De impact wisselt per datacenter. Het is van belang dat er op een zorgvuldige wijze wordt omgegaan met de vestiging van datacenters, in het bijzonder van hyperscale datacenters. Op basis van het stelsel van de ruimtelijke ordening zijn gemeenten momenteel bevoegd gezag om die beslissing te maken. In lijn met het coalitieakkoord zal dit kabinet zich buigen over de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters.
Vraag 21

Wanneer komt u met de eerdere toegezegde landelijke datacenterstrategie? Kan deze landelijke datacenterstrategie nog invloed hebben op de besluitvorming van het datacenter in Zeewolde?

In lijn met het coalitieakkoord zal dit kabinet zich buigen over de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters. De Minister van Volkshuisvesting en Ruimtelijke Ordening zal u hier binnenkort over informeren.
Vraag 22

Bent u bereid ervoor zorg te dragen dat het Rijksvastgoedbedrijf geen grond verkoopt voor de bouw van datacenters zolang er geen landelijke datacenterstrategie is?

Op dit moment is het proces als volgt. Volgens het stelsel van de ruimtelijke ordening zijn gemeenten verantwoordelijk voor het vaststellen van de bestemming van gronden in de betreffende gemeente, ook wanneer het rijksgronden betreft. Het Rijksvastgoedbedrijf heeft beleid voor het verkopen van grond, dit is een privaatrechtelijke handeling. Overwegingen in dit beleid zijn bijvoorbeeld het door verkoop van grond kunnen bijdragen aan nationale opgaven zoals bijvoorbeeld wonen of energie. Een reden voor verkoop van agrarische gronden kan onder andere een bestemmingsplan(wijziging) zijn (Kamerstuk 24 490, nr. 25).
In de casus Zeewolde is naar aanleiding van de bestemmingsplanprocedure de vraag gesteld over de verkoop van Rijksgronden. De Staatssecretaris van BZK stuurde mede namens EZK en LNV op 10 augustus een brief aan de gemeente Zeewolde. Hierin staan voorwaarden voor de verkoop van de Rijksgronden.
Vraag 23

Welke mogelijkheden heeft het ministerie, juridisch of anderszins, om de bouw van deze datacentrale te stoppen? Welke mogelijkheden heeft de provincie hiervoor?

Gelet op het huidige beleid is er vanuit het ruimtelijk instrumentarium uit de Wet ruimtelijke ordening (Wro) op dit moment geen gelegenheid om de bouw van het datacenter te stoppen.
Vraag 24

Kunt u nog verder ingaan op de nota van begin 2021 waarin uw voorganger wordt opgeroepen lastige vragen uit de weg gaan en bewust inhoudsloze informatie te verstrekken om inhoudelijke discussies te ontwijken?

Ik ga ervan uit dat uw Kamer doelt op de openbaar gemaakte nota «beleidsbrief datacenters» (11 januari 2021, nr. 19 van de inventarislijst van openbaar gemaakte stukken). Een oproep om bewust gebrekkige informatie te verstrekken is daarin niet opgenomen. De nota betrof de advisering om middels een Kamerbrief invulling te geven aan een drietal moties over uiteenlopende aspecten van datacenters in algemene zin. De nota adviseerde om in afwachting van een lopend onderzoek naar het belang van datacenters voor de digitalisering vooralsnog geen uitspraak te doen over deze onderwerpen. De beleidsbrief (Kamerstuk 32 813, nr. 675) die is verstuurd bevatte informatie over het energieverbruik, gebruik van restwarmte en beleid met betrekking tot de vestiging van datacenters. De nota had geen betrekking op de eventuele vestiging van het datacenter van Meta in Zeewolde.
Vraag 25

Kunt u deze vragen een voor een en voor 16 december 2021 beantwoorden?

Wij hebben uw vragen binnen een zo kort mogelijke termijn beantwoord.

3 december 2021 - 16 december 2021

13 dagen

Het bericht 'Beelden van misbruik van Marcels dochter blijven rondgaan: ‘Mensen gaan hierdoor kapot’'
	Ingrid Michon (VVD)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. AD, 3 december 2021, «Beelden van misbruik van Marcels dochter blijve…
2. Aanhangsel van Handelingen, vergaderjaar 2019–2020, nr. 3147

Vraag 1

Bent u bekend met het bericht «Beelden van misbruik van Marcels dochter blijven rondgaan: «Mensen gaan hierdoor kapot»»?1

Ja.
Vraag 2

Herinnert u zich de antwoorden op de vragen van het lid Van Wijngaarden over het jaarrapport van de Internet Watch Foundation?2

Ja.
Vraag 3

Waarom lukt het journalisten wel om op darkweb kinderpornografisch materiaal te detecteren en duurt het langer voordat de politie darkweb kinderpornografisch materiaal kan detecteren?

Helaas is het voor iedereen mogelijk om beeldmateriaal van seksueel kindermisbruik op het internet te vinden. In Nederland is het een strafbaar feit om op het internet, waaronder ook het darkweb, te zoeken naar beeldmateriaal van seksueel kindermisbruik. De strafrechtelijke onderzoeken van de politie strekken zich uit over het gehele internet, waaronder ook het darkweb. Vanwege het operationeel belang wordt niet nader ingegaan op de opsporingsmethoden. In aanvulling hierop richt de aanpak van online seksueel kindermisbruik door de politie zich vooral op het identificeren van slachtoffers van actueel misbruik. De politie maakt hiertoe in een zo vroeg mogelijk stadium een onderscheid tussen oud en nieuw materiaal, zodat de kans om slachtoffers van actueel misbruik te ontdekken wordt vergroot. Verder zet de politie in op het opsporen en vervolgen van vervaardigers/misbruikers, sleutelfiguren (keyplayersen facilitators),de netwerken daarachter en downloaders/verspreiders. Deze aanpak is als prioriteit opgenomen in de Veiligheidsagenda.
Ook de internetsector zelf zet zich in om het openbaar maken, verspreiden en opslaan van online seksueel kindermisbruik tegen te gaan. Het Expertisebureau Online Kindermisbruik (EOKM) stuurt verwijderverzoeken van grote hoeveelheden online kindermisbruikmateriaal uit naar bedrijven. Deze werkwijze is zeer effectief en leidt tot verwijdering van grote hoeveelheden online kindermisbruik. Met de oprichting van de Autoriteit Terroristisch en Kinderpornografisch materiaal zet het kabinet in op bestuursrechtelijke handhaving op de verwijderverzoeken waaraan geen gehoor wordt gegeven door aanbieders van communicatiediensten die beeldmateriaal van seksueel kindermisbruik doorgeven of hebben opgeslagen.
Vraag 4

Klopt het dat de IWF (Internet Watch Foundation) wederom concludeert dat het percentage van het door hun gevonden kinderpornografisch materiaal dat wordt gehost in Nederland is gestegen van 71% naar 77%?

Het rapport van IWF over 2020 concludeert dat er dit jaar 77% van het door hun gevonden beeldmateriaal van seksueel kindermisbruik in Nederland wordt gehost. Dit ten opzichte van de 71% in het rapport van de IWF over 2019.
Zoals ook aangegeven in de beantwoording op vragen van het lid Van Wijngaarden3 zijn er kanttekeningen te maken bij de conclusies van de IWF. Het percentage wordt beïnvloed door meldingen die ze van burgers ontvangen, eigen zoekgedrag en (instellingen van) crawlers. De cijfers kunnen niet één op één worden door vertaald naar een mondiaal beeld.
Vraag 5

Hoe beoordeelt u het feit dat ondanks uw inspanningen om de hosting van kinderpornografische afbeeldingen in Nederland te verminderen, zowel de aantallen als het percentage van het door IWF gevonden materiaal dat wordt gehost in Nederland stijgt?

Het tegengaan van beeldmateriaal van seksueel kindermisbruik vraagt blijvende inzet. Om die reden blijven de sector, de politie, het OM, het EOKM en mijn ministerie via meerdere maatregelen inzetten op het voorkómen dat beeldmateriaal (opnieuw) online komt en het zo spoedig mogelijk verwijderen van materiaal dat wordt gemeld. Zie hiervoor ook de beantwoording van vraag 3 en 6.
Vraag 6

Welke maatregelen hebben Nederlandse webhosters afgelopen jaren geïmplementeerd om te voorkomen dat kinderpornografisch materiaal wordt gehost?

De afgelopen jaren heeft de sector zich erg ingespannen voor een internet vrij van beeldmateriaal van seksueel kindermisbruik. Dit heeft geleid tot goede resultaten. Zo heeft de sector afgesproken dat in de Notice-And-Takedown-procedure (NTD) dergelijk materiaal binnen 24 uur offline gehaald moet worden. Verder is er ingezet op de ontwikkeling van technische tools. Zo is de HashCheckService ontwikkeld, waarmee voorkomen kan worden dat bekend beeldmateriaal van seksueel kindermisbruik geüpload wordt, en helpt het innovatieve meldingsverwerkingssysteem SCART het EOKM bij het geautomatiseerd verwerken van meldingen. Ook is er door de sector meegedacht over de monitor van de TU Delft, waardoor duidelijk wordt welke hosters dit materiaal hosten en hoe snel zij dit verwijderen na een NTD-melding. Op deze manier wordt de spiegel voorgehouden aan hosters die zich onvoldoende inspannen voor een schoon netwerk en roepen we slecht presterende providers ter verantwoording.
Vraag 7

In hoeverre heeft het openbaar maken van de namen van webhosters die onvoldoende doen tegen het weren van kinderporno reeds effecten gesorteerd en op welke wijze wordt dit ook voor de Kamer inzichtelijk?

In oktober 2020 is de eerste rapportage van de TU Delft naar de Kamer verzonden4. De volgende rapportage van de TU Delft wordt naar verwachting in het voorjaar van 2022 naar de Kamer verzonden. Deze zal, net zoals de voorgaande keer, voorzien zijn van een begeleidende brief. De afgelopen metingen tonen dat er bedrijven zijn die maatregelen hebben genomen en hun prestaties hebben verbeterd. Verder tonen de metingen een wisselend beeld qua bedrijven die hierin voorkomen. De opgevoerde druk in Nederland heeft ook als gevolg dat materiaal zich naar het buitenland heeft verplaatst. Om die reden is het zeer belangrijk om dit ook op Europees niveau aan te pakken, zie ook de beantwoording van vragen 11, 12 en 13.
De TU Delft monitor is echter maar één van de vele maatregelen. Het is daarom lastig om bewegingen in de markt of ontwikkelingen in het aantal meldingen van beeldmateriaal van seksueel kindermisbruik toe te schrijven aan de effectiviteit van enkel de monitor.
Vraag 8

Kunnen webhosters die aantoonbaar onvoldoende doen tegen het weren van kinderporno niet alleen bestuursrechtelijk worden aangepakt, maar ook strafrechtelijk worden vervolgd wegens medeplichtigheid aan het verspreiden van kinderporno?

Op grond van Europese regelgeving en de Nederlandse implementatie daarvan zijn hostingproviders onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commercerichtlijn is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijke materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) – en straks ook op bevel van de Autoriteit – gegevens ontoegankelijk moeten maken. Verder is het voor het strafrechtelijk vervolgen van hosters voor medeplichtigheid aan strafbare feiten die op hun servers plaatsvinden, zoals het verspreiden van beeldmateriaal van seksueel kindermisbruik, noodzakelijk om het opzet of het voorwaardelijke opzet van de hoster te bewijzen. In de praktijk blijkt (voorwaardelijke) opzet bij hosters lastig te bewijzen.
Vraag 9

Wanneer wordt de volgende monitoringsrapportage van de TU Delft over webhosters naar de Kamer gestuurd?

De volgende rapportage van de TU Delft wordt naar verwachting in het voorjaar van 2022 naar de Kamer gestuurd.
Vraag 10

Op welke wijze worden (vertegenwoordigers van) slachtoffers en ouders betrokken bij de maatregelen om kinderporno tegen te gaan, zoals de doorontwikkeling van monitor van TU Delft?

In de aanpak van online seksueel kindermisbruik wordt intensief samengewerkt met het EOKM. Het EOKM houdt zich bezig met het voorkomen en bestrijden van (online) seksueel misbruik van kinderen. Een programma van het EOKM is HelpWanted.nl, dat als kerntaak heeft het bieden van acute hulp bij (dreigend) online seksueel geweld. Kinderen en jongeren, maar ook ouders, verzorgers, docenten en hulpverleners, kunnen hier onder andere terecht voor advies en informatie bij online seksueel misbruik. Het is goed dat de Motie-Hermans het mogelijk heeft gemaakt om verder te investeren in het EOKM en HelpWanted.nl. Hierover heb ik uw Kamer op 13 oktober jl. reeds geïnformeerd5.
Daarnaast zijn preventie en bewustwording twee belangrijke pijlers in de aanpak van (online) seksueel kindermisbruik. De digitale wereld speelt een grote rol in het onderlinge contact tussen minderjarigen, ook op het gebied van seksualiteit. Dit maakt dat het (onbewust) vervaardigen, delen en verkrijgen van beeldmateriaal door minderjarigen gemakkelijk is, terwijl minderjarigen de risico’s daarvan lang niet altijd overzien. In 2020 is daarom een lesprogramma en een wegwijzer ontwikkeld, om de bewustwording van online risico’s te vergroten en de seksuele weerbaarheid van kinderen te versterken.
Vraag 11

Kunt u de laatste stand van zaken schetsen met betrekking tot het in EU-verband gezamenlijk optreden tegen webhosters die onvoldoende doen om kinderporno te verwijderen?

Zie antwoord 12.
Vraag 12

Wanneer wordt het voorstel van de Europese Commissie om een Europese Autoriteit op te richten al gepubliceerd en kunt u binnen twee weken na publicatie van het voorstel een BNC-fiche over het voorstel met de Kamer delen?

Het aangekondigde wetgevende voorstel van de Europese Commissie voor de aanpak van online seksueel kindermisbruik wordt begin maart 2022 verwacht. Het voorstel zal zich richten zich op de verantwoordelijkheid van aanbieders van onlinediensten en de oprichting van een Europees Centrum ter bestrijding van online seksueel kindermisbruik. Na publicatie van het wetgevende voorstel zal mijn reactie binnen het vastgestelde termijn van 6 weken in een BNC-fiche naar de Tweede Kamer worden verzonden.
Vraag 13

In hoeverre is uw inzet dat een eventueel op te richten Europese Autoriteit – indien u het voorstel van de Europese Commissie positief beoordeelt ten aanzien van subsidiariteit en proportionaliteit – het beste in Nederland kan worden gevestigd?

Ik verwacht dat een Europees centrum om (online) seksueel kindermisbruik te voorkomen en te bestrijden tot verbetering kan leiden. De overweging om dit centrum eventueel in Nederland te vestigen is de beoogde nauwe samenwerking met Europol in Den Haag, waarbij een korte afstand wenselijk is. Daarbij is Nederland een belangrijk internetknooppunt, waardoor het een hoofdrol in de mondiale internetindustrie speelt. Veel betrokken bedrijven zijn in Nederland gevestigd en Nederland heeft reeds een lopende constructieve samenwerking met de internetsector. Ik zie met belangstelling uit naar de uitwerking van het voorstel van de Commissie om te beoordelen of Nederland als vestigingsplaats voor het Europees centrum kan dienen.
Vraag 14

Hoe beoordeelt u de inzet van algoritmen zoals NeuralHash van Apple om kinderpornografisch materiaal eerder te signaleren en wat is de inzet van Nederland in Brussel hierover?

In de strijd tegen deze verschrikkelijke vorm van criminaliteit is het belangrijk dat ook bedrijven hun verantwoordelijkheid nemen. Dit heb ik nogmaals benadrukt op de ministeriële bijeenkomst van het Europees Internetforum op 8 december jl. Het is een hoopvolle ontwikkeling dat een aantal bedrijven deze verantwoordelijkheid serieus neemt en actie onderneemt. Ik heb met Apple gesproken over hun plannen om beeldmateriaal van seksueel kindermisbruik online tegen te gaan. Apple heeft zich aangesloten bij de nationale publiek-private werkgroep tegen online seksueel kindermisbruik. Dit is een goede plek om gezamenlijk een schoner internet te realiseren en van elkaar te leren wat wel en niet werkt. Het is belangrijk dat bij de proactieve maatregelen om beeldmateriaal van seksueel kindermisbruik online te detecteren wordt gezocht naar een goede balans tussen het respecteren van privacy en het beschermen van kinderen.

30 november 2021 - 16 februari 2022

78 dagen

Het bericht ‘Facebook vs. Zeewolde: hoe lokale politici moeten beslissen over een landelijke kwestie’.
	Queeny Rajkowski (VVD), Silvio Erkens (VVD)
	Kajsa Ollongren (minister defensie) (D66), Stef Blok (VVD), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

1. NRC Handelsblad, 26 november 2021 (https://www.nrc.nl/nieuws/2021/11/…
2. De Telegraaf, 10 november 2021 (https://www.telegraaf.nl/nieuws/21448…
3. rijksoverheid, maart 2019 (https://www.rijksoverheid.nl/binaries/rijk…

Vraag 1

Bent u bekend met het bericht «Facebook vs. Zeewolde: hoe lokale politici moeten beslissen over een landelijke kwestie»?1

Ja, daar ben ik mee bekend.
Vraag 2

Hoe oordeelt u over het feit dat er in Zeewolde wellicht een van de grootste datacentra van Europa gebouwd gaat worden?

In de Nationale Omgevingsvisie (NOVI)2 wordt aangegeven dat de vestiging van nieuwe hyperscale datacenter(cluster)s een goede ruimtelijke afweging en afstemming vergt met andere belangen in de leefomgeving. In de NOVI wordt de voorkeur uitgesproken om hyperscale datacenters te vestigen aan de randen van Nederland, op locaties waar veel aanbod is van (hernieuwbare) elektriciteit, waar aansluiting op het elektriciteitsnetwerk kan worden geboden en waar ruimte minder schaars is. De voorkeur gaat uit naar vestiging in de randen van Nederland, zoals op de bestaande locaties Eemshaven en Middenmeer. Daarnaast geeft de NOVI richtingen mee voor het benutten restwarmte, landschappelijke inpassing en duurzame energie.
De provincie en gemeente hebben hierbij eigen afwegingen gemaakt. Voor realisatie van het beoogde bedrijventerrein zijn Rijksgronden benodigd. Als grondeigenaar heeft de Staatssecretaris van BZK, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, voorwaarden gesteld voor de verkoop aan de gemeente Zeewolde. Deze liggen in het verlengde van keuzes in NOVI, zijn gebaseerd op een advies van het College van Rijksadviseurs (CRa) en betreffen maximale energiezuinigheid van servers, maximale opwekking van zonne-energie op daken en gevels van het datacenter, minimaal gebruik van water voor koeling en het gebruik van restwarmte voor een warmtenet.
Vraag 3

Welke impact heeft de komst van grote hyperscale datacentra op de internationale concurrentiekracht van het economisch kerngebied van Nederland en onze digitale infrastructuur ten opzichte van regionale, kleinere datacentra?

Rond Amsterdam zitten veel co-locatie (of multi-tenant) datacenters met zeer snelle onderlinge verbindingen. Dit zorgt voor zogeheten hyperconnectiviteit tussen deze datacenters. Op dit moment hebben maar vijf steden in Europa3, waaronder Amsterdam, de unieke vestigingsvoorwaarden voor (hyperconnectiviteit)datacenters. Dit is dus bijzonder en speelt een belangrijke faciliterende rol voor de Nederlandse maar ook de Europese digitale economie. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig vestigingsklimaat voor co-locatie datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is.
Hyperscale datacenters zijn voor de kwaliteit van hun dienstverlening niet genoodzaakt om zich te vestigen in een regio met hyperconnectiviteit, internationale ontsluiting vindt plaats via eigen connecties met hyperconnectiviteitsclusters. Dit betekent dat de locatie waar het hyperscale datacenter is gevestigd vanuit het perspectief van de gebruiker weinig uitmaakt.
Dit heeft tot gevolg dat hyperscale datacenters weinig bijdragen aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters, onderdeel van de Nederlandse digitale infrastructuur en daarbij voor de ambitie uit het coalitieakkoord om van Nederland een digitaal knooppunt te maken. Ook faciliteren co-locatie datacenters meer dan hyperscale datacenters regionale partijen in hun digitaliseringsbehoefte, omdat hyperscale datacenters primair worden gebruikt voor het opslaan van data of het verlenen van dienstverlening voor de internationale markt. Dit betekent dat de vestiging van hyperscale datacenters een relatief beperkte invloed heeft op de internationale concurrentiekracht van Nederland en de digitale infrastructuur ten opzichte van co-locatie datacenters.
Vraag 4

Deelt u de mening dat het van belang is dat Nederland haar koploperspositie niet verliest aan Frankfurt, Londen, Amsterdam, Parijs (de FLAP-steden), Noord-Ierland of Zweden? Kan dit ook zonder de komst van hyperscale centra?

Nederland heeft vanwege de vele onderlinge verbindingen van co-locatie datacenters rond Amsterdam een koploperpositie binnen Europa op het gebied van hyperconnectiviteit. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig Nederlands vestigingsklimaat voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is.
De FLAP-D steden zijn van groot belang voor de doorvoer van internetverkeer in Europa. Nederland fungeert hierbij als datacenterrotonde van Europa. De hyperconnectiviteitsclusters rond de FLAP-D steden bedienen zowel de nationale als Europese markt. Het is van belang dat Nederland deze belangrijke rol blijft houden, mede omdat het voor alle in Europa gevestigde bedrijven en organisaties het van belang is dat de (Europese) datacentercapaciteit groeit.
Hyperscale datacenters dragen weinig tot niet bij aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters. Dit betekent dat de Nederlandse koppositie op het gebied van hyperconnectiviteit behouden kan blijven zonder de aanvullende vestiging van hyperscale datacenters.
Vraag 5

Deelt u de mening dat een slimme datacenterstrategie ook betekent dat er gekeken wordt naar het opvangen en gebruiken van restwarmte, een lang gekoesterde wens van menig datacentrum?

Ja, het streven dient altijd te zijn om restwarmte voor zover mogelijk te benutten. Maar of dit daadwerkelijk lukt is complex en van de specifieke situatie afhankelijk. Een haalbare businesscase voor een warmtenet is van veel factoren afhankelijk. Datawarmte is van (zeer) lage temperatuur (in de regel 20–30°C4, soms hoger) en moet opgewaardeerd worden indien een bestaand of beoogd warmtenet een hogere temperatuur heeft. Cruciaal is dat er voldoende warmtevraag moet zijn in de nabijheid van een datacenter; het vollooprisico is één van de grootste belemmeringen voor een goede business case. Het gebruik van warmtebronnen is vraaggestuurd; een warmtebedrijf bepaalt uiteindelijk of het afnemen van restwarmte zinvol is om een kosteneffectieve warmtevoorziening te realiseren.
EZK stelt kaders en instrumenten ten behoeve van de benutting van restwarmte. O.a. via het wetsvoorstel voor de Wet Collectieve Warmtevoorziening waarin een «ophaalrecht» voor restwarmte is opgenomen. Hiermee krijgen restwarmteproducenten zoals datacenters de verplichting om hun restwarmte af te staan aan een warmtebedrijf indien die daarom vraagt en dat met de aanleg van een warmtenet mogelijk maakt, waarbij uitsluitend de feitelijke uitkoppelkosten aan de restwarmteproducent worden vergoed. De SDE++-subsidie biedt financiële ondersteuning bij het realiseren van duurzame warmteprojecten en helpt de uitkoppelkosten te dekken.
Vraag 6

Wat is de impact van dit soort grote datacentra op de netproblematiek, gezien het feit dat de energietransitie op veel vlakken vastloopt op de beschikbare netcapaciteit? Deelt u de mening dat regio-overstijgende sturing voor dit soort ingrijpende besluiten (over)belasting van het stroomnet kan voorkomen?

Datacenters leggen net als andere grootverbruikers een relatief groot beslag op de beschikbare transportcapaciteit van het elektriciteitsnet. Een aanvraag van een grootverbruiker op een plek waar er nog maar beperkte transportschaarste is voor afname van elektriciteit kan tot extra knelpunten leiden. Het creëren van extra (complementaire) vraag op plekken waar deze elektriciteit niet weg kan worden getransporteerd kan juist verlichting brengen in de ontstane transportschaarste5.
Decentrale overheden hebben de mogelijkheid om sturing te geven aan allerlei (maatschappelijke) initiatieven via het ruimtelijk beleid. Pas als decentrale overheden de bestemmingen mogelijk maken en ruimtelijke vergunningen verlenen, zal een initiatief zich kunnen vestigen en aangesloten kunnen worden. Het is dus belangrijk dat decentrale overheden in een vroeg stadium rekening houden met beschikbare netcapaciteit bij ruimtelijke inpassing van zowel initiatieven als netinfrastructuur. In dit verband is voorts relevant dat het Rijk – zoals aangekondigd in het coalitieakkoord – naar aanleiding van het grote beslag op duurzame energie in verhouding tot de economische en maatschappelijke meerwaarde, de landelijke regie voor hyperscale datacenters zal aanscherpen en ook de toelatingscriteria voor de vergunningverlening. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.
Vraag 7

Klopt het dat dit datacentrum meer energie zal verbruiken dan de provincie Flevoland of de stad Amsterdam?2 Hoe gaat die energie opgewekt worden?

Als de datacentercampus volledig gebouwd is (dat gebeurt gefaseerd en beslaat een periode van 2021–2028), kan het totale jaarlijkse verbruik groeien tot 1,38 TWh volgens de plannen.
Het elektriciteitsverbruik van Flevoland is zo’n 2 TWh en het elektriciteitsverbruik van de gemeente Amsterdam is zo’n 4,6 TWh. De vergelijking wordt vaak gemaakt met het elektriciteitsverbruik van huishoudens. In 2020 was het elektriciteitsverbruik van de huishoudens in Nederland 22% van het totale elektriciteitsverbruik (KEV, 2021). Dus het klopt dat het datacenter in de eindsituatie meer elektriciteit verbruikt dan huishoudens in Flevoland of Amsterdam. Overigens is de huidige productie van hernieuwbare elektriciteit in Flevoland momenteel zo’n 2,7 TWh, groeiend naar maximaal 5,8 TWh in 2030 (bron: Monitor RES 1.0 PBL). Alleen al het nabij gelegen windpark Groen zal jaarlijks zo’n 1,8 TWh produceren, wat dus meer is dan het datacenter maximaal zal gebruiken in de eindsituatie.
Vraag en aanbod van elektriciteit in ons land zijn op elk moment van de dag in balans. Productie van elektriciteit zal in toenemende mate via wind en zon verlopen. In 2030 dient er volgens het Klimaatakkoord 84 TWh hernieuwbare elektriciteit uit wind en zon te zijn. Dit is dan ca. 75% van de vraag.
De Stuurgroep extra opgave7 raamt de extra elektriciteitsvraag voor datacenters in 2030 tussen de 5–15 TWh ten opzichte van het Klimaatakkoord. De Stuurgroep adviseert tevens hiervoor extra wind op zee te realiseren. In lijn met de moties Boucke c.s.8 wordt ingezet op het mogelijk maken van 10 GW aan extra wind op zee tot rond 2030. Een volgend kabinet zal besluiten over de precieze omvang van de opgave.
Vraag 8

Wat is de impact van dit datacentrum op de capaciteit van het stroomnet? Wat betekent de komst hiervan voor de continuïteit van andere grote stroomgebruikers in de regio?

Ik heb geen zicht op de exacte impact van dit initiatief op het elektriciteitsnetwerk. De netbeheerder zal moeten beoordelen of de gevraagde transportcapaciteit ook op korte termijn geleverd kan worden of dat dit nog aanvullende investeringen vergt. Andere gebruikers worden niet direct geraakt. Netbeheerders dienen bij het uitgeven van transportcapaciteit rekening te houden met de benodigde transportcapaciteit die de gezamenlijk gebruikers van het net nodig hebben. De netbeheerders publiceren een actueel overzicht van de beschikbare transportcapaciteit.9 Hieruit blijkt dat er een transportprobleem is voor wat betreft invoering van elektriciteit (door o.a. zon- en windinstallaties) en niet voor afname.
Vraag 9

Welke trajecten voor de komst van regionale kleine of hyperscale datacentra lopen er op dit moment? Om welk type datacentrum gaat het, om welke locaties gaat het en per wanneer?

Voor zover bekend, op basis van de informatie van TenneT en de Netherlands Foreign Investment Agency (NFIA), lopen er rond de 20 à 25 projecten voor de vestiging en uitbreiding van datacenters in Nederland. Dit is ook toegelicht in de brief over datacenters van 17 december jl. (Kamerstuk 32 813, nr. 968). Dit betreffen datacenters van uiteenlopende grootte die in verschillende fases van voorbereiding zitten; van zeer globale tot concrete plannen. Het gaat onder andere om projecten in de regio’s Noord-Holland, Flevoland en Groningen. Meer specifieke informatie ten aanzien van de locatie van de projecten en aanvragen voor aansluitingen op het elektriciteitsnet is bedrijfsvertrouwelijk en mag niet door de NFIA of TenneT worden gedeeld. Dit aantal is overigens niet uitputtend. Het is mogelijk dat er ook bij lokale overheden projecten lopen, waar op nationaal niveau geen zicht op is.
Het is tot slot goed om te benadrukken dat bedrijven bij dergelijke investeringsprojecten vaak verschillende locaties in verschillende landen vergelijken om zo tot een vestigingslocatiekeuze te komen. Daarom is het dus zeer onzeker of deze lopende projecten uiteindelijk ook tot nieuwe vestigingen in Nederland zullen leiden, en zo ja op welke termijn. In de praktijk zien we daarbij dat bedrijven met datacenters, door de teruglopende beschikbaarheid van fysieke ruimte en stroom, steeds vaker kiezen voor een locatie buiten Nederland.
Vraag 10

Wat is de impact van dit soort grote datacentra op het energiebesparingsdoel dat Nederland heeft vanuit de Europese Commissie?

Het energieverbruik van datacenters, net als dat van andere energieverbruikers, telt mee voor het EU-energieverbruiksdoel zoals vastgelegd in artikel 3 van de Energy Efficiency Directive (EED). Dit doel is vertaald naar een energieverbruiksniveau in 2030, zowel voor primair als finaal energieverbruik. De precieze impact van grootschalige datacenters op het Nederlandse aandeel van het Europese energieverbruiksdoel is niet te geven.
Volgens het CBS verbruikten datacenters in 2020 2,8% van de totale elektriciteit in Nederland. Indien datacenters in de toekomst (netto) meer energie verbruiken, zal het energieverbruik van andere verbruikers verder moeten afnemen om aan de EU-verbruiksdoelen te voldoen. Dit geldt overigens ook indien andere energie-intensieve bedrijven zich in Nederland vestigen of in de toekomst meer energie verbruiken. Voor datacenters zijn er eisen met betrekking tot energie-efficiëntie vastgelegd in de Erkende Maatregelenlijst energiebesparing (EML Commerciële Datacenters). Vanaf 2023 vallen alle datacenters, inclusief de grote datacenters, automatisch onder de energiebesparingsplicht.
In de voorgestelde herschikking van de EED worden er op EU-niveau strengere eisen aan datacenters gesteld. Zo komt er een verplichting om energieverbruik van datacenters te monitoren en rapporteren. De herschikking van de EED is onderdeel van het Fit-for-55 pakket dat momenteel in Brussel wordt besproken.
Vraag 11

Is de energie-infrastructuur aangepast in zowel (groot) Amsterdam als Almere, zoals te lezen is in de «Ruimtelijke Strategie Datacenters»?3 Zo nee, waarom niet en wanneer en hoe gaat dit gebeuren? Hoe zit het met de andere locaties die in de strategie worden genoemd?

Pas als decentrale overheden de bestemmingen mogelijk maken en ruimtelijke vergunningen verlenen, zal een initiatief zich kunnen vestigen en aangesloten kunnen worden op het elektriciteitsnet. Het is bij het maken van deze ruimtelijke plannen belangrijk om ook na te denken over de afstemming met het energiesysteem.
De netbeheerder zelf maakt geen onderscheid tussen functies en sluit functies aan op volgorde van binnenkomst. De netbeheerder zal bij een aansluitverzoek moeten beoordelen of de gevraagde transportcapaciteit ook op korte termijn geleverd kan worden of dat dit nog aanvullende infrastructuurversterkingen vergt.
De netbeheerders werken op veel locaties in Nederland aan de versterking van de elektriciteitsinfrastructuur. Dit gebeurt echter niet voor een specifieke sector.
Vraag 12

Op welke manier is er afstemming geweest tussen lokale bestuurders, de provincie en de rijksoverheid en wat is er afgesproken over randvoorwaarden voor de bouw van het datacentrum?

In aanloop naar de mogelijke vestiging van het Meta datacenter in Zeewolde hebben de netbeheerders de Minister van Economische Zaken en Klimaat advies gevraagd over een bijzondere wijze van aansluiting op het hoogspanningsnet die Meta wenste. Vervolgens is getoetst of de Elektriciteitswet deze bijzondere wijze van aansluiting toestond, en geconstateerd dat dit het geval is.
Op dat moment zijn ook de provincie Flevoland en gemeente Zeewolde benaderd over de vestiging, waar zij benadrukten een zorgvuldige afweging te hebben gemaakt en grote belangen te hechten aan de vestiging.
Een van de vervolgstappen van de provincie en gemeente was het verzoek aan het Rijk om rijksgronden te verkopen in het kader van de beoogde bestemmingswijziging en daaraan gekoppelde procedures. Naar aanleiding van dit verzoek heeft het Rijk, in overleg met de gemeente en provincie, aan het College van Rijksadviseurs (CRa) de opdracht gegeven voor een verkenning naar een optimaler ontwerp en inpassing van het datacenter. De Staatssecretaris van BZK stelde, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, op basis van deze verkenning de onder antwoord 2. genoemde voorwaarden. Op dit moment heeft Zeewolde nog geen aangepast plan gedeeld, het Rijksvastgoedbedrijf is in afwachting van dit aangepast plan.
Vraag 13

Welke afspraken zijn er gemaakt met Meta/Facebook over onder andere het betalen van (lokale) belastingen, het wel of niet ontvangen van subsidies, de komst van arbeidsplaatsen en watercompensatie?

De inhoudelijk betrokkenheid van het Rijk bij deze mogelijke investering van Facebook richtte zich op de netaansluiting en de mogelijke verkoop van grond van het Rijksvastgoedbedrijf. Belastingen, subsidies, arbeidsplaatsen en watercompensatie waren geen onderwerpen in deze gesprekken. In de gesprekken tussen het Rijksvastgoedbedrijf en de gemeente over de eventuele verkoop van de grond zijn voorwaarden van het Rijk gesteld. Daarbij zijn ook de processtappen besproken die voorschrijven dat de gemeente zorgt voor een aangepast plan, het Rijk deze laat toetsen en vervolgens beoordeelt en daarna beslist over verkoop (zie de brief van de Staatssecretaris van BZK van 13 december jl.11).
Vraag 14

Deelt u de mening dat het niet wenselijk zou zijn als lokale politici en bestuurders zonder afstemming met provincie en rijksoverheid zouden besluiten over de komst van een datacentrum vanwege de regio-overstijgende consequenties?

De NOVI is zelfbindend voor het Rijk maar geeft ook de onder 2 genoemde richtingen mee voor deze afwegingen.
Het verdient daarbij voorkeur als provincies zelf beleid formuleren voor vestiging van datacenters en de inrichting van locaties. Het Rijk gaat hier met provincies over in overleg. In lijn met het coalitieakkoord zal dit kabinet de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters aanscherpen. De Minister voor Volkshuisvesting en Ruimtelijke Ordening zal hier komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.
Vraag 15

Deelt u de mening dat de komst van een regionaal klein datacentrum bij kan dragen aan de internationale concurrentiekracht van het economisch kerngebied van Nederland en het onze digitale infrastructuur versterkt, mits het geen blokkerende impact heeft op het Nederlandse stroomnet? Zo nee, waarom niet? Zo ja, wilt u dit meenemen in de datacentervisie die naar de Tweede Kamer wordt gestuurd?

Het merendeel van de datacenters in Nederland zijn regionale datacenters waarvan een groot deel in de regio Amsterdam gevestigd is. Regionale (co-locatie) datacenters spelen een belangrijke faciliterende rol in de digitalisering van Nederlandse bedrijven en organisaties en daarmee de internationale concurrentiekracht van deze bedrijven maar datacenters in Nederland zorgen ook voor uitstekende internationale connectiviteit. Clusters van co-locatie datacenters rond Amsterdam en de AMS-IX zorgen voor deze zeer snelle internationale verbindingen, de zogenoemde hyperconnectiviteit. Deze hyperconnectiviteit draagt bij aan de goede digitale infrastructuur en is daarmee ook gunstig voor het Nederlands vestigingsklimaat, met name voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is. De Metropoolregio Amsterdam (MRA) houdt bij het opstellen van de nieuwe verstedelijkingsstrategie met het oog op groei van deze hyperconnectiviteitclusters dan ook rekening met de beschikbare (toekomstige) energie-infrastructuur. Met betrekking tot de datacentervisie verwijs ik u naar het antwoord op vraag 16.
Vraag 16

Deelt u de mening dat er meer landelijke sturing moet zijn en dat er meer duidelijkheid moet komen over het beleid rondom het bouwen van datacentra in Nederland? Zo ja, welke randvoorwaarden zouden hier volgens u van toepassing zijn? Zo nee, waarom niet?

Op 17 december jl. heeft uw Kamer een brief ontvangen over datacenters (Kamerstuk 32 813, nr. 968) die verder ingaat op de verwachte groei van de datacentersector, de elektriciteitsvraag die daarbij gepaard gaat en de wenselijkheid van datacenters mede gezien schaarse ruimte en de landschappelijke impact. Voorts: in het coalitieakkoord constateert het kabinet dat hyperscale datacentra een onevenredig groot beslag leggen op de beschikbare duurzame energie in verhouding tot de maatschappelijke en/of economische meerwaarde. Daarom scherpen we de landelijke regie en de toelatingscriteria bij de vergunningverlening hiervoor aan. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.

17 november 2021 - 16 februari 2022

91 dagen

De rode loper voor datacenters
	Gijs van Dijk (PvdA)
	Stef Blok (VVD), Kajsa Ollongren (minister defensie) (D66)

Bronnen

1. Telegraaf, 9 november 2021, «Overheid liet zich bij bouw datacentra b…
2. Noordhollands Dagblad, 15 november 2021, «Zonder stroom gaat Boekeler…
3. NH Nieuws, 27 oktober 2021, «Provincie vraagt Den Haag om hulp: overv…

Vraag 1

Bent u bekend met het artikel «Rode loper uit voor datacentra»?1

Ja, daar ben ik mee bekend.
Vraag 2

Klopt het dat u actief internationaal beleid voert om grote multinationals, zoals Facebook, Google en Microsoft naar Nederland te halen? Op welke manier heeft u deze bedrijven gefaciliteerd?

Buitenlandse bedrijven leveren een belangrijke bijdrage aan de ambities van dit kabinet, bijvoorbeeld in de vorm van werkgelegenheid, innovatie en toegevoegde waarde van onze economie. Op 17 april 2020 is uw Kamer geïnformeerd over het acquisitiebeleid.2 Daarin is aangegeven dat het kabinet in het acquisitiebeleid sterker wil focussen op juist die buitenlandse bedrijven die ook bijdragen aan versterking van innovatie-ecosystemen en de verduurzaming en digitalisering van onze economie.
De Netherlands Foreign Investment Agency (NFIA), de uitvoeringsorganisatie van EZK die verantwoordelijk is voor het aantrekken van buitenlandse bedrijven naar Nederland, geeft invulling aan dit acquisitiebeleid. Dit doet de NFIA door bedrijven te informeren over het Nederlandse investeringsklimaat en hen te introduceren bij relevante partijen die hen van informatie kunnen voorzien.3 De NFIA heeft daarbij ook contact met bedrijven als Facebook, Google en Microsoft over mogelijke investeringen in Nederland. Zo heeft NFIA bijgedragen aan het in 2019 geopende Microsoft kwantum Lab op de TU Delft campus en de vestiging van het Google datacenter in de Eemshaven in 2016.
Specifiek voor datacenters geldt dat sinds begin 2020 de NFIA deze niet meer actief naar Nederland acquireert. Dit geldt zowel voor grootschalige (hyperscale) datacenters als voor andere soorten datacenters.
Vraag 3

Klopt het dat u op basis van door de lobby van datacenters afgegeven rooskleurige informatie over datacenters uw beleid is gebaseerd voor een actieve acquisitiestrategie om grootschalige datacenters naar Nederland te halen?

Nee, dit klopt niet. Het strategische acquisitiebeleid van ICT-bedrijven, zoals opgenomen in het plan «the Netherlands: Digital Gateway to Europe»4, was onderdeel van een bredere ambitie om hoofkantoor-, onderzoeks- en innovatieactiviteiten van buitenlandse bedrijven in Nederland te laten vestigen. Doel hierbij was het kwantitatief (omzet, aantal bedrijven, werkgelegenheid) en kwalitatief (innovatiekracht, kennis en kunde) versterken van de Nederlandse ICT-sector en economische (top)sectoren. De keuze voor sectoren was gebaseerd op een SWOT-analyse van de sterktes en zwaktes van de Nederlandse ICT-sector en is tot stand gekomen in samenspraak met het (ICT-)bedrijfsleven en kennisinstellingen. Daarbij was de datasector slechts een van de focusgebieden uit het plan in 2013; daarnaast waren gaming en cybersecurity als kansrijke sectoren geïdentificeerd. Verder richtte het plan zich op het aantrekken van buitenlandse ICT-bedrijven die innovatieve oplossingen bieden voor onze topsectoren (LSH, logistiek, tuinbouw, media en HTSM). Een belangrijke basis voor deze ambitie was een onderzoek van Roland Berger uit 20115, waarin werd geconstateerd dat Nederland voordeel zou hebben van het aantrekken van hoofdkantoor-, onderzoeks- en innovatieactiviteiten van buitenlandse bedrijven. Het plan liep van 2013 tot 2017 en is daarna aangepast en verlengd van 2018 tot eind 2021. In dat plan zijn de focusgebieden herijkt met bijvoorbeeld meer aandacht voor opkomende technologieën als AI en bedrijven die big data toepassingen aanbieden. Ook is ervoor gekozen om in dat plan nog meer focus te leggen op het aantrekken van hoogwaardige ICT-activiteiten6. Zoals aangegeven in het antwoord op vraag 2 is deze opdracht begin 2020 aangepast en wordt er niet meer actief geacquireerd op datacenters.
Vraag 4

Klopt het verder dat u al in 2019 bekend was met de enorme nadelen van hyperscale datacenters, zoals problemen met het enorme water- & elektraverbruik en aansluiting op het stroomnet? Welke maatregelen heeft u vanaf 2019 genomen om deze genoemde problemen «kritische succesfactoren» serieus te nemen?

In 2019 is uw Kamer geïnformeerd over de Ruimtelijke Strategie Datacenters7, die namens de partijen uit de Ruimtelijk Economische Ontwikkelstrategie (REOS), waaronder het Rijk, is gepubliceerd. Daarin wordt in het kader van een zorgvuldige ruimtelijke ordening onder meer gewezen op het belang van een goede afstemming met het elektriciteitsnetwerk bij de vestiging van datacenters. Vervolgens is de Nationale Omgevingsvisie gepubliceerd8 die het nationaal ruimtelijk beleid omvat voor een zorgvuldige vestiging van datacenters en voorkeuren aangeeft voor o.a. de vestiging van hyperscale datacenters.
In de zomer van 2019 hebben de gemeenten Haarlemmermeer en Amsterdam een voorbereidingsbesluit genomen als aankondiging van nader te bepalen ruimtelijk vestigingsbeleid voor datacenters in deze gemeenten. Dit was voor het ministerie ook een signaal om het nationale acquisitiebeleid t.a.v. datacenters te herzien. Begin 2020 is daarom ook de opdracht aan de NFIA aangepast.
In de kamerbrief van maart 2021 over datacenters9 is uw Kamer daarnaast geïnformeerd over bijvoorbeeld de instrumenten en maatregelen m.b.t. energiebesparing en stimulering van benutting van restwarmte. Ook zijn er diverse vereisten en procedurele stappen om problemen t.a.v. watergebruik te voorkomen, zoals de Minister van IenW uiteenzet in de beantwoording van kamervragen over watergebruik in datacenters van april10. Verder verwijs ik ook naar de antwoorden onder vraag 11.
Vraag 5

Kunt u een overzicht geven van al uw contacten met bedrijven zoals Microsoft, Facebook en/of organisaties die lobbyen voor datacenters en die mogelijk een actieve rol hebben gehad in de besluitvorming?

Vanuit het Ministerie van Economische Zaken en Klimaat wordt met regelmaat gesproken met verschillende marktpartijen, brancheorganisaties en mede overheden, zo ook bij gelegenheid met eigenaren van co-locatie en hyperscale datacenters en de branchevereniging van datacenters. Het ministerie maakt echter altijd een eigen afweging in de besluitvorming van beleid, zo ook in dit geval bij het opstellen van strategisch acquisitiebeleid. De besluitvorming is zowel gebaseerd op onafhankelijk onderzoek als eigen onderzoek, hier zijn gesprekken met marktpartijen en brancheorganisaties een onderdeel van.
Vraag 6

Heeft u daarnaast contact gehad met kritische geluiden omtrent datacenters? Zo ja, wat waren deze reacties en in hoeverre heeft u hier rekening mee gehouden in de besluitvorming? Heeft u verder actief kritische geluiden, zoals gemeenten en omwonenden, opgezocht en gesproken?

De uiteindelijke afweging en besluitvorming ten aanzien van de vestiging ligt bij decentrale overheden. Indien een (hyperscale) datacenter een mogelijke locatie heeft gevonden, zal het datacenter het reguliere besluitvormingsproces bij de gemeente en/of provincie moeten doorlopen en de benodigde vergunningen aan moeten vragen. Bij het opstellen van het ontwerpbestemmingsplan of de aanvraag van een vergunning hebben omwonenden de mogelijkheid om hun standpunt kenbaar te maken. Het is vervolgens aan het bevoegd gezag om in de besluitvorming met deze zienswijzen rekening te houden.
In het opstellen van de Nationale Omgevingsvisie (NOVI)11, die tevens ingaat op datacenters, is rekening gehouden met binnengekomen zienswijzen van verschillende partijen. Zie hiervoor de Nota van Antwoord aan uw Kamer12. Naar aanleiding van vragen is aan het nationaal belang van digitale connectiviteit expliciet de veiligheid van datacenters toegevoegd. Daarnaast waren er vragen over Eemshaven als vestigingsplaats voor datacenters in relatie tot andere ruimteclaims en de vraag naar water. In het antwoord werd gewezen op het voordeel van vestiging van energie-intensieve bedrijven (waaronder datacenters) aan de kust voor het optimaal benutten van windenergie vanaf zee. Ook werd ingegaan op werkgelegenheid, kans op gebruik van restwarmte en bijvoorbeeld zon op het dak van het datacenter.
Vraag 7

Kunt u aangeven, op basis van onafhankelijk onderzoek, wat het publieke belang en de baten zijn van grootschalige datacenters voor Nederland? Kunt verder aangeven hoeveel structurele werkgelegenheid 1 hyperscale datacenter oplevert?

Datacenters vervullen een belangrijke rol in het realiseren van de noodzakelijke digitalisering van Nederland. In datacenters staan servers opgesteld die vele digitale processen bij bedrijven, overheden en organisaties moeten ondersteunen. Denk hierbij aan het werken in de cloud. Met name de regionaal en nationaal verzorgende (multi-tenant of co-locatie) datacenters stellen nationale bedrijven en organisaties in staat efficiënter te produceren of te werken. Daarnaast faciliteren grootschalige (hyperscale) datacenters allerlei soorten digitale toepassingen die door bedrijven, organisaties en consumenten wereldwijd dagelijks worden gebruikt.
De directe regionale economische meerwaarde van co-locatie datacenters is relatief beperkt, maar heeft regionaal en nationaal gezien wel belangrijke positieve effecten door die faciliterende rol voor de digitalisering. Dit blijkt uit onderzoeken van Buck Consultants International (BCI) in opdracht van de Metropoolregio Amsterdam en van Stratix in opdracht van de provincie Zuid-Holland.13 Rond Amsterdam (en met name de AMS-IX) zitten veel multi-tenant datacenters met zeer snelle onderlinge verbindingen. Dit zorgt voor zogeheten hyperconnectiviteit tussen deze datacenters. Op maar vijf plekken in Europa bestaat deze hyperconnectiviteit. Dit is dus bijzonder en speelt een belangrijke faciliterende rol voor de Nederlandse maar ook de Europese digitale economie. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig vestigingsklimaat voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is. Ook faciliteren co-locatie datacenters regionale partijen in hun digitaliseringsbehoefte. Omdat hyperscale datacenters niet bijdragen aan deze hyperconnectiviteit en primair worden gebruikt voor het opslaan van data of het verlenen van specifieke dienstverlening voor de internationale markt, kan worden gesteld dat de (in)directe regionale en nationale meerwaarde voor de Nederlandse digitalisering en digitale infrastructuur lager is dan bij co-locatie datacenters.
Het is niet eenduidig te zeggen hoeveel structurele werkgelegenheid één hyperscale datacenter oplevert. Dit is afhankelijk van de omvang van het datacenter, de hoeveelheid operationaliserings- en onderhoudsactiviteiten en andere bedrijfsspecifieke omstandigheden. Een grove indicatie op basis van openbare gegevens van bedrijven met een hyperscale datacenter in Nederland geeft aan dat de drie thans in Nederland gevestigde hyperscale datacenters gemiddeld circa 6 tot 8 structurele directe banen per hectare verschaffen. In totaal komt dit voor de drie in Nederland gevestigde hyperscale datacenters neer op circa 750 vaste banen. Dit impliceert dat de directe regionale economische meerwaarde van hyperscale datacenters gemeten in directe en structurele werkgelegenheid relatief beperkt is. Daarnaast voorzien datacenters ook in tijdelijke en indirecte werkgelegenheid. Bij de bouw van datacenters zijn op tijdelijke basis grote aantallen medewerkers betrokken en de tijdelijke en structurele directe werkgelegenheid ondersteunt ook indirecte werkgelegenheid in de dienstensector van de regio. Het voorgaande is gebaseerd op informatie die op dit moment bekend is en geeft geen sluitend of definitief beeld van de uiteindelijk toegevoegde structurele werkgelegenheid.
Vraag 8

Klopt het dat er op dit moment zelfs overcapaciteit aan datacenters is in Nederland, waardoor driekwart van de capaciteit naar het buitenland gaat? Vindt u het daarom ook onwenselijk, vanwege alle nadelige gevolgen rondom water- en elektraverbruik en problemen rond inpassing in het landschap, om nog actief datacenters naar Nederland te halen?

De datacentermarkt is grotendeels een internationale markt. Een recent onderzoek14 van Buck Consultants International (BCI) in opdracht van het Ministerie van Economische Zaken en Klimaat geeft aan dat, zoals bij meerdere Nederlandse diensten en producten geldt, de Nederlandse datacentersector een belangrijk aandeel heeft in het bedienen van de buitenlandse markt. Zoals ik al eerder aangaf huisvest Nederland één van de vijf hyperconnectiviteitsclusters in Europa. Dit betekent dat veel Nederlandse datacenters gebruikers in het buitenland bedienen maar Nederlandse bedrijven en organisaties maken ook gebruik van datacentercapaciteit in andere landen. Nederland fungeert dus als een datacenterrotonde binnen Europa. Een van de conclusies uit het genoemde rapport luidt logischerwijs dat de Nederlandse datacentercapaciteit fors is in verhouding tot binnenlandse vraag. Een grove schatting laat zien dat het equivalent van 25–35% van de Nederlandse capaciteit gebruikt wordt voor in Nederland gevestigde bedrijven. Gezien de aard van de markt is het niet mogelijk om in Nederland alleen de Nederlandse benodigde datacentercapaciteit te accommoderen. Dat er nu geen knelling van capaciteit verwacht wordt voor de Nederlandse digitaliseringstransitie neemt niet weg dat de markt voor de datacentercapaciteit moet kunnen blijven groeien. Als de Europese datacentermarkt niet kan groeien, dan is er op termijn ook te weinig capaciteit voor de digitaliseringstransitie in Nederland.
Ten aanzien van het actief aantrekken van datacenters naar Nederland, zie het antwoord op vraag 2.
Vraag 9

Bent u het verder eens dat het onwenselijk is dat het elektraverbruik geheim wordt gehouden door de sector? Bent u daarom bereid om een onafhankelijk onderzoek, dus niet door de sector zelf, onderzoek te laten doen naar het elektra-, maar ook, waterverbruik van datacenters?

Het CBS monitort het elektriciteitsverbruik en heeft inzicht in alle elektriciteit die via het elektriciteitsnet wordt geleverd. Over de periode van 2017–2020 heeft het CBS de gegevens gepubliceerd.15 Ook de komende jaren zal CBS dat blijven monitoren. Het CBS monitort tevens het gebruik van leidingwater door de sector «informatie en communicatie» waar datacenters onder vallen.16 Het CBS heeft bij navraag aangegeven dat dit een zeer grove schatting betreft en momenteel helaas niet geschikt om een harde uitspraak te doen over het huidige leidingwatergebruik van datacenters. Het CBS doet momenteel onderzoek of er mogelijkheden zijn om deze schatting te verbeteren.
Vraag 10

Klopt het verder dat door de grote hoeveelheid stroom die datacenters gebruiken er daardoor nieuwe woonwijken of startende bedrijven niet kunnen worden aangesloten op het stroomnet in de Kop van Noord-Holland?2 Speelt dit probleem ook in andere gebieden waar hyperscale datacenters aanwezig zijn?

Datacenters leggen net als andere grootverbruikers een relatief groot beslag op de beschikbare transportcapaciteit van het elektriciteitsnet. Netbeheerders kunnen de vraag naar aanvullende transportcapaciteit in de Kop van Noord-Holland, maar ook op veel plekken elders in Nederland, moeilijk bijhouden. Het gaat hierbij zowel om transportschaarste voor invoeding van hernieuwbare elektriciteit en in toenemende mate ook om afname van elektriciteit door gebruikers18. De problematiek is hierbij dan ook niet alleen aan datacenters toe te schrijven.
Vraag 11

Bent u vanwege het overvolle elektriciteitsnet van plan om, zoals ook de Provincie Noord-Holland bepleit3, om met wet- en regelgeving te komen zodat decentrale overheden de mogelijkheid krijgen om zelf te kunnen bepalen wat eerst, zoals nieuwe woningen, kan worden aangesloten op het elektriciteitsnet, in plaats van dat zij verplicht zijn om datacenters, die energie slurpen, toe te laten op het elektriciteitsnet?

Netbeheerders zijn als natuurlijk monopolist gehouden aan zowel het Europese als Nederlandse kaders die voorschrijven dat ze non-discriminatoir jegens een ieder opereren. Netbeheerders geven hier invulling aan door aanvragen op volgorde van binnenkomst te behandelen. Dit is juist bij schaarste een zuiver principe voor de netbeheerder. Ik zet bij de aanpak van de schaarse transportcapaciteit in op een combinatie van maatregelen waarbij waar mogelijk het net sneller verzwaard kan worden en betere gezamenlijke planning aan de voorkant tussen netbeheerders, overheden en marktpartijen. Op nationaal niveau doen we dit bijvoorbeeld met het Meerjarenplan Infrastructuur Energie en Klimaat (MIEK). Decentrale overheden werken aan regionale varianten hierop en ook hierover ben ik met hen in gesprek.
Vraag 12

Klopt het dat voor datacenters er geen financiële prikkels zijn om minder energie, via de zogenaamde volumeheffingskorting, te gebruiken? Bent u daarom bereid om financiële prikkels in te bouwen, zodat zeer grote verbruikers van het elektriciteitsnet zoals datacenters efficiënter omgaan met de beschikbare transportcapaciteit?

Het is niet goed mogelijk om één prikkel in te bouwen die tegelijkertijd het efficiënt omgaan met transportcapaciteit beloont en tegelijkertijd ook prikkelt tot energiebesparing. De belangrijkste financiële prikkel voor energiebesparing voor datacenters, en andere elektriciteitsgebruikers, volgt uit de prijs van het product elektriciteit en de belasting die daarover wordt geheven. De volumecorrectieregeling is daarentegen onderdeel van de nettarievenstructuur, welke voorschrijft volgens welke verdeelsleutels netbeheerders de tarieven van aangeslotenen op het elektriciteitsnet berekenen. Omdat de kosten van het elektriciteitsnet voornamelijk capaciteitsgedreven zijn, beprijst de nettarievenstructuur met name het gebruik van capaciteit (vermogen) en niet het verbruik van elektriciteit. Het klopt daarom niet dat er door het bestaan van de volumecorrectieregeling geen of minder prikkels zijn voor datacenters om energie te besparen. De volumecorrectieregeling prikkelt daarentegen wel tot het efficiënter omgaan met transportcapaciteit: de regeling leidt tot procentueel lagere transporttarieven voor grote elektriciteitsgebruikers, maar alleen als deze een zeer vlak en stabiel afnamepatroon kennen. Dat leidt eveneens tot een efficiënter gebruik van de beschikbare transportcapaciteit. Elektriciteitsgebruikers met een grillig elektriciteitsgebruik daarentegen komen niet in aanmerking voor de regeling. Voor de volledigheid wordt opgemerkt dat elke elektriciteitsgebruiker met een voldoende groot en voldoende stabiel afnamepatroon gebruik kan maken van de volumecorrectieregeling. De regeling richt zich dus niet op datacenters en niet alle datacenters zullen in aanmerking komen voor deze regeling.
Vraag 13

Bent u het eens dat het ongewenst is dat de gemeente Hollands Kroon een «gedoogbeslissing» heeft afgegeven aan een hyperscale datacenter van Microsoft, waardoor zonder dat alle democratische procedures zijn doorlopen?

Het college van gedeputeerde staten van Noord-Holland is in het geval van het datacenter van Microsoft bevoegd gezag voor het afgeven van de omgevingsvergunning. Op 15 september jl. is namens het college door de Omgevingsdienst Noordzeekanaalgebied (OD NZKG) aan Microsoft een gedoogbeslissing afgegeven20. Voordat de gedoogbeslissing is gegeven is de inpasbaarheid van het datacenter ook getoetst aan de concept-datacenterstrategie van de provincie Noord-Holland.
Met de gedoogbeslissing kan Microsoft voor eigen rekening en risico starten met bouwen in afwachting van besluitvorming over de vereiste omgevingsvergunning. Voor deze gedoogbeslissing is onder meer een m.e.r.-beoordelingsbesluit genomen. Hierbij zijn de volgende milieuaspecten beoordeeld: bodem, lucht, energiegebruik, watergebruik, geluid, afvalwater, externe veiligheid en de bescherming van de natuur ingevolge de Wet natuurbescherming. De besluitvorming over de aanvraag van Microsoft voor een omgevingsvergunning doorloopt alle democratische procedures. De genoemde milieuaspecten worden nu voor de beoordeling van de aanvraag voor de omgevingsvergunning opnieuw beoordeeld. Voordat de definitieve omgevingsvergunning wordt verleend, wordt eerst een ontwerpvergunning gepubliceerd. De OD NZKG verwacht deze nog dit jaar of uiterlijk in januari 2022 ter inzage te kunnen leggen. Inwoners en belanghebbenden hebben vanaf dat moment de mogelijkheid tot inspraak door middel van het indienen van een zienswijze. De ontwerpvergunning en alle bijbehorende stukken worden dan ook gepubliceerd en voor iedereen openbaar.
Vraag 14

Bent u verder niet bezorgd dat lokale politici de lastige keuze moeten maken over het toestaan van hyperscale datacenters? Bent u het daarom eens dat het verstandiger is om de bevoegdheid voor het plaatsen van hyperscale datacenters bij het Rijk te leggen?

Voor hyperscale datacenters spreekt de NOVI voorkeur uit om deze te vestigen aan de randen van Nederland, op locaties waar veel aanbod is van (hernieuwbare) elektriciteit, waar aansluiting op het elektriciteitsnetwerk kan worden geboden en waar ruimte minder schaars is. Daarnaast geeft de NOVI richtingen mee voor het benutten van restwarmte, landschappelijke inpassing en duurzame energie. In lijn met het coalitieakkoord zal dit kabinet de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters aanscherpen. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.
Verder heeft de Staatssecretaris van Economische Zaken en Klimaat, in afstemming met de Minister en Staatssecretaris van BZK uw Kamer op 17 december jl. een brief (Kamerstuk 32 813, nr. 968) gestuurd mede n.a.v. vragen van Kamerlid Bontenbal (CDA). Deze brief gaat verder in op de verwachte groei van de datacentersector, de elektriciteitsvraag die daarbij gepaard gaat en de wenselijkheid van datacenters mede gezien schaarse ruimte en de landschappelijke impact.
Vraag 15

Bent u om die reden dan ook van plan om als regisseur een leidende rol te nemen om strakke regels rondom water- en elektraverbruik, restwarmte en inpasbaarheid in het landschap bij datacenters vast te leggen?

Zie antwoord vraag 14.

9 november 2021 - 7 april 2022

149 dagen

Beantwoording vragen 'Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen'
	Queeny Rajkowski (VVD)
	Ferdinand Grapperhaus (CDA), Raymond Knops (CDA), Stef Blok (VVD)

Vraag 1

Hoe weet u zeker dat op de smartphones geen censuur wordt toegepast en dat deze software constant uit staat, aangezien u in de beantwoording aangeeft dat er op de in de Europese Unie verkochte smartphones geen censuur wordt toegepast, er voor Nederland op dit moment geen aanleiding is om een dergelijk zwaarwegend advies af te geven en dat u ziet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers?

Het Ministerie van Defensie van Litouwen heeft onderzoek gedaan naar telefoons van het merk Xiaomi. Daarbij is ook gekeken naar de functionaliteit die in deze vragen wordt aangeduid als censuursoftware. Uit het onderzoek blijkt dat deze functionaliteit is uitgeschakeld in de Europese Unie. Naar aanleiding van het Litouwse onderzoek heeft ook het Duitse Bundesambt für Sicherheit in der Informationstechnik (BSI) een eigen onderzoek ingesteld. Daarbij zijn geen bijzonderheden aangetroffen.1 In beide onderzoeken is vastgesteld dat de software in de praktijk niet wordt toegepast. Ik hecht eraan dat dit ook in de toekomst niet zal gebeuren.
Gebruikers van telefoons moeten immers met elkaar kunnen communiceren zonder dat er, zoals zou gebeuren als de bedoelde functionaliteit wordt geactiveerd, door derden inbreuk wordt gemaakt op de communicatie. Dit zogenoemde communicatiegeheim is onder meer vastgelegd in artikel 5 van richtlijn 2002/58/EG (de e-privacyrichtlijn) en ook in het voorstel voor een Europese e-privacyverordening die in de toekomst de e-privacyrichtlijn zal vervangen.
Zolang de e-privacyverordening nog niet van kracht is, is een complicerende factor dat artikel 11.2a van de Telecommunicatiewet waarin artikel 5 van de e-privacyrichtlijn is omgezet, zich alleen richt tot aanbieders van openbare elektronische communicatienetwerken en diensten en dus niet tot derden zoals de leverancier van de telefoon. Omdat de totstandkoming van de e-privacyverordening nog op zich laat wachten, zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen.
Naast de Telecommunicatiewet wordt het communicatiegeheim ook beschermd in het Wetboek van Strafrecht. Zo stelt artikel 139c het met een technisch hulpmiddel aftappen of opnemen van het telecommunicatieverkeer strafbaar. Betoogd zou kunnen worden dat het met software bekijken (aftappen) en vervolgens aanpassen (het er uit filteren van «ongewenste» zoekresultaten) van het telecommunicatieverkeer onder de werking van deze strafbepaling valt (vgl. Hoge Raad, 17 december 2019, ECLI:NL:HR:2019:1973). In dat geval zou het activeren van dergelijke software ertoe kunnen leiden dat sprake is van een strafbaar feit.
Waar apparaten bijvoorbeeld de zoekresultaten filteren, dan kan dit voorts een inbreuk vormen op de vrijheid van nieuwsgaring. Het is uiteindelijk aan de rechter om in voorkomende gevallen een uitspraak te doen over de rechtmatigheid van zo’n filter.
Vraag 2

In hoeverre worden er, in het kader van «Bring-Your-Own-Device», privé Xiaomi-telefoons gebruikt, waarvan in de beantwoording is aangegeven dat er sinds 2018 60 van zijn aangeschaft, en is dit wenselijk?

Voor «Bring-Your-Own-Device» binnen de rijksoverheid geldt als uitgangspunt dat ieder rijksonderdeel moet aangeven of en in welke gevallen het gebruik van eigen apparatuur is toegestaan op basis van een eigen risicoafweging.
De (on)wenselijkheid hiervan verschilt dus per rijksonderdeel. Mocht het gebruik van eigen toestellen toegestaan zijn dan geldt, net zoals voor overheidstoestellen, dat op basis van de risicoafweging de juiste maatregelen worden getroffen om de overheidsinformatie voldoende te beschermen, bijvoorbeeld door toepassing van cryptografische oplossingen die op het eigen apparaat gebruikt kunnen worden.
In antwoord op eerdere vragen is aangegeven dat er zover bekend bij het Ministerie van Binnenlandse Zaken sinds 2018 60 Xiaomi telefoons zijn aangeschaft binnen de rijksoverheid. Deze zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Er is geen relatie tussen deze 60 telefoons en «Bring-Your-Own-Device»-beleid.
Vraag 3

In hoeverre biedt de Baseline Informatiebeveiliging Overheid voldoende handvatten om nieuwe informatie en potentiële risico’s zoals censuursoftware zoveel als mogelijk te voorkomen?

De Baseline Informatiebeveiliging Overheid (BIO) is een informatiebeveiligingskader voor de hele overheid en is gebaseerd op de internationale standaarden ISO27001 en ISO27002. De BIO kent een risicogebaseerde aanpak. Dat betekent dat overheidsorganisaties op basis van risicoafweging (nieuwe) dreigingen onderkennen en daarop passende en proportionele beveiligingsmaatregelen treffen. Zo ook deze casus.
De BIO kent (nog) geen specifieke maatregelen tegen dergelijke software. Dit jaar wordt de BIO geëvalueerd. Onderdeel van die evaluatie is de herijking van de dreigingen die richting geven aan de concrete overheidsmaatregelen in de BIO. Dit vraagstuk zal daarbij worden meegenomen.
In algemene zin geldt dat eind 2018 ten aanzien van nationale veiligheidsrisico’s een verscherpt inkoop- en aanbestedingsbeleid is geïmplementeerd voor de rijksoverheid. Hierin is opgenomen dat bij inkoop en aanbesteding mogelijke risico’s voor de nationale veiligheid per inkoopopdracht worden meegewogen. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden.
Ter ondersteuning van dit beleid is aanvullend instrumentarium ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
In het Commissiedebat Digitale overheid, datagebruik en algoritmen, en digitale identiteit van 22 maart jl. heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd een onderzoek te gaan doen naar inkoopeisen en -richtlijnen over cyberveiligheid in het overheidsapparaat, dat voornamelijk zal gaan over landen met een offensief cyberprogramma. In het daaropvolgende tweeminutendebat van 29 maart is in aanvulling op de toezegging een motie ingediend door Kamerleden Rajkowski en Van Weerdenburg, om in dit onderzoek ook te kijken naar de vitale sector.2 De motie is op 5 april aangenomen; de Kamer zal over het vervolg geïnformeerd worden.
Vraag 4

Wat zou u ervan vinden als Rijksambtenaren Chinese censuursoftware zouden downloaden op hun apparaten?

In algemene zin is het onwenselijk als rijksambtenaren software zouden downloaden op hun werkapparaten als die een conflict zou opleveren met hun werkzaamheden.
Verder wil ik opmerken dat de werkomgeving van rijksambtenaren op mobiele apparaten zich bevindt op een afgeschermd deel dat niet toegankelijk is voor overige geïnstalleerde software.
Vraag 5

Onderkent u dat Xiaomi telefoons, in tegenstelling tot wat er in de beantwoording te lezen is, niet alleen via verschillende webwinkels verkocht worden, maar dat er sinds 2020 ook een fysieke «Mi-store» is geopend in Rotterdam, de eerste fysieke Xiaomi winkel in de Benelux?

In de eerdere beantwoording is aangegeven dat Xiaomi-toestellen in Nederland breed verkrijgbaar zijn. Het klopt dat er een fysieke Xiaomi-winkel in Rotterdam is.
Vraag 6

Hoe beoordeelt u het feit dat aanbieders van apparaten waar censuursoftware op staat winkels openen in Nederland en hun marktaandeel in Nederland groeiend is?

Het is belangrijk dat producten die hier op de markt worden gebracht voldoen aan de relevante regelgeving. Dat wordt des te belangrijker als het een wijdverspreid product is. Tegelijkertijd is het iedereen die zich aan de relevante Nederlandse en Europese wetgeving houdt toegestaan producten op de Nederlandse en Europese markt te brengen.
Vraag 7

Klopt het dat de censuursoftware op afstand kan worden geactiveerd vanuit China, zonder dat gebruikers dit doorhebben? Deelt u de mening dat deze functionaliteit een potentiële bedreiging vormt voor de vrijheid van meningsuiting en de vrije toegang tot informatie van Nederlandse gebruikers van Xiaomi-toestellen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Een fabrikant kan op afstand wijzigingen doorvoeren aan producten en diensten door software-updates uit te brengen. Op basis van artikel 11.7a van de Telecommunicatiewet moet de fabrikant daarover de eindgebruiker informeren en bovendien diens toestemming verkrijgen voor de wijziging.
De vrije nieuwsgaring wordt onder meer beschermd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens. Hiervoor is het van belang dat mensen degelijke toegang hebben tot informatie zonder hierin te worden gehinderd. De gigantische hoeveelheid informatie die in de moderne wereld voorhanden is maakt het echter noodzakelijk dat technische hulpmiddelen zoals zoekmachines deze informatie filteren voordat het aan gebruikers wordt voorgelegd. Voor vrije nieuwsgaring is het van belang dat deze filtering waardenvrij plaatsvindt.
Het is onwenselijk voor gebruikers om heimelijk af te worden gehouden van specifieke onderwerpen. Uit zowel het Litouwse als Duitse onderzoek blijkt echter dat dit in de Europese Unie op Xiaomi telefoons ook niet wordt gedaan. Het is in het algemeen belangrijk dat gebruikers de beperkingen van hun apparatuur kennen en begrijpen en indien zij dat wensen kunnen kiezen uit alternatieve browsers en zoekmachines om te voorzien in hun informatiebehoefte.
Vraag 8

Hoe beoordeelt u het feit dat ook de data van Nederlandse gebruikers die Xiaomi-toestellen gebruiken wordt doorgestuurd naar Xiaomi-servers in China, waar conform de geldende Chinese cyberveiligheidswet, ook de Chinese overheid toegang heeft tot de data van Nederlandse gebruikers?

Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Partijen moeten, wanneer zij in de EU producten of diensten aanbieden, voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de AVG biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
Voor zover het gaat om gegevens die worden afgelezen van het randapparaat van de eindgebruiker (ook als dit geen persoonsgegevens zijn) is artikel 11.7a van de Telecommunicatiewet van toepassing. Dit ook bij vraag 7 genoemde artikel bepaalt dat voor het plaatsen en aflezen van informatie op een randapparaat de toestemming van de eindgebruiker noodzakelijk is. Voor een rechtsgeldige toestemming is van belang dat de eindgebruiker adequaat is geïnformeerd over de doeleinden van de gegevensverzameling en verwerking. Op deze bepaling wordt toezicht gehouden door Autoriteit Consument en Markt (ACM).
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden.
Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.
Vraag 9

Klopt het dat de Belgische Staatsveiligheidsdienst al eerder publiekelijk heeft gewaarschuwd voor spionage via Chinese spionage, waaronder die van Xiaomi? Zo ja, hoe beoordeelt u dit en deelt u de mening dat deze waarschuwing zeer zorgelijk is?

Het klopt dat de Belgische Staatsveiligheid heeft gewaarschuwd voor potentiële Chinese spionagedreiging. Zoals ook staat beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3 en de jaarverslagen van de inlichtingen- en veiligheidsdiensten is toenemende afhankelijkheid van buitenlandse technologie een gegeven. Hierdoor bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Waar dit de nationale veiligheid raakt, wordt per geval afgewogen welke maatregelen proportioneel zijn om dit risico te beheersen. Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer technologie de Nederlandse vitale infrastructuur of gevoelige kennis en informatie raakt.
Vraag 10

In hoeverre is de huidige aangewezen toezichthouder in staat om te controleren of er censuursoftware op mobiele telefoons aanwezig is en of deze software daadwerkelijk actief is?

De toekomstige e-privacy verordening bevat regels over (de verwerking van persoonsgegevens bij) elektronische communicatie om te zorgen dat de persoonlijke levenssfeer wordt beschermd. Daarin wordt het controleren van de communicatie, ook door leveranciers van telefoons, verboden. Als de verordening van kracht wordt of voorafgaand daaraan de Telecommunicatiewet wordt aangepast conform het gestelde onder vraag 1, is er pas een aangewezen toezichthouder op dit punt.
Voor zover de vraag gaat over het in staat zijn om te controleren of er een betreffende functionaliteit op mobiele telefoons aanwezig is en of deze actief is, komt uit de genoemde onderzoeken bij vraag 1 naar voren dat dit het geval is. Uit die onderzoeken bleek dat de functionaliteit in de praktijk niet wordt toegepast.
Vraag 11

Hoe beoordeelt u de aanwezigheid van censuursoftware op Xiaomi-toestellen in het kader van een eerdere uitspraak, gedaan door de Algemene Inlichtingen- en Veiligheidsdienst, dat er sprake is van een «wereldwijde grootschalige vergaring van persoonsgegevens door Chinese actoren om profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken»?

De betreffende functionaliteit ziet op het detecteren en blokkeren van bepaalde termen. Deze functionaliteit heeft geen verband met grootschalige vergaring van persoonsgegevens. Zie het antwoord op vraag 1 ten aanzien van deze functionaliteit en het antwoord op vraag 8 ten aanzien van dataveiligheid.
Vraag 12

Deelt u de mening dat het zeer onwenselijk is dat ook de telefoons van Nederlandse gebruikers deze software kunnen bevatten en dat er een mogelijkheid is dat de censuursoftware wordt geactiveerd? Zo ja, bent u bereid een onafhankelijk onderzoek te laten uitvoeren door bijvoorbeeld het Agentschap Telecom en de Nationaal Coördinator Terrorismebestrijding en Veiligheid naar de mogelijke aanwezigheid van deze censuursoftware op Xiaomi-toestellen die in Nederland worden verkocht? Zo nee, waarom niet?

Ik zie geen noodzaak tot het doen van een aanvullend onderzoek naar de in het artikel genoemde software op Xiaomi-toestellen. Wel zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen. Zie hiervoor het antwoord op vraag 1.
Daarnaast is, zoals ook in de hoofdlijnenbrief digitalisering van 8 maart jl. aangegeven, digitaal bewustzijn noodzakelijk. We investeren samen met de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties in het vergroten van kennis onder burgers over digitale veiligheid en over technologische ontwikkelingen, zodat zij zich bewust zijn van de mogelijkheden, beperkingen, kansen en risico’s van technologie. Op de website veiliginternetten.nl wordt voorlichting en handelingsperspectief gegeven over het veilig gebruik van een apparaat.

29 oktober 2021 - 15 november 2021

17 dagen

De langdurige digitale storing bij Dienst Justis.
	Ulysse Ellian (VVD)
	Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD)

Bronnen

1. Ad.nl: 21 oktober 2021Duizenden Nederlanders kunnen geen verklaring omtrent gedrag aanvragen door softwarefout overheid | Tech | AD.nl
2. Kamerstukken II 34 550 VI, nr. 111

Vraag 1

Bent u bekend met het bericht «Duizenden Nederlanders kunnen geen verklaring omtrent gedrag (VOG) aanvragen door softwarefout overheid»1?

Ja.
Vraag 2

Waarom zijn meerdere systemen tegelijk uitgevallen en waarom is de storing tot op heden niet opgelost?

Vanaf vrijdag 15 oktober heeft zich een storing bij het Shared Service Center(SSC)-ICT voorgedaan. De storing trof meerdere systemen rijksbreed, waaronder de applicaties van Justis. Het betreft een technische fout, geen ransomware of hackaanval. Vanaf maandag 1 november is de storing verholpen en zijn de processen stap voor stap weer opgestart.
Vraag 3

Welke processen kan de Dienst Justis door de storing niet uitvoeren?

Aanvankelijk kon Justis geen enkele van de processen uitvoeren. Na enkele dagen konden de meeste processen weer worden opgestart. Dit gold echter niet voor de certificering van de buitengewoon opsporinsambtenaren (BOA), het toezicht op rechtspersonen en de VOG/GVA (verklaring omtrent gedrag/gedragsverklaring aanbesteden).
Per 26 oktober is een workaround in gebruik genomen voor het proces continue screenen. Tot en met 1 november kon een VOG of GVA niet worden aangevraagd. Sommige andere producten konden alleen per post worden aangevraagd.
Vraag 4

Hoeveel en op welke wijze zijn mensen getroffen door deze storing?

Doorgaans worden ongeveer 5.000 VOG’s per dag worden aangevraagd. Naar schatting konden door de storing ongeveer 70.000 VOG’s in de afgelopen twee weken niet worden aangevraagd. Dat kan gevolgen hebben gehad voor werkgevers en werknemers doordat een werknemer in afwachting van de VOG niet in een nieuwe baan kon starten. Ook andere processen waarvoor een VOG vereist is, zoals emigratie en inschrijving in registers van bepaalde beroepsgroepen, kunnen zijn geraakt. Nu de storing is verholpen werkt Justis met man en macht aan het verwerken van de (extra) aanvragen die nu alsnog worden ingediend. Ik heb u in de brief van 3 november reeds geïnformeerd over de maatregelen die Justis heeft getroffen om dit te realiseren.2
Vraag 5

Waarom is niet eerder gecommuniceerd over het feit dat er een grote storing bij de Dienst Justis is?

In eerste instantie was er ook een storing in de systemen die het plaatsen van informatie op de website, het digitaal aanvraag-kanaal en het Klantcontactcentrum onmogelijk maakte. Het Twitterkanaal van Justis is daarom vanaf vrijdag 15 oktober gebruikt om mensen te informeren. Zodra de website www.justis.nl op dinsdag 19 oktober weer toegankelijk was, zijn er nieuwsberichten op de homepage geplaatst over de storing, evenals op het kanaal digitaal aanvragen (MijnJustis). Daarnaast heb ik u op 29 oktober3 en op 3 november4 per brief geïnformeerd over de voortgang omtrent het oplossen van de storing.
Vraag 6

Waar kunnen mensen terecht die in de problemen komen door de storing?

In beginsel kunnen mensen zich het best wenden tot degene die de VOG verlangt, bijvoorbeeld een werkgever. Justis probeert uitloop van beoordeling zoveel mogelijk te voorkomen. Met de extra inzet die Justis, nu de storing achter de rug is, pleegt houdt Justis de termijn waarop een VOG wordt behandeld zo kort mogelijk. De wettelijke termijn voor het afgeven van een VOG is in de meeste gevallen vier weken vanaf het moment van indienen van de aanvraag. Justis verwacht dat het overgrote deel van de aanvragers alsnog een VOG ontvangt binnen vier weken nadat ze de aanvraag hadden willen, maar niet konden indienen.
Vraag 7

Welke gevolgen heeft de storing voor de werkvoorraad van de Dienst Justis? Leidt de storing tot achterstanden en zo ja, hoe worden deze weggewerkt?

Nu het systeem weer werkt, is het aantal aanvragen dat momenteel binnenkomt bovengemiddeld hoog. Hiertoe is de capaciteit van de systemen opgeschroefd, rekening houdend met het belang om de stabiliteit van de systemen niet in gevaar te brengen. Medewerkers werken over. Een groot deel van de aanvragen die nu binnen komen, worden daardoor erg snel verwerkt. Voor het deel dat handmatig moet worden beoordeeld, wordt voorrang gegeven aan de VOG’s die wettelijk verplicht zijn.
Vraag 8

Klopt het dat in 2017 voor het laatst een jaarverslag van de Dienst Justis naar de Kamer is gestuurd?2 Zo ja, wat is hiervoor de reden?

Dat klopt. Sinds 2017 worden de cijfers op www.justis.nl gepubliceerd.
Vraag 9

Welke maatregelen zijn reeds getroffen en welke maatregelen worden op de korte termijn uitgewerkt om nieuwe storingen bij de Dienst Justis te voorkomen?

De afgelopen weken lag de focus op het oplossen van de huidige storing. Na evaluatie van de storing door SSC-ICT en door JenV zal bezien worden welke maatregelen worden getroffen

21 oktober 2021 - 26 november 2021

36 dagen

Het bericht 'Besmet, maar de QR-code blijft geldig'
	Aukje de Vries (VVD)
	Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA)

Bronnen

1. De Telegraaf, 19 oktober 2021, «Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon» (Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon | Binnenland | Telegraaf.nl)
2. Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 363

Vraag 1

Kent u het bericht «Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon»? Wat vindt u van het bericht?1

Ja, ik heb kennisgenomen van dit bericht. Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover gesteld zijn2, zie ik het als de eigen verantwoordelijkheid van mensen om rekening te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd of ongevaccineerd) ga je thuis in isolatie en gebruik je de QR-code niet voor toegang. Als iedereen zich aan deze afspraak houdt, zie ik geen reden om de QR-code in te trekken.
Op dit moment is het (tijdelijk) op afstand intrekken of ongeldig maken van deze coronatoegangsbewijzen (CTB’s) technisch niet mogelijk zonder afbreuk te doen aan de hoge eisen van gegevensbescherming die ik heb gesteld aan de ontwikkeling van het Nederlandse CTB (zowel digitaal in de CoronaCheck-app als ook geprint op papier). Hierbij is een afweging gemaakt in de balans tussen de bescherming van persoonsgegevens en het tegengaan van misbruik. In die afweging heb ik uw Kamer eerder dit jaar meegenomen.3 De CoronaCheck-app is daarom ontwikkeld volgens de principes van privacy- en security by design waarbij verschillende maatregelen zijn getroffen om de privacy van burgers te borgen. Door deze ontwerpkeuzes bevat het CTB te weinig informatie om de QR-code in te trekken. Naar aanleiding van de Motie Den Haan4; «geen Groen vinkje in de CoronaCheck-app na besmetting» zal ik u binnenkort nader berichten over de keuzes die te maken zijn. Daarbij geef ik u alvast het volgende mee.
Allereerst moet er onderscheid gemaakt worden tussen papieren bewijzen en bewijzen in de app. Het zonder meer intrekken van papieren bewijzen op afstand kan niet, ze kunnen immers niet worden weggenomen of vernietigd. Wel kan worden gedacht aan het controleren aan de deur of een eerder afgegeven papieren bewijs op dat moment geldig is. Dat vergt een publiek beschikbare zwarte lijst van positief geteste mensen die kan worden gekoppeld aan papieren bewijzen. De huidige papieren bewijzen zijn daarvoor niet geschikt. De al meer dan 600.000 per post uitgegeven papieren bewijzen en alle daarnaast door mensen zelf afgedrukte bewijzen zouden allemaal moeten worden ingetrokken (en opnieuw aangevraagd). Ze zouden daarbij zo moeten worden gemaakt dat ze direct te koppelen worden aan individuele personen, om de relatie te leggen tussen een positief getest persoon en een specifiek bewijs teneinde dit bewijs op een lijst van besmette personen te kunnen plaatsen. Het opstellen van een dergelijke lijst heeft als risico dat door iedereen met een scanner-app kan worden vastgesteld dat mensen positief getest zijn of zijn geweest. Daarbij bestaat het risico dat een dergelijke lijst wordt gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Bewijzen in de app zouden wellicht wel technisch kunnen worden ingetrokken. Een mogelijke werkwijze daarbij kan zijn dat mensen verplicht worden om (bijvoorbeeld elke dag) met DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook dit brengt allerlei risico’s met zich mee. Het leidt tot hoge kosten (voor onder meer dagelijks gebruik van DigiD), overbelasting van systemen omdat dit aantal inlogpogingen niet ondersteund kan worden en sluit heel veel mensen uit (zoals de groep mensen die niet beschikt over DigiD of een Burgerservicenummer).
Zoals gezegd zal ik uw Kamer nader informeren naar aanleiding van genoemde motie. Ter voorbereiding daarvan wordt de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 om advies gevraagd. Aan de Begeleidingscommissie is de vraag gesteld of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij de ontwikkeling. Hierbij maak ik graag gebruik van alle expertise van de Begeleidingscommissie, waaronder op het gebied van ethiek, gedragswetenschappen, privacy en informatieveiligheid en morele aspecten.
Vraag 2

Bent u het eens dat het volstrekt onverantwoord is om als positief geteste persoon een eerder verkregen QR-code te gebruiken om toegang te krijgen tot activiteiten met een coronatoegangsbewijs? Zo nee, waarom niet? Zo ja, waarom bent u dan niet bereid om dit probleem op te lossen?

Zie antwoord vraag 1.
Vraag 3

Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van mij, over het bericht «Fraudeurs houden toch groen vinkje»?2

Ja.
Vraag 4

Waarom is het, zoals wordt vermeld in uw antwoorden, blijkbaar wel mogelijk QR-codes te blokkeren als gevolg van fraude met het online verspreiden van QR-codes van coronatoegangsbewijzen waarmee andere personen deze QR-codes kunnen gebruiken om toegang te krijgen, maar is het niet mogelijk om QR-codes te blokkeren van mensen die positief zijn getest?

Onlangs is gebleken dat CTB’s en buitenlandse DCC’s worden gekopieerd en via het internet beschikbaar worden gesteld om door anderen te worden gebruikt voor binnenlandse toegang. Dit gebeurt vooral met bewijzen die op papier zijn uitgegeven. Deze QR-code is statisch, anders dan een QR-code die in de CoronaCheck-app wordt gemaakt en elke minuut wordt ververst. Zodra wordt geconstateerd dat een CTB of DCC met anderen wordt gedeeld, kan deze worden geblokkeerd. Gedupeerden van fraude of misbruik kunnen op de gebruikelijke wijze een nieuw CTB aanmaken en daarmee opnieuw toegang verkrijgen tot activiteiten en voorzieningen.
Omdat voor zover het gaat om papieren QR-codes, de codes van mensen die positief getest zijn niet door hen of anderen gepubliceerd zijn, kunnen deze niet op dezelfde wijze worden geblokkeerd.
Vraag 5

Wat zijn de verschillen in de apps voor coronatoegangsbewijzen in Nederland en België, aangezien het in België wel mogelijk is om de QR-code van een positief geteste persoon tijdelijk te blokkeren? Welke andere landen kunnen QR-codes van positief geteste personen tijdelijk blokkeren?

In een Nederlands CTB zijn – zoals toegelicht in het antwoord op vraag 1 en 2 – nauwelijks gegevens opgenomen, waardoor het intrekken of ongeldig maken van de QR-code in de CoronaCheck app op dit moment onmogelijk is. Dit in tegenstelling tot de internationale QR-code die meer gegevens bevat. Het is aan een land zelf om te bepalen of en hoe invulling wordt gegeven aan coronabewijzen voor binnenlands gebruik. In sommige Europese landen zoals België wordt alleen gebruik gemaakt van het DCC, in andere landen is een eigen CTB-equivalent ontwikkeld. Hierdoor kan het zijn dat de QR-code in een ander land – zoals België – door andere ontwerpkeuzes wel herleidbaar is naar een specifiek persoon en dus kan worden ingetrokken door deze op een lijst te plaatsen. De Belgische Gegevensbeschermingsautoriteit doet nu onderzoek naar een mogelijk datalek bij een versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Uit navraag begin oktober is bekend dat het op dit moment in Letland, Frankrijk, België en Liechtenstein mogelijk is om vaccinatiebewijzen tijdelijk in te trekken in het geval van een positief testresultaat.
Vraag 6

Wat is er nodig om QR-codes van positief geteste personen alsnog tijdelijk te kunnen blokkeren?

Zie het antwoord op vraag 2.
Vraag 7

Bent u bereid om alsnog de QR-code te blokkeren van mensen die positief getest zijn op het coronavirus? Zo nee, waarom niet?

Zie antwoord vraag 6.
Vraag 8

In hoeverre is het strafbaar om met een onterecht coronatoegangsbewijs en dus met een positieve coronatest naar activiteiten toe te gaan waar een coronatoegangsbewijs nodig is?

Wanneer iemand, ondanks een positieve coronatest, een legaal CTB gebruikt om toegang te krijgen tot een CTB-plichtige activiteit, dan is dat in de eerste plaats zeer onverantwoordelijk handelen van deze persoon. Dergelijk onverantwoordelijk handelen kan een gevaar vormen voor anderen en kan afhankelijk van de specifieke omstandigheden in sommige gevallen mogelijk als strafbaar worden beschouwd.
Vraag 9

Welk gezondheidsadvies krijgen mensen die positief getest zijn op het coronavirus, maar ook gevaccineerd zijn? Wordt bij een positief getest persoon gemeld dat het tijdelijk niet bedoeling is dat een verkregen QR-code gebruikt wordt?

Vanaf het begin van de coronapandemie is het dringende advies om bij klachten thuis te blijven, je te laten testen en als je weet dat je corona hebt in quarantaine te gaan. Dit wordt op alle mogelijke manieren uitgedragen. Als je gevaccineerd bent en klachten hebt of positief bent getest, geldt dit ook. Wanneer iemand positief test, dan neemt de GGD contact met diegene op voor het bron- en contactonderzoek. De medewerker van de GGD zal tijdens dit gesprek de informatie verschaffen die is opgesteld door het landelijk centrum infectieziektebestrijding (LCI) van het RIVM.6

20 oktober 2021 - 11 november 2021

22 dagen

Het bericht ‘Onderzoek: riolen en bruggen kwetsbaar voor hackers.’
	Rudmer Heerema (VVD), Queeny Rajkowski (VVD), Peter de Groot (VVD)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Barbara Visser (minister infrastructuur en waterstaat) (VVD)

Bronnen

1. Onderzoek: riolen en bruggen kwetsbaar voor hackers (fd.nl)

Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.
Vraag 2

Bent u bekend met het onderzoek van Binnenlands Bestuur en AG Connect naar de kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd? Zo ja, hoe beoordeelt u de bevinding dat deze controlesystemen kwetsbaar zijn voor hackers?

Ja. De beveiliging van dergelijke systemen vereist een andere aanpak dan reguliere IT-systemen. Dit komt door de specifieke risico’s die samenhangen met het toepassingsgebied. Deze systemen hebben een langere levensduur en zijn complexer. Juist daarom is er de laatste jaren extra aandacht voor de beveiliging van operationele technologie, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector». Zie ook het antwoord bij vraag 6.
Vraag 3

Hoe vaak is het in de afgelopen twee jaar binnen Rijkswaterstaat of ProRail voorgekomen dat een succesvolle aanval is gepleegd op de systemen van bediening, besturing en bewaking? Welke maatregelen zijn binnen het Chief Information Security Officer (CISO) domein genomen om inbreuk op vitale systemen in de toekomst te voorkomen?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum (NCSC). Er zijn de afgelopen twee jaar geen Wbni-meldingen gedaan door Rijkswaterstaat (RWS). RWS investeert actief in de verbetering van de digitale beveiliging. Zowel via het RWS versterkingsprogramma als ook via het jaarlijkse informatiebeveiligingsbeeld vanuit het CISO-domein worden diverse acties opgesteld en uitgevoerd ten behoeve van de (digitale) veiligheid, zoals uitvoeren van cybertesten als onderdeel van functionele inspectietesten en het oefenen van planvorming tijdens een cybercrisis ProRail heeft systemen voor de besturing van bruggen, tunnels en beveiliging op het spoor. Deze worden (deels) op afstand bestuurd vanuit de Verkeersleiding-posten. Er zijn geen succesvolle (cyber)aanvallen uitgevoerd. Op de essentiële systemen is een zwaar cybersecurity regime van toepassing. Dit regime wordt met regelmaat door externe onderzoeksbureaus getoetst op betrouwbaarheid en werking.
Vraag 4

Klopt het dat de kwetsbaarheden in de controlesystemen onder meer worden veroorzaakt door de afwezigheid van beveiligingsupdates en het gebruik van verouderde besturingssystemen? Zo ja, hoe beoordeelt u dit beleid, zijn hierover afspraken gemaakt met de aanbieders van de besturingssystemen en wat zijn de kosten hiervan op jaarlijkse basis? Deelt u de mening dat een gebrek aan adequate beveiliging van dergelijke systemen kan leiden tot aanzienlijke (nationale) veiligheidsrisico’s met mogelijk ontwrichtende gevolgen?

De door u genoemde kwetsbaarheden die bij Industriële Controle Systemen (ICS) kunnen ontstaan, kunnen vooral benut worden door hackers indien er koppelingen zijn met het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Risico’s van controle-systemen zijn in het algemeen systeem-, organisatie-, locatie- en tijd specifiek en hangen samen met beveiligingsmaatregelen die door de organisatie zijn getroffen.
Ons beleid is erop gericht organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen dat er maatregelen worden genomen om deze nationale risico’s zoveel mogelijk te verkleinen. Het programma «Versterken Cyberweerbaarheid in de Watersector» levert hier een belangrijke bijdrage aan. De uitvoering van het programma wordt bekostigd uit het IenW-budget van de Nationale Cyber Security Agenda (NCSA). Zie voor de inzet van regelgeving ook vraag 6.
Vraag 5

Klopt het dat een goedwillende hacker op afstand het rioleringssysteem van een grote gemeente kon overnemen, dit vervolgens meldde bij de betreffende gemeente, maar het vervolgens maanden duurde voor de benodigde update werd uitgevoerd? Zo ja, hoe beoordeelt u deze gang van zaken? Bent u het eens dat, gezien de aanzienlijke veiligheidsrisico’s van kwetsbaarheden in het systeem, snelheid hier geboden is?

Uit navraag blijkt geen nadere informatie beschikbaar over een casus van een goedwillende hacker die het rioleringssysteem van een grote gemeente kon overnemen.
Voor de aanpak van de veiligheidsrisico’s die volgen uit kwetsbaarheden in een systeem, zie de beantwoording van vraag 4, 6, 7 en 9.
Vraag 6

Kunt u toelichten welk beleid wordt gevoerd ten aanzien van beveiligingsproblemen en in het bijzonder van het updaten van software van industriële besturingssystemen? Zo ja, welke problemen worden hier ondervonden en wordt in samenwerking met experts gezocht naar oplossingen voor deze problemen? Zo nee, waarom niet?

Op 1 juli j.l. is voor alle Aanbieders van Essentiele Diensten (AED’s) binnen het IenW-domein de Regeling beveiliging netwerk- en informatiesystemen IenW (MR)2 in werking getreden om de AED’s meer handvatten te bieden bij de uitvoering van hun zorgplicht, waaronder maatregelen op het gebied van detectie en respons en patchmanagement. Met deze MR wordt ook de ILT in staat gesteld hier goed toezicht op te houden. Het Nationaal Cybersecurity Centrum (NCSC) heeft voor het adequaat patchen van industriële besturingssystemen diverse handreikingen opgesteld 3. Daarnaast wordt er regelmatig door het NCSC en de diverse ministeries, samen met leveranciers gesproken over (de noodzaak van) goed patchmanagement. Hierbij wordt samen gewerkt in diverse initiatieven4, bijvoorbeeld in de Cybersecurity Alliantie.
Al deze maatregelen tezamen borgen dat de betreffende organisaties weerbaarder zijn bij cyberrisico’s: ze hebben inzicht in de mate waarop de maatregelen doeltreffend zijn, de risico’s kunnen beter beheerst worden en ze zijn in staat voortdurend bij te sturen.
Vraag 7

Welke veiligheidseisen worden gesteld bij de inkoop van software en hardware voor industriële besturingssystemen? Wordt een risicoanalyse uitgevoerd bij de aankoop van de betreffende software en wordt regelmatig getest of beiden voldoen aan de dan geldende veiligheidseisen? Zo ja, wat wordt gedaan met de uitkomsten van de risicoanalyses? Zo nee, waarom niet?

Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoop-contracten en afspraken maken over de naleving van die contracteisen. Het uitvoeren van risicoanalyses en testen is hier onderdeel van. De aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding is eind 2018 geïmplementeerd door de rijksoverheid. Hiermee is het staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.
Vraag 8

Wat is de huidige stand van zaken van het uitvoeren van de aanbevelingen die de Algemene Rekenkamer in 2019 heeft gedaan ten aanzien van de cyberbeveiliging van waterwerken? Welke aanbevelingen zijn reeds overgenomen en uitgevoerd en welke nog niet?

Sinds het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring» uit 2019 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Ik heb uw kamer hierover geïnformeerd in 20205 en onlangs over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector» op 2 juni 20216. Sindsdien zijn de maatregelen voor procesautomatisering in de «Cybersecurity Implementatie Richtlijn Objecten» waarmee deze op bredere schaal kunnen worden toegepast. Een andere prioritaire maatregel betreft de aansluiting van extra objecten op het Security Operations Centre (SOC)7 van RWS. Het betreft daarbij objecten, zoals bijvoorbeeld bruggen en sluizen,van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). Hiermee kunnen kwetsbaarheden eerder gesignaleerd worden en kan er adequaat actie worden genomen om deze te verhelpen.
Vraag 9

In hoeverre worden dreigingsbeelden ingezet en praktisch doorvertaald naar de bescherming van industriële besturingssystemen en in het bijzonder individuele vitale objecten zoals waterkeringen en sluizen?

Dreigingsbeelden worden gedeeld door de veiligheidsdiensten met de betreffende bedrijven en instellingen. Deze maken zelf een doorvertaling naar de systemen in eigen beheer en de organisatie specifieke impact. Vanuit onze beleidsverantwoordelijkheid bieden wij hierbij ondersteuning. Organisaties zijn zelf verantwoordelijk om de juiste maatregelen te implementeren. Waar het aanbieders van essentiële diensten (AED’s) betreft, zien de toezichthouders hierop toe.
Vraag 10

Bent u het eens dat bij het keren en beheren van water de fysieke veiligheid van miljoenen Nederlanders op het spel staat? Zo ja, bent u het dan ook eens dat het niveau van cybersecurity van systemen die rioleringen, bruggen en sluizen aansturen aanzienlijk hoger moet liggen dan nu het geval is? Zo ja, bent u bereid maatregelen te treffen om dit niveau te verhogen? Zo ja, welke? Zo nee, waarom niet?

Ja, ik deel uw mening dat het keren en beheren van water cruciaal is voor de bescherming van Nederland. Daarom is «keren en beheren van de waterkwantiteit» een vitaal proces in categorie A (infrastructuur die bij verstoring, aantasting of uitval ernstige gevolgen heeft op economisch, fysiek of sociaal-maatschappelijk vlak met mogelijke cascade gevolgen). Er wordt hard gewerkt aan het verhogen van het niveau van cyberweerbaarheid van vitale objecten binnen dit proces en deze vallen ook onder de Wbni, zie ook mijn antwoord onder vraag 8.
Verder heb ik vanuit mijn systeemverantwoordelijkheid aandacht voor de cybersecurity van systemen die riolering, bruggen en sluizen aansturen. Daarom werken we samen met decentrale overheden om ook hier de cyberweerbaarheid te verhogen en de Nederlandse infrastructuur blijvend te beschermen.

20 oktober 2021 - 26 november 2021

37 dagen

De Kamerbrief ‘Reactie op de motie van het lid Yesilgöz-Zegerius over een cyberverdedigingsprotocol voor gemeenten’
	Mark Strolenberg (VVD), Queeny Rajkowski (VVD)
	Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. Kamerstuk 26 643, nr. 786
2. Cybersecurity onderzoek gemeenten: nog veel werk te doen – AG Connect

Vraag 1

Hoe beoordeelt u het feit dat verschillende gemeenten zoals Hof van Twente afgelopen jaren slachtoffer zijn geworden van cyberaanvallen waarbij veel gevoelige persoonsgegevens zijn buitgemaakt?1

Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.
Vraag 2

Hoe beoordeelt u het feit dat uit onderzoek blijkt dat een groot deel van de gemeenten nog geen draaiboek (protocol) heeft in het geval van een digitale aanval? Hoe beoordeelt u het feit dat gemeenten als gevolg hiervan geen kennis en kunde in huis hebben om de benodigde stappen te zetten na een digitale aanval en om de opgelopen schade te mitigeren?2

Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.
Vraag 3

Hoe beoordeelt u het feit dat er wetenschappelijk en maatschappelijk consensus bestaat over de meerwaarde van een cyber protocol/draaiboek in het geval van een digitale aanval waarbij handelingsperspectief kan worden geboden aan organisaties en digitale aanvallen sneller kunnen worden verholpen?

Zie antwoord vraag 2.
Vraag 4

Bent u het met ons eens dat digitale aanvallen nooit honderd procent voorkomen kunnen worden, maar dat het hebben van een cyber protocol/draaiboek indien een aanval zich voordoet wel van essentieel belang is om gemeentes de juiste stappen te laten zetten om zo goed mogelijk om te gaan met digitale aanvallen en om de schade zoveel mogelijk te beperken? Zo ja, bent u het dan ook eens dat het hebben van een cyber protocol/draaiboek een belangrijk hulpmiddel is in het zo goed mogelijk omgaan met digitale aanvallen? Zo nee, waarom niet?

Zie antwoord vraag 2.
Vraag 5

Bent u het met ons eens dat het hebben van een cyber protocol/draaiboek als een belangrijk aanvullend instrument kan worden in gezet in een breder pakket van bestaande maatregelen tegen digitale aanvallen? Zo ja, bent u alsnog bereid om de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753) uit te voeren en dus in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) cyber protocollen/draaiboeken op te stellen om gemeentes beter voor te bereiden op digitale aanvallen? Zo nee, waarom niet?

In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.

15 oktober 2021 - 11 november 2021

27 dagen

De kwetsbaarheid van bruggen en riolen voor hackers
	Barry Madlener (PVV)
	Barbara Visser (minister infrastructuur en waterstaat) (VVD)

Bronnen

1. Het Financieele Dagblad, 14 oktober 2021, «Onderzoek: riolen en brugg…
2. AG Connect, 14 oktober 2021, «Hoe onveilige SCADA-systemen overheden …
3. Algemene Rekenkamer, 28 maart 2019, «Digitale dijkverzwaring: cyberse…

Vraag 1

Bent u op de hoogte van het gepubliceerde artikel in Het Financieele Dagblad en het onderzoek dat op 14 oktober 2021 is gepubliceerd door de vakbladen Binnenlands Bestuur en AG Connect?1, 2

Ja.
Vraag 2

Zijn er bruggen en rioleringssystemen die op dit moment kwetsbaar zijn en geen update kunnen krijgen met de laatste beveiligingsmaatregelen? Zo ja, welke zijn dit?

Bruggen en rioleringssystemen zijn veelal in beheer bij decentrale overheden. Decentrale overheden zijn zelf verantwoordelijk om op basis van risicoanalyse en risicoafweging beveiligingsmaatregelen te nemen. Ik heb geen signalen van de sector of koepelorganisaties VNG, UvW of IPO ontvangen dat Industriële Controle Systemen (ICS) van bruggen en rioleringen bij decentrale overheden op grote schaal kwetsbaar zouden zijn en dat het ontbreken van updates benodigde beveiligingsmaatregelen zou belemmeren, zie ook de beantwoording van vraag 3.
Vraag 3

Welke risico’s lopen de controlesystemen bij onder andere rioleringen, sluizen en verkeerslichten op dit moment op?

Risico’s van controlesystemen zijn in het algemeen systeem-, organisatie-, locatie- en tijdsspecifiek en hangen samen met beveiligingsmaatregelen die door een organisatie zijn getroffen. Iedere organisatie opereert binnen haar eigen organisatie-specifieke context en maakt op basis van een risicoanalyse een risicoafweging. Risico’s die bij ICS systemen kunnen ontstaan, worden vooral veroorzaakt door koppelingen aan het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Om uitval te voorkomen zijn er veelal terugval opties aanwezig, zoals bijvoorbeeld de handbediening van bruggen en sluizen.
Vraag 4

Welke acties heeft u getroffen naar aanleiding van het kritische rapport van de Algemene Rekenkamer vanaf 2019?3

Sinds publicatie van het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring: cybersecurity en vitale waterwerken» uit 20194 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. Ik heb uw Kamer in 20205 geïnformeerd over mijn inzet in deze. Op 2 juni 20216 heb ik uw Kamer geïnformeerd over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector».
RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Één van de prioritaire maatregelen betreft de aansluiting van extra objecten op het Security Operations Centre (SOC7). In 2019 zijn alle vitale objectenl aangesloten. Van de overige niet-vitale objecten zijn momenteel 12 van de 60 aangesloten. Het betreft daarbij objecten zoals bijvoorbeeld bruggen en sluizen, van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). De verwachting is dat in 2023 alle 60 objecten zijn aangesloten.
Vraag 5

Kunt u de kamer informeren over de huidige stand van zaken en wat het plan van aanpak is om onze infrastructuur te beschermen tegen hackers?

Binnen de overheid lopen er meerdere initiatieven om de vitale infrastructuur te beschermen en de digitale weerbaarheid te verhogen. Voor de stand van zaken van de Nationale Cybersecurity Agenda verwijs ik naar de beleidsreactie Cyber Security Beeld Nederland 2021 en voortgangsrapportage NCSA die op 28 juni 2021 door de Minister van Justitie en Veiligheid met uw Kamer is gedeeld8.
Samen met de drinkwaterbedrijven, waterschappen, gemeenten, provincies en Rijkswaterstaat heeft het Ministerie van Infrastructuur en Waterstaat het Programma Versterken Cyberweerbaarheid in de Watersector 2019–2022 (PVCW9) opgezet. Binnen het programma zijn vijftien projecten geformuleerd die moeten bijdragen aan de versterking van de cyberweerbaarheid in de watersector. De projecten richten zich met name op de cybersecurity van de operationele technologie. Meer informatie kunt u vinden in de eerder genoemde brief10.
Vraag 6

Bent u al in gesprek getreden met gemeenten, provincies en de waterschappen inzake de beveiligingsrisico’s?

Ja, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector» vindt regelmatig overleg plaats met en tussen de decentrale overheden en betrokken organisaties, zie ook antwoord op vraag 5.
Vraag 7

Zijn er al casussen aangetroffen waarbij er daadwerkelijk problemen zijn ontstaan in het verkeer of de waterkwaliteit doordat er een controlesysteem gehackt is geweest? Zo ja, welke casussen zijn dit?

Nee, dergelijk casussen in Nederland zijn nog mij niet bekend. De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum.
Vraag 8

Bent u bereid om bijvoorbeeld bij aanbestedingen en inkooptrajecten strengere eisen te stellen inzake beveiligingsupdates en de controle daarop?

Het is sinds de aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding in 2018 staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen. Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoopcontracten en afspraken maken over de naleving van die contracteisen. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.
Vraag 9

Waarom is er in het Deltaprogramma 2022 geen aandacht geschonken aan deze bevolkingsproblematiek?

Samenwerkingsafspraken over cybersecurity, met thema’s zoals de door u genoemde beveiligingsproblematiek, verlopen via het Bestuursakkoord Water en een apart ingericht programma voor de implementatie daarvan (zie ook antwoord op vraag 6). Op pagina 22 van het Deltafonds 202211 wordt de aanpak van cyberweerbaarheid beschreven.

7 oktober 2021 - 4 november 2021

28 dagen

Het bericht ‘Psychische problemen HAN-studenten ook op straat na grote hack’.
	Queeny Rajkowski (VVD), Hatte van der Woude (VVD)
	Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66)

Bronnen

1. RTL Nieuws, 05/10/2021; https://www.rtlnieuws.nl/nieuws/nederland/art…

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na grote hack»?1

Ja.
Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen trekken?

De HAN University of Applied Sciences (HAN) is geconfronteerd met een hack. De HAN heeft mij laten weten dat een hacker via een webformulier toegang heeft gekregen tot een server van de HAN waarop veel gegevens stonden. Van gijzelsoftware is in dit geval géén sprake. Voor een chronologisch feitenrelaas verwijs ik naar de website van de HAN, www.han.nl/datalek waar via een liveblog de ontwikkelingen in de tijd te volgen zijn. Het is van groot belang om de kennis over het ontstaan van hacks te delen met andere onderwijsinstellingen, aangezien voor een effectieve bestrijding van cyberrisico’s samenwerking en continue kennis-en informatiedeling cruciaal is. Dat is ook in dit geval gebeurd. Zie ook het antwoord op vraag 5.
Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit zijn gemaakt? Zo nee, waarom niet?

De HAN heeft mij laten weten dat de hacker toegang heeft gehad tot een omgeving waar veel persoonsgegevens beschikbaar waren en heeft op 5 oktober een overzicht van de gelekte data gepubliceerd op haar website han.nl/datalek. Dit overzicht is als bijlage toegevoegd aan een persbericht dat op dezelfde dag is verschenen. Uit het overzicht blijkt dat het in 95% van de gevallen gaat om algemene persoonsgegevens zoals adresgegevens of telefoonnummers. Van een klein percentage van de mogelijk getroffen gegevens (3%) gaat het om meer persoonlijke gegevens waaronder informatie over de reden van studievertraging of bijzondere omstandigheden waar de hogeschool rekening mee wil houden.
Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Ja. De HAN heeft zodra zij weet had van het datalek direct de AP geïnformeerd. Deze (voorlopige) melding is op 1 september door de Functionaris Gegevensbescherming van de HAN gedaan. Zodra er nieuwe ontwikkelingen waren en de voorlopige melding kon worden aangevuld is de AP daarvan steeds op de hoogte gebracht.
Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het sectorale computer emergency response team SURFcert ter (technische) ondersteuning? Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

De HAN heeft mij laten weten dat er van gijzelsoftware géén sprake is geweest (zie vraag 2). Zodra de HAN weet had van het datalek heeft de HAN op 1 september contact gezocht met SURFcert. SURFcert heeft de HAN ondersteund met het analyseren van het incident. De Indicators of Compromise (IOCs) zijn daarbij gedeeld met het SURFcert en de daarbij aangesloten instellingen.
Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?

De HAN heeft mij laten weten dat er contact is geweest met de hacker. De HAN is niet ingegaan op de eisen van het losgeld. Zodra de HAN kennis had van het datalek heeft zij direct contact gezocht met de politie en ook aangifte gedaan.
Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Voor zover bekend zijn er geen data gepubliceerd. Omdat niet bekend is welke data er exact zijn buitgemaakt heeft de HAN vanuit het oogpunt van zorgvuldigheid en voorzorg besloten om iedereen van wie mogelijk persoonsgegevens zijn buitgemaakt te informeren.
Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval tot nu heeft veroorzaakt?

Deze inschatting is vooralsnog niet te geven. De werkzaamheden bij de HAN lopen nog door. Hier zijn naast eigen medewerkers ook externe deskundigen bij betrokken.
Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?

De uitspraak van de hacker is opgetekend door een journalist. Ik kan daarover niet oordelen. De HAN heeft in haar bedrijfsvoering veel aandacht voor IT veiligheid. Dat blijkt onder andere uit de aanwezigheid van diverse preventieve, detectieve, responsieve en correctieve maatregelen. Voorbeelden daarvan zijn de regelmatige uitvoering van penetratietesten o.a. door ethical hackers, de aansluiting op de Security Operations Center oplossing geboden door het SURFsoc en de aanwezigheid van offline back-up faciliteiten. Daarnaast wordt met enige regelmaat het bewustzijn van medewerkers en studenten rond informatiebeveiliging verhoogd middels campagnes. Ook is deelgenomen aan de landelijke OZON-oefening van SURF op 18 maart jl. Middels de planning & control cyclus wordt invulling gegeven aan de verdere groei in volwassenheid op het gebied van informatiebeveiliging, om zo in te kunnen spelen op het continu veranderde cyberdreigingslandschap waar de onderwijssector mee te maken heeft.
Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee, waarom niet?

Persoonsgegevens en bijzondere persoonsgegevens worden beschermd via de daarvoor geldende wetgeving (AVG). Dat er gegevens van medische aard betrokken zijn bij het datalek is uiteraard bijzonder te betreuren. De HAN heeft alle mogelijk getroffen personen van het datalek geïnformeerd, waarbij de personen van wie mogelijk gevoelige gegevens zijn betrokken als eerste zijn geïnformeerd. Een team van professionals heeft vanaf het moment van informeren klaargestaan om eventuele vragen te beantwoorden. Wanneer op basis van reacties het vermoeden bestaat dat er extra nazorg nodig is, worden mensen gewezen op de diverse voorzieningen die de HAN heeft op dit gebied zoals studentpsychologen. Ook monitort de HAN of de verdere opvolging wellicht bijsturing behoeft.
Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Hogescholen hebben afgelopen jaren op grond van toenemende dreiging hun aanpak geïntensiveerd. De hack bij de Universiteit Maastricht, maar ook andere incidenten, heeft de sector doen beseffen hoe belangrijk digitale veiligheid en een goede voorbereiding is. In mijn brief van 28 september jl. heb ik uiteengezet welke maatregelen de sector en ik reeds getroffen hebben en welke op stapel staan. 2
Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering in het onderwijs» beantwoorden?

Ja.

7 oktober 2021 - 10 november 2021

34 dagen

De urenlange storing bij Facebook en Instagram op 4 oktober 2021
	Laurens Dassen (Volt)
	Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66), Stef Blok (minister economische zaken) (VVD)

Vraag 1

Heeft de grootschalige storing impact gehad op de bedrijfsvoering van de Nederlandse overheid (op de verschillende lagen)? Zo ja, op welke manier? Heeft de Nederlandse overheid daarbij schade geleden?

Facebook, Whatsapp en Instagram zijn voornamelijk berichtenplatforms. Voor de rijksoverheid is de Gedragsregeling Digitale Werkomgeving van toepassing, waarin staat dat dergelijke berichtenapps alleen gebruikt mogen worden voor informele zaken, zoals een interessant artikel delen, een hulpvraag stellen of sparren met collega’s. Er is geen standaard voor berichtenapps vastgesteld, waardoor een dergelijke storing niet direct leidt tot een belemmering in de bedrijfsvoering.
Voor zover mij bekend heeft de storing niet geleid tot belemmering van de bedrijfsvoering bij gemeenten, waterschappen en provincies. Overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen, zij hanteren daarbij vergelijkbare gedragsregelingen als bij de rijksoverheid.
Vraag 2

Heeft het demissionaire kabinet berichten van Nederlandse burgers, bedrijven en organisaties gehad, die last hebben ervaren van de storing? Zo ja, hoeveel? Wat was de inhoud van deze berichten? Welk algemeen beeld kan hieruit worden afgeleid?

Er zijn op dit moment geen signalen bekend over dergelijke aan het kabinet gerichte berichten. In algemene zin kan worden gesteld dat Nederlandse burgers, bedrijven en organisaties hinder en/of ongemak zullen hebben ervaren als gevolg van deze storing, die optrad als gevolg van een menselijke fout. Het betrof immers uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger.
Hoewel het een grote communicatiestoring betrof in termen van gebruikersuren (duur uitval * getroffen gebruikers), lijkt in dit geval de maatschappelijke en economische schade in Nederland mee te vallen.
Het betrof uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger. Vanzelfsprekend zullen burgers en organisaties die meer gebruik maken van Facebook-diensten meer hinder hebben ondervonden.
Zo lijkt een deel van de gebruikers zonder grote problemen te zijn uitgeweken naar alternatieve diensten. Diverse andere sociale-media platforms en berichtendiensten gaven aan dat het gebruik van hun diensten tijdens en na de storing is toegenomen. Voor zover organisaties en bedrijven tijdelijk verminderd bereikbaar waren, is de verwachting dat dienstverlening over het algemeen op een later moment alsnog heeft kunnen plaatsvinden.
Vraag 3

Hoe is het demissionaire kabinet voornemens in de (recente) toekomst om te gaan met zulke grootschalige digitale storingen?

Het is in eerste instantie primair aan Facebook zelf om de benodigde technische en organisatorische maatregelen te treffen om een storing als deze te voorkomen, of wanneer deze zich toch voordoet, zo snel mogelijk te verhelpen.
Parallel daaraan hebben gebruikers een eigen verantwoordelijkheid om voor zichzelf na te gaan in hoeverre het voor hen verantwoord is om van één dienst of één bedrijf afhankelijk te zijn en zo nodig alternatieven te verkennen en te gebruiken.
Voor zover het de storing van de berichtendiensten WhatsApp en Facebook Messenger betreft: deze diensten zijn zogeheten nummeronafhankelijke interpersoonlijke communicatiediensten. Zij vallen daarmee onder de verbrede definitie van een elektronische communicatiedienst zoals gedefinieerd in het wetsvoorstel tot wijziging van de telecommunicatiewet ter implementatie van Richtlijn 2018/1972 (de Telecomcode) (Kamerstuk 35 865, nr. 2) zoals deze op dit moment bij uw Kamer voorligt. Dat betekent dat na inwerkingtreding van bovenvermelde wijziging van de telecommunicatiewet (TW) de aanbieders van deze diensten straks ook een meldplicht van incidenten (TW art. 11.a2) en een zorgplicht (treffen van passende beveiligingsmaatregelen onder meer om, als het gaat om dergelijke storingen, in bepaalde mate bestand te zijn tegen acties die de beschikbaarheid van de dienst in gevaar brengen, (TW art. 11.a1) opgelegd krijgen, zoals dat nu al geldt voor aanbieders van traditionele elektronische communicatiediensten als spraaktelefonie en berichtenverkeer (SMS). Agentschap Telecom is hiervoor de aangewezen toezichthouder.
Op Europees niveau wordt gewerkt aan een herziening van de richtlijn (2016/1148) ter bevordering van de beveiliging van netwerk- en informatiesystemen, NIB2. De huidige richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op grond van de huidige NIB-richtlijn is de Ierse toezichthouder exclusief bevoegd om toe te zien op Facebook-clouddiensten daar de Europese vestiging van het bedrijf in Ierland is gevestigd. Met betrekking tot het herzieningsvoorstel1 heeft de Europese Commissie voorgesteld om in deze herziening ook sociale media op te nemen. Over deze richtlijn wordt momenteel onderhandeld.
In het ECASEC2-overleg van ENISA3 en de Europese toezichthouders die toezien op de telecomveiligheid worden ook incidenten en te nemen maatregelen besproken. Dit gebeurt nu voor de meer traditionele elektronische communicatiediensten en zal naar verwachting straks ook gaan gelden voor de interpersoonlijke communicatiediensten. Hierdoor kunnen vroegtijdig trends en ontwikkelingen in incidenten worden gesignaleerd. Dat kan er bijvoorbeeld toe leiden dat de toezichthouders bij het uitoefenen van het toezicht op de zorgplicht extra aandacht gaan besteden aan de bepaalde oorzaken van incidenten. ENISA publiceert jaarlijks4 de grote incidenten die nationale toezichthouders doormelden aan ENISA.
Ter voorbereiding op een digitale crisis is er het Nationaal Crisisplan Digitaal.5 Het plan is een leidraad om op hoofdlijnen snel inzicht en overzicht te krijgen in de bestaande afspraken op nationaal niveau over de beheersing van incidenten in het digitale domein met aanzienlijke maatschappelijke gevolgen. Het plan sluit daarmee aan op het Nationaal Handboek Crisisbesluitvorming. In dit geval is er geen aanleiding geweest om op te schalen binnen de nationale crisisstructuur.
Vraag 4

Is het demissionaire kabinet voornemens tijdens de Europese wetgevingsonderhandelingen inzake de Digital Services Act, de Digital Markets Act en de Artificial-Intelligence-verordeningen, en direct al bij de komende Europese top, het belang van het vernieuwen en updaten van de Border Gateway Protocol aan te kaarten? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom niet?

Deze casus heeft geen invloed op de Nederlandse positie in de onderhandelingen aangaande de Europese wetsvoorstellen voor een Digital Services Act, een Digital Markets Act en een AI Act, omdat de casus buiten de reikwijdtes van deze voorstellen valt. Wel ziet het kabinet het belang van het doorontwikkelen van internetstandaarden zoals het Border Gateway Protocol (BGP).
Facebook heeft na afloop van de storing verklaard dat deze veroorzaakt is door een menselijke fout in de BGP-configuratie van het Facebook-netwerk die niet tijdig is opgemerkt.6 Het BGP is het belangrijkste routeringsprotocol van het internet. Het zorgt ervoor dat zogenaamde Autonome Systemen (AS) elkaar kunnen vinden op het internet. Het BGP zorgt voor de koppeling tussen verschillende AS-netwerken. In dit geval heeft Facebook, door een interne (menselijke) fout, abusievelijk alle routes tussen haar netwerk en de rest van het wereldwijde Internet opgeheven, waardoor de Facebook-servers voor de rest van het Internet niet meer bereikbaar waren. Het BGP-protocol heeft in deze correct gefunctioneerd.
Het BGP wordt ontwikkeld onder de vlag van de Internet Engineering Task Force (IETF). De doorontwikkeling van een dergelijke essentiële standaard is complex en vereist een wereldwijde consensus tussen betrokken en deskundige partijen. De IETF is een grote, open, internationale gemeenschap van netwerkontwerpers, -operators, -leveranciers en -onderzoekers die zich bezighoudt met de evolutie van de internetarchitectuur en de soepele werking van het internet. Om bij deze casus te blijven, ook Facebook neemt deel aan de IETF. Nederland staat voor het multi-stakeholder model van internet governance, waarvan de IETF een goed voorbeeld is. Het kabinet ziet naar aanleiding van deze casus geen noodzaak de werkwijze van de IETF ter discussie stellen.
Wel laat ik de ontwikkelingen rond dergelijke standaardisatievraagstukken volgen en duiden. Agentschap Telecom voert daartoe op dit moment een onderzoek uit naar de belangrijkste vraagstukken rond technische internetstandaardisatie.
Vraag 5

Deelt het demissionaire kabinet de mening dat dit incident wederom aantoont hoe groot de afhankelijkheid van slechts enkele tech-grootmachten op dit moment is en dat deze buitenproportionele afhankelijkheid, middels Europese wetgeving, noodzakelijkerwijs en spoedig ingeperkt dient te worden ter bescherming van Europese burgers en bedrijfsleven? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom deelt het demissionaire kabinet deze mening niet?

Het kabinet heeft al een tijd zorgen over de afhankelijkheid van een aantal grote platforms waar ondernemers en consumenten nauwelijks meer omheen kunnen. Vandaar dat het kabinet sinds 2019 pleit voor aanvullende regelgeving om met de macht van deze poortwachters om te gaan (Kamerstuk 27 879, nr. 71 en Kamerstuk 35 134, nr. 13). Dit heeft zijn vruchten afgeworpen. De Europese Commissie heeft in december 2020 een voorstel gedaan voor de Digital Markets Act (DMA) waarmee zij dit soort problematiek wil aanpakken. Dit voorstel is voor een groot deel in lijn met de Nederlandse inzet voor de DMA, die in februari per BNC-fiche naar uw Kamer is verzonden (Kamerstuk 22 112, nr. 3049). Ook is deze inzet tijdens de Technische Briefing over de DMA met de Commissie Digitale Zaken van eind september toegelicht. De onderhandelingen in de Raad over het voorstel lopen in een ambitieus tempo door. Er wordt gestreefd naar het aannemen van een algemene oriëntatie in de Raad voor Concurrentievermogen eind november.
Vraag 6

Welke maatregelen gaat het demissionaire kabinet treffen naar aanleiding van de grootschalige storing?

In de beantwoording van vragen 3, 4 en 5 is de inzet van het kabinet uiteengezet.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

562 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

14 januari 2022 - 23 februari 2022

40 dagen

Sylvana Simons (BIJ1)

Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

24 december 2021 - 10 maart 2022

76 dagen

Inge van Dijk (CDA)

Stef Blok (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

24 december 2021 - 16 februari 2022

54 dagen

Eva van Esch (PvdD), Lammert van Raan (PvdD)

Kajsa Ollongren (minister defensie) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Stef Blok (VVD), Raymond Knops (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

Vraag 13

Vraag 14

Vraag 15

Vraag 16

Vraag 17

Vraag 18

Vraag 19

Vraag 20

Vraag 21

Vraag 22

Vraag 23

Vraag 24

Vraag 25

Vraag 26

Vraag 27

Vraag 28

Vraag 29

Vraag 30

Vraag 31

Vraag 32

Vraag 33

Vraag 34

Vraag 35

Vraag 36

Vraag 37

Vraag 38

22 december 2021 - 11 maart 2022

79 dagen