Kamervragen
100 kamervragen gevonden
beantwoord onbeantwoord uitgesteld
Alle
25 juli 2022 - 26 september 2022
63 dagen
De brief ‘Aankondiging van maatregelen ter voorkoming identiteitsfraude’. |
|
Queeny Rajkowski (VVD), Ingrid Michon (VVD) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
Bronnen
-
Vraag 1
Hoeveel gevallen zijn bekend waarbij onrechtmatige identiteitsbewijzen zijn uitgegeven?1
In mijn brief van 8 juli «Aankondiging van maatregelen ter voorkoming van identiteitsfraude» geef ik aan dat er tientallen gevallen van onrechtmatig verkregen identiteitsbewijzen zijn onderkend en het vermoeden is dat dit aantal waarschijnlijk nog zal oplopen.3
-
Vraag 2
Van hoeveel ambtenaren is bekend c.q. bestaat het vermoeden dat ze onrechtmatige identiteitsbewijzen hebben uitgegeven? Loopt er een strafrechtelijk onderzoek naar al deze ambtenaren?
Op dit moment lopen er strafrechtelijke onderzoeken naar het valselijk opmaken en uitgeven van paspoorten. Over deze onderzoeken kan ik geen nadere informatie verstrekken.
-
Vraag 3
Is bekend wat de beweegredenen zijn van ambtenaren die onrechtmatige identiteitsbewijzen hebben uitgegeven? Zo ja, wat zijn de beweegredenen?
Het Openbaar Ministerie geeft aan dat een mogelijke beweegreden geldbejag is. Gebleken is dat criminelen bereid zijn te betalen voor een valselijk opgemaakt paspoort op naam van een ander persoon. Hiermee kunnen zij reizen en transacties uitvoeren terwijl zij onder de radar blijven.
-
Vraag 4
Welk strafbaar feit wordt ten laste gelegd aan de ambtenaren die onrechtmatige identiteitsbewijzen hebben uitgegeven? Is dit (medeplichtigheid aan) deelname aan een criminele organisatie? Zo nee, waarom niet?
Aan welk(e) feit(en) een ambtenaar die onrechtmatige identiteitsbewijzen uitgeeft zich schuldig heeft gemaakt, kan van geval tot geval verschillen en dient uit nader strafrechtelijk onderzoek te blijken. Zo is voorstelbaar dat een ambtenaar «het valselijk opmaken van een reisdocument of identiteitsbewijs» (artikel 231 Wetboek van Strafrecht) en/of «ambtelijke corruptie» (artikel 363, Wetboek van Strafrecht) ten laste wordt gelegd.
-
Vraag 5
In welke gemeenten zijn deze onrechtmatige identiteitsbewijzen uitgegeven?
Deze vorm van corruptie beperkt zich in beginsel niet tot een enkele gemeente. Daar waar kwetsbaarheden bestaan in de aanvraag- en afgifteprocedures van paspoorten of zorgvuldigheidsprotocollen aan de balie niet goed worden gevolgd, kan hiervan misbruik worden gemaakt door kwaadwillenden.
-
Vraag 6
In hoeverre is bij de aanvraag en uitgifte van paspoorten, waarbij is afgeweken van de standaardprocedure, sprake van crimineel handelen, onwenselijk handelen of dienstverlenend handelen? Hoe wordt dit bepaald?
In het merendeel van de gevallen waarbij bij de afgifte van paspoorten is afgeweken van de standaardprocedures, gaat het om fouten/vergissingen/nalatigheden van het baliepersoneel. De achtergrond is soms onoplettendheid, snel moeten/willen zijn, maar kan ook gelegen zijn in het de burger snel en goed ten dienste willen zijn.
Het feit dat voorgeschreven procedures niet altijd juist worden gevolgd binnen een gemeente, maakt het voor corrupte ambtenaren mogelijk gebruik te maken van kwetsbaarheden in deze procedures zonder dat dit direct opvalt. Of sprake is van crimineel handelen door een gemeenteambtenaar zal moeten blijken uit alle feiten en omstandigheden van het strafrechtelijk onderzoek.
In de brief van 8 juli, heb ik toegezegd dat ik de RvIG nader onderzoek naar de procedure-afwijkingen laat doen. Ik verwacht u einde dit jaar, in de brief over de voortgang van de maatregelen nader te kunnen informeren over de uitkomsten van dit onderzoek. -
Vraag 7
Is bekend wat de echte identiteit is van diegene die een onrechtmatig identiteitsbewijs hebben verkregen? Zo ja, is ook bekend of deze personen het land zijn ontvlucht door middel van de uitgegeven onrechtmatige identiteitsbewijzen? Gaat het hier om criminelen die actief zijn binnen de georganiseerde misdaad? Zo nee, kunt u hier een toelichting op geven?
Het Openbaar Ministerie geeft aan dat in een aantal gevallen dergelijke valselijk opgemaakte paspoorten in het bezit van zware criminelen zijn aangetroffen terwijl zij – soms in het buitenland – werden aangehouden door de opsporingsautoriteiten. In die gevallen stond het paspoort op naam van een derde (al dan niet een katvanger), maar droeg wel de pasfoto van de crimineel zelf.
-
Vraag 8
Zijn de Nederlanders wier foto’s zijn gebruikt geïnformeerd over de gepleegde activiteiten? Zo ja, op welke wijze? Zo nee, waarom niet? Welke stappen zijn verder gezet om getroffen Nederlanders te ondersteunen?
Het Openbaar Ministerie geeft aan dat het niet op voorhand duidelijk is of er sprake is van katvangers of van burgers die onwetend zijn ten aanzien van het feit dat hun identiteit is misbruikt. Veelal vormt dit niet de primaire focus van het strafrechtelijk onderzoek dat zich eerder richt op de corrupte ambtenaar of de (criminele) ontvanger van het paspoort.
-
Vraag 9
Is het kabinet het ermee eens dat Nederlanders wier foto’s zijn gebruikt, bijgestaan moeten worden bij eventuele fraudegevallen? Zo ja, hoe wordt dit vormgegeven? Zo nee, waarom niet?
Als mensen vermoeden dat iemand anders gebruik maakt van een identiteitsbewijs op hun naam dan kunnen ze bij het Centraal Meldpunt Identiteitsfraude terecht voor advies en hulp. Er zijn het afgelopen half jaar geen meldingen gemaakt die wijzen op gebruik van identiteitsbewijzen door criminelen waar het hier over gaat.
-
Vraag 10
Is het kabinet het ermee eens dat ambtenaren die zich hier schuldig aan hebben gemaakt onder geen enkele omstandigheid aan de slag mogen gaan bij andere gemeentes? Zo ja, welke mogelijkheden ziet u hiervoor om dit te voorkomen? Kunt u ook ingaan op het beroepsverbod? Zo nee, waarom niet?
Gemeenten hebben zelfstandige bevoegdheden op het gebied van personeelsbeleid. Ik wil gemeenten ondersteunen om hun taken goed uit te kunnen oefenen. In de brief van 8 juli heb ik al maatregelen aanbevolen om aandacht aan de integriteit van personeel te geven. Via voorlichting zal ik de gemeenten wijzen op het belang voor hun baliemedewerkers een Verklaring Omtrent het Gedrag (VOG) aan te vragen en referenties bij vorige werkgevers op te vragen. Verder wil ik, zoals in de brief van 8 juli aangekondigd, onderzoeken of en zo ja hoe het invoeren van verplichte certificering en een bijbehorend beroepsregister mogelijk is. Ook dat kan gemeenten helpen in de selectie van hun personeel.
-
Vraag 11
Is het kabinet het ermee eens dat de «korte termijn» maatregelen die worden voorgesteld in de brief, zoals het vierogen principe, per direct moeten worden ingevoerd? Zo ja, wanneer zijn de werkprocessen aangepast? Zo nee, waarom niet?
Het vierogenprincipe houdt in dat in het aanvraag- en uitgifteproces per fase andere medewerkers worden ingezet, bijvoorbeeld voor het nemen van een besluit tot het verstrekken van een paspoort, en voor het uitreiken van het paspoort. RvIG zal, zoals in de brief is aangegeven, extra inzetten op voorlichting gericht op de adequate naleving van werkvoorschriften voor het proces van aanvraag en uitgifte van documenten en personeelsbeleid. Onderzocht wordt hoe functiescheiding, ook technisch, het beste kan worden ingezet. Niet in alle gevallen (kleine gemeenten bijvoorbeeld) is een strikte functiescheiding haalbaar.
8 juli 2022 - 12 september 2022
66 dagen
Het bericht over ‘Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten’ |
|
Judith Tielen (VVD), Queeny Rajkowski (VVD) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Kuipers |
|
|
|
|
-
Vraag 1
Bent u bekend het met artikel «Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten en het medisch beroepsgeheim van tientallen huisartsen» van 25 juni 2022 door Follow the Money?1
Ja.
-
Vraag 2
Is de casus uit dit artikel bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport? Is de casus ook bekend bij de Autoriteit Persoonsgegevens (AP)? Zo ja, sinds wanneer en op welke wijze hebben uw ministerie en de AP opvolging gegeven jegens de betrokken organisaties en huisartspraktijken?
De casus is bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), de melder heeft contact opgenomen met het Ministerie. De Beveiligingsambtenaar (BVA) van VWS heeft o.a. samen met de melder gezocht naar het geschikte loket om deze melding te doen, bv. bij een officier van justitie of het huis voor de klokkenluiders. Daarnaast is de informatie die het Ministerie van VWS ontvangen heeft, gedeeld met relevante externe partners, waaronder de Nederlandse Vereniging van Huisartsen.
De melder heeft aan de BVA van het Ministerie van VWS aangegeven zelf de melding bij de AP te hebben gedaan. Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. De AP beoordeelt of er op een juiste wijze invulling is gegeven aan de meldplicht van art. 33 en art. 34 van de Algemene verordening gegevensbescherming (AVG). -
Vraag 3
Staat deze casus op zichzelf of zijn er andere vergelijkbare situaties waarbij patiëntdossiers voor of na onderzoek ongewenst en onbeveiligd inzichtelijk zijn voor (commerciële) organisaties die daar niets mee van doen hebben?
Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. Van belang om aan te geven is dat organisaties, zoals ziekenhuizen, zelf een verantwoordingsplicht hebben om aan te tonen dat ze aan de AVG voldoen. Dit geldt ook wanneer (commerciële) organisaties (een deel van) de gegevens verwerken.
Dat deze zaak niet op zichzelf staat, kan worden opgemaakt uit de Datalekkenrapportage 2021 van de AP. De rapportage geeft aan dat van de 24.866 datalekmeldingen in 2021, 37% afkomstig was uit de sector gezondheid en welzijn.
Bij iedere melding gaat de AP na of betrokkenen zijn geïnformeerd over het datalek en of er voldoende beveiligingsmaatregelen zijn genomen om het datalek te beëindigen en nieuwe datalekken te voorkomen. Het toezicht op de meldplicht datalekken is risicogestuurd, wat betekent dat de intensiteit van het toezicht toeneemt naarmate het datalek grotere risico’s voor de betrokkenen met zich meebrengt. Ook wordt de AP periodiek geïnformeerd door brancheorganisaties NVZ (Nederlandse Vereniging van Ziekenhuizen) en NFU (Nederlandse Federatie van Universitair Medische Centra) over de implementatie, verbetering en naleving van gegevensbescherming en informatiebeveiliging normen van aangesloten ziekenhuizen. Bovendien beoogt de AP via onder andere de jaarlijkse datalekkenrapportage, maar ook de privacyverhalen op de AP website gebaseerd op echte meldingen, het bewustzijn rond de beveiliging van persoonsgegevens te vergroten. Tot slot heeft de Inspectie Gezondheid en Jeugd (IGJ) de bevoegdheid om in het geval van onvoldoende kwaliteit van zorgverlening of wanneer de kans op vermijdbare schade te groot is, door zwakke plekken in het zorgproces, in te grijpen. -
Vraag 4
Klopt het dat de in het artikel genoemde activiteiten, zoals het delen en opslaan van dossiers, niet stroken met de huidige wet- en regelgeving en daarmee illegaal zijn? Zo ja, welke vervolgstappen worden er door het Ministerie van Volksgezondheid, Welzijn en Sport en de AP genomen om de data en medische gegevens van servers te halen en ervoor te zorgen dat ongeautoriseerden niet meer bij deze hoog gevoelige data kunnen? Zo nee, welke waarborgen om de privacy van patiënten ontbreken dan in de wet- en regelgeving? Op welke wijze bent u van plan deze te repareren?
In internationale en nationale wetgeving staan regels die betrekking hebben op het beschermen van (medische) gegevens, zoals ook het opslaan en delen van medische gegevens. Zo volgt uit de AVG dat er een grondslag moet zijn voor het verwerken van persoonsgegevens en een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens, zoals gegevens over gezondheid, te verwerken. Ook bepaalt de AVG dat er passende technische en organisatorische waarborgen moeten worden getroffen, zodat de gegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit laatste is in nationale wetgeving nader ingevuld: zorgaanbieders moeten voldoen aan de informatiebeveiligingsnormen NEN 7510, NEN 7512 en NEN 7513. De AP houdt toezicht op de naleving van de AVG.
Daarnaast geldt het medisch beroepsgeheim, dat met zich mee brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Voor degenen die geen medisch beroepsgeheim hebben, maar wel beroepsmatig op de hoogte raken van behandelgegevens van de patiënt, zoal ICT-ers, geldt overigens een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde regels gelden als voor hulpverleners.
De AP heeft mij laten weten eerst te moeten vaststellen wat er in deze zaak is gebeurd voor ze kan bepalen welke vervolgstappen het meest geschikt zijn. Om deze reden heeft de AP vragen gesteld aan Medworq.
Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de software-leverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen. -
Vraag 5
Op welke wijze bent u van plan om te voorkomen dat dergelijke praktijken plaatsvinden?
De Staatssecretaris van BZK en ik betreuren dat dit heeft plaatsgevonden en zetten ons in om bijzondere persoonsgegevens goed te (blijven) beschermen. Het is primair aan zorgaanbieders zelf om te zorgen dat voldaan wordt aan de wet- en regelgeving en daar goede voorzieningen voor te treffen. Daar is goede controle op de naleving van de regels noodzakelijk.
Verder zetten wij ons op verschillende manieren in om bewustwording en verbetering van de naleving. Zo ondersteunen wij zorgaanbieders onder meer door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl). Daarnaast helpen wij zorgaanbiedersom de informatiebeveiliging en digitale weerbaarheid te verbeteren. Gezamenlijk met de zorgkoepels werken wij aan een Actieplan Informatieveilig gedrag met als doel om het bewustzijn van informatiebeveiliging in de zorg te verhogen.
Bij ICT-incidenten kunnen aangesloten zorginstellingen rekenen op hulp van Z-CERT. Deze organisatie helpt zorginstellingen bij het bestrijden van dit soort incidenten. Verder wordt met het project «toekomstbestendig maken UZI» ingezet of verbetering van de manier waarop zorgverleners en zorgaanbieders zich identificeren, authentiseren en autoriseren voor het uitwisselen van medische gegevens. Daarnaast wordt onderzocht of de toezicht- en handhavingsbevoegdheden van de IGJ van de eerder genoemde informatiebeveiligingsnormen verduidelijking behoeven. -
Vraag 6
Bent u bereid om bij de behandeling en implementatie van het wetsvoorstel Gegevensuitwisseling in de zorg (Wegiz) nogmaals nadrukkelijk aandacht te besteden aan alle benodigde waarborgen, waarschuwingen en sancties ter voorkoming en vermindering van privacyschendingen van patiëntgegevens?
Het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen verwerkingsgrondslag als bedoeld in de AVG is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.
En bij de gegevensuitwisseling dient altijd voldaan te worden aan de waarborgen die gelden op grond van die kaders. Die regelgeving moet natuurlijk goed worden toegepast. Daarom zullen wij bij de ontwikkeling van NEN-normen, waar de Wegiz naar verwijst, benadrukken dat de norm moet verzekeren dat cliënten hun rechten onder de AVG kunnen uitoefenen en informatietechnologieproducten- en diensten aan de AVG voldoen.
6 juli 2022 - 1 november 2022
118 dagen
Het bericht ‘Overheid schendt eigen regels door cookies van derden toe te laten op websites’. |
|
Queeny Rajkowski (VVD) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Overheid schendt eigen regels door cookies van derden toe te laten op websites»1?
Ja.
-
Vraag 2
Klopt het bericht dat cookies van derden op talloze websites van provincies, gemeenten en aan de overheid gelieerde organisaties te vinden zijn?
Voor een overheidswebsite gelden dezelfde vereisten voor het plaatsen van cookies als voor andere websites. De voorwaarden voor het gebruik van trackingtechnologieën, waaronder cookies, zijn opgenomen in de Europese ePrivacy richtlijn.2 In Nederland is de ePrivacy richtlijn geïmplementeerd in artikel 11.7a van de Telecommunicatiewet. De Telecommunicatiewet staat daarom ook wel bekend als de «Cookiewet». Bij het gebruik van cookies die ook persoonsgegevens verzamelen, zoals bij de tracking cookies het geval is, is ook de Algemene verordening gegevensbescherming van toepassing.
De belangrijkste vereisten voor het plaatsen van cookies zijn dat de bezoeker vrij toestemming heeft gegeven voor de gegevensverwerking en dat de bezoeker tijdig en adequaat is geïnformeerd. Technisch noodzakelijke, functionele en niet-privacy gevoelige analytische cookies hebben echter nauwelijks tot geen gevolgen voor de privacy van de bezoekers van een website. Daarom hoeft bij deze cookies geen toestemming gevraagd te worden. De Telecommunicatiewet maakt daarbij geen onderscheid tussen cookies van de aanbieder van de website en cookies afkomstig van derden.
Op de website «Mag een website ongevraagd cookies plaatsen? | Rijksoverheid.nl» wordt nadere toelichting gegeven over het gebruik van cookies. Hier wordt uiteengezet dat websites toestemming moeten vragen voor plaatsing van cookies. Daarbij geldt een uitzondering voor cookies die geen of weinig inbreuk op de privacy maken, zoals bijvoorbeeld analytische cookies of functionele cookies die nodig zijn om een dienst of webshop te laten functioneren. Voor bijvoorbeeld tracking cookies, die individueel surfgedrag bijhouden en profielen opstellen om bijvoorbeeld gerichte advertenties mogelijk te maken, is wel toestemming nodig voor het plaatsen van cookies. Dergelijke tracking cookies zijn meestal van derde partijen.
Ook op de website van zowel de Autoriteit Consument en Markt (ACM) 3 als de Autoriteit Persoonsgegevens (AP)4 wordt toelichting gegeven. Buiten deze wetgeving zijn er geen specifieke overheidsbrede en/of rijksbrede kaders of richtlijnen voor cookies op overheidswebsites. Het is de verantwoordelijkheid van iedere overheidsorganisatie die een website maakt om in lijn met de wetgeving te handelen.
Omdat ik het belangrijk vind dat de overheidswebsites voldoen aan geldende wet- en regelgeving, zal ik medeoverheden en rijksoverheidsorganisaties per brief wijzen op het belang hieraan te voldoen, en te verzoeken dit voor hun websites na te gaan. In overleg met de medeoverheden zal ik verder met hen verkennen of het wenselijk is een handreiking te ontwikkelen over hoe deze regelgeving ook voor nieuwe websites goed is te implementeren. -
Vraag 3
Zo ja, waarom gebruiken provincies, gemeenten en aan de overheid gelieerde organisaties deze cookies van derden?
Zie antwoord vraag 2.
-
Vraag 4
Aan welke cookie-eisen, met betrekking tot cookies van derden, moet een overheidswebsite voldoen?
Zie antwoord vraag 2.
-
Vraag 5
Bent u het ermee eens dat cookies van derden niet wenselijk zijn op overheids- en op aan overheid gelieerde websites? Zo ja, welke stappen gaat u ondernemen om deze cookies te weren van overheids- en aan overheid gelieerde websites? Zo nee, waarom niet?
Ik vind het belangrijk dat burgers veilig gebruik kunnen maken van de websites van de overheid, en dat hun privacy daarbij wordt verzekerd. Het plaatsen van trackingcookies door derden staat daarmee op gespannen voet. De overheid moet natuurlijk het goede voorbeeld geven. Het is daarom vanzelfsprekend en noodzakelijk dat overheidswebsites in ieder geval voldoen aan de huidige wetgeving. Daarom zal ik zoals bij het vorige antwoord aangegeven met de medeoverheden een handreiking opstellen voor het goed implementeren van de relevante wetgeving bij overheidswebsites. In het overleg over de handreiking zal ik in overleg met de overheden ook het gesprek aangaan over de wenselijkheid van het gebruik van (tracking) cookies door de overheid.
-
Vraag 6
In hoeverre acht u het mogelijk om, zoals de onderzoekers voorstellen, de inhoud die overheden nodig hebben op hun websites niet te halen van commerciële sites en media, maar van eigen publieke servers?
Zie antwoord vraag 5.
9 juni 2022 - 5 september 2022
88 dagen
Het bericht ‘Directie IT-bedrijf Centric stapt op na conflict met eigenaar Sanderink’. |
|
Queeny Rajkowski (VVD) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Directie IT-bedrijf Centric stapt op na conflict met eigenaar Sanderink»1?
Ja.
-
Vraag 2
Kan het opstappen van de complete uitvoerende directie van het IT-bedrijf Centric, de onrust en het jarenlange interne conflict gevolgen hebben voor de continuïteit van de dienstverlening aan de rijksoverheid? Zo ja, welke gevolgen kan dit hebben voor de dienstverlening? Wilt u in uw beantwoording ook gemeenten meenemen, aangezien Centric een grote leverancier is voor gemeenten? Zo nee, waarom niet?
Het volume van opdrachten van de rijksoverheid bij Centric is beperkt. Daar waar we contractuele afspraken met Centric hebben, gaan wij ervan uit dat zij zich daaraan houden. Mocht dat niet zo zijn, dan zal Centric daar door de contractpartners op moeten worden aangesproken.
Vanuit mijn ministerie is er contact geweest met Centric. In dat contact hebben we de verzekering gekregen dat vooralsnog alle contractuele afspraken uitgevoerd kunnen worden.
De VNG staat in goed contact met haar leden en de gebruikersvereniging Centric en staat beide desgevraagd met raad en daad terzijde. Uit de contacten van het bestuur van de gebruikersvereniging Centric met de directie van de divisie Public Sector Solutions van Centric blijkt niet dat de dienstverlening aan de leden en andere overheidsorganisaties op dit moment in gevaar is.
6 mei 2022 - 23 mei 2022
17 dagen
Het bericht over een mogelijk Europees patiëntendossier |
|
Queeny Rajkowski (VVD), Judith Tielen (VVD) |
|
Kuipers |
|
|
|
|
-
Vraag 1
Bent u bekend het met artikel «Brussel wil Europees patiëntendossier na «succes» QR-code» in de Telegraaf?1
Ja, daar ben ik mee bekend.
-
Vraag 2
Komt de informatie in het artikel overeen met de informatie die formeel met u is gedeeld? Op welke termijn bent u voornemens deze informatie met de Kamer te delen?
Het artikel gaat over het Europese voorstel voor een Europese ruimte voor gezondheidsgegevens. De Commissie voorstellen zijn publiek bekend gemaakt op 3 mei jl. op de website van de Commissie2 en ik heb daar kennis van genomen. De Kamer zal volgens de informatieafspraken geïnformeerd worden door het kabinet over de appreciatie van de voorstellen middels een BNC fiche.
-
Vraag 3
Is dit aangekondigde voornemen van de Europese Commissie de reden dat u verzocht heeft de parlementaire behandeling van het wetsvoorstel Wet elektronische gegevensuitwisseling in de zorg (Wegiz) uit te stellen? Zo ja, bent u het ermee eens dat het nogal voorbarig is om een vergevorderd en benodigd Nederlands wetsvoorstel te vertragen door dit ontijdige en ongewenste idee van de Europese Commissie?
Ja, de aankondiging van de Europese Commissie om op 3 mei jl. een voorstel te publiceren voor een Europese ruimte voor gezondheidsgegevens is de aanleiding voor het (tijdelijk) uitstellen van de behandeling van de Wegiz. Ik vind het namelijk belangrijk dat in de voorbereiding op de plenaire behandeling van de Wegiz ook rekening wordt gehouden met deze Europese ontwikkeling.
-
Vraag 4
Bent u het ermee eens dat een Europees patiëntendossier geen enkel urgent en groot Europees probleem oplost? Zo nee, voor welk urgent en groot Europees probleem is dit idee dan wel een oplossing? Zo ja, bent u bereid die mening zowel informeel als formeel met uw Europese collega’s te delen?
De doelstelling van het Europese voorstel is dat er rechten worden gecreëerd voor burgers zodat zij meer controle kunnen uitoefenen op het verlenen van toegang en het delen van hun eigen gezondheidsgegevens voor de verlening van zorg alsook het gebruik ervan voor wetenschappelijk onderzoek, innovatie en beleid. Om de burgers in staat te stellen deze rechten uit te oefenen dienen aan een aantal aspecten te worden voldaan. Deze aspecten worden verder uitgewerkt in de het voorstel waarin het ingaat op de beschikbaarheid van gezondheidsgegevens bij de verlening van zorg (primair gebruik), zodat de juiste zorg op de juiste plek op het juiste moment kan worden gegeven overal in de EU. Hierbij wordt uitgegaan van een federatief infrastructuur genaamd MyHealth@EU waar de data bij de bron wordt gelaten. In dit voorstel wordt niet gesproken over een Europees patiëntendossier noch over (Europese) centrale opslag.
Verder worden in het voorstel maatregelen opgenomen die erop toezien dat elektronische medische dossier systemen voldoen aan de eisen omtrent (product)veiligheid en interoperabiliteit ter bescherming van de burger maar ook zodat zij beter in staat worden gesteld om hun rechten over de controle over hun eigen gezondheidsgegevens uit te oefenen.
Daarnaast bouwt het voorstel verder op de mogelijkheden die in de AVG worden geboden voor het hergebruiken (secundair gebruik) van gezondheidsgegevens voor wetenschappelijk onderzoek, innovatie en beleid en stelt regels op die specifiek gericht zijn op de zorgsector.
De Kamer zal volgens de informatieafspraken geïnformeerd worden door het kabinet over de appreciatie van de voorstellen middels een BNC fiche. -
Vraag 5
Kunt u aangeven wat op dit moment het Europees krachtenveld is omtrent dit voorstel?
Een inschatting van het Europees krachtenveld is een integraal onderdeel van de BNC fiche welke met de Kamer zal worden gedeeld volgens de informatieafspraken.
26 april 2022 - 20 mei 2022
24 dagen
Het bericht ‘Datalek gemeente Buren’ |
|
Queeny Rajkowski (VVD) |
|
Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Datalek gemeente Buren»?1
Ja
-
Vraag 2
Klopt het bericht dat er 130 Gigabyte (GB) aan gegevens van de gemeente Buren en gemeente Neder-Betuwe is aangeboden op het darkweb? Zo ja, om wat voor gegevens gaat het? Gaat het hier ook om persoonsgegevens?
Ja, het gaat (ook) om persoonsgegevens en vertrouwelijke informatie. Zie ook: https://www.buren.nl/datalek. Ik vind het belangrijk om hierbij aan te geven dat er sprake is van datadiefstal bij de gemeente Buren en niet bij de gemeente Neder-Betuwe. Aangezien de gemeente Buren voor de gemeente Neder-Betuwe taken uitvoert in het kader van de Participatiewet zijn er mogelijk ook persoonsgegevens van een beperkt deel van de inwoners van de gemeente Neder-Betuwe gestolen.
-
Vraag 3
Kunt u delen welke criminelen deze ransomware-aanval hebben uitgevoerd? Zo ja, gaat het hier om een crimineel netwerk? Zo nee, is de politie op de hoogte gesteld van de cyberaanval?
Er is aangifte gedaan bij de Politie. Het is bekend om welke Ransomware-soort dit gaat. Het is duidelijk dat het hier gaat om een groepering die internationaal veel slachtoffers maakt. In overleg met Politie/OM en de Informatiebeveiligingsdienst van de Vereniging van Nederlandse gemeenten (VNG/IBD) deel ik de naam van de groepering niet.
-
Vraag 4
Is bekend op welke manier ransomware criminelen zijn binnengedrongen in de systemen van de gemeente Buren? Zo ja, op welke manier is de aanval verlopen? Worden andere gemeentes over deze modus operandi geïnformeerd, al dan niet via de Informatiebeveiligingsdienst (IBD)?
De gemeente Buren heeft direct na ontdekking van de Ransomware-aanval forensisch onderzoek laten opstarten door gespecialiseerde cybersecuritybedrijven. Deze bedrijven staan in nauw contact met de IBD en het Nationaal Cyber Security Centrum (NCSC). Het onderzoek is in volle gang en de resultaten zullen, zo meldt de gemeente Buren mij, in een publiek rapport beschikbaar worden gesteld.
De IBD heeft de beveiligingsfunctionarissen van Nederlandse gemeenten geïnformeerd over de Ransomware-aanval en de maatregelen die mogelijk zijn om dergelijke situaties te voorkomen. Via de IBD is ook het NCSC betrokken die, waar nodig, andere sectoren zal informeren. -
Vraag 5
Welke stappen zijn genomen voor de personen waarvan de persoonsgegevens op het darkweb staan? Bent u het ermee eens dat personen ingelicht moeten worden voor potentiele identiteitsfraude? Zo ja, is dat ook gebeurd? Zo nee, waarom niet en beoogt de gemeente dit nog te doen?
Inwoners en ondernemers en ook de medewerkers en raadsleden worden doorlopend door de gemeente Buren geïnformeerd. Waar het gaat om het beperkte deel van de inwoners in Neder-Betuwe die gebruik maken of hebben gemaakt van de Participatiewet, stemt de gemeente Buren met de gemeente Neder-Betuwe af over de wijze van inlichten.
Daar waar individuele inwoners, medewerkers of raadsleden het risico lopen op fraude als gevolg van deze datadiefstal worden zij geïnformeerd door de gemeente. Een gespecialiseerd bedrijf brengt in kaart om welke personen dit gaat. -
Vraag 6
Zijn er soortgelijke aanvallen bekend die recent bij andere gemeentes hebben plaatsgevonden? Zo ja, om welke gemeentes gaat het hier?
Eerder werden de gemeenten Lochem (2019)2 en Hof van Twente (2020)3 getroffen door een Ransomware-aanval. Daarbij was geen sprake van datadiefstal. Deze gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld.
-
Vraag 7
Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden? Welke stappen worden vanuit de rijksoverheid genomen om gemeentes cyberweerbaar te maken tegen ransomwareaanvallen en andere digitale aanvallen?
Het is niet te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. Ik kan in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch bij een gemeente, noch bij een andere organisatie in een geheel andere sector.
Er is nauw contact met de VNG/IBD om te zien of en welke extra ondersteuning vanuit de rijksoverheid nodig is. Ik verwijs in dat verband naar de beantwoording op schriftelijke vragen van de leden Rajkowski en Strolenberg4, waar mijn ambtsvoorganger Knops een aantal acties heeft uitgelicht, zoals de overheidsbrede cyberoefening en het beschikbaar stellen van lessons learned van incidenten. Ik merk verder op dat de VNG en de IBD ook zelfstandig stappen neemt. Zoals in de beantwoording destijds is aangegeven is informatiebeveiliging een gezamenlijke verantwoordelijkheid die om een gezamenlijke aanpak vraagt. -
Vraag 8
Zijn er lessen te trekken uit de aanpak van de gemeente Buren nadat bekend werd dat een ransomware-aanval is uitgevoerd? Zo ja, welke lessen kunnen hieruit getrokken worden?
De gemeente Buren meldt mij dat voor dit doel een publieke onderzoeksrapportage en een evaluatie beschikbaar zullen komen. Beide zijn er nog niet. Het is daarom nu nog te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren kunnen worden getrokken.
-
Vraag 9
In de beantwoording van eerdere schriftelijke vragen van de leden Rajkowski en Strolenberg (Aanhangsel Handelingen II, vergaderjaar 2021–2022, nr. 887) is te lezen dat gemeentes geholpen worden met een ondersteuningspakket van de IBD voor de processen en maatregelen uit de Baseline informatiebeveiliging Overheid (BIO) met de hoogste prioriteit, in welke mate zijn de kaders en richtlijnen van dit ondersteuningspakket geïmplementeerd bij de gemeente Buren? Wordt bovengenoemd ondersteuningspakket nu als voldoende geacht voor het verhogen van de digitale weerbarheid van gemeentes? Zo nee, waarom niet? Bent u het ermee eens dat het hebben van een cyberverdedigingsprotocol handelingsperspectief biedt voor gemeentes en daarmee een goede aanvulling kan zijn voor het instrumentarium van gemeentes om zo goed mogelijk om te gaan met cyberaanvallen en de schade zo beperkt mogelijk te houden? Zo ja, hoe staat het met de uitvoering van de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753)? Maken gemeentes hier al gebruik van? Zo ja welke? Zo nee, waarom niet?
In de reactiebrief5 van mijn ambtsvoorganger op de motie Yesilgöz-Zegerius6 en de eerdergenoemde beantwoording op Kamervragen van de leden Rajkowski en Strolenberg is aangegeven hoe mijn ambtsvoorganger uitvoering heeft gegeven aan de motie.
Ik herhaal hier kort wat mijn ambtsvoorganger in zijn reactiebrief heeft gesteld en waar ik mij bij aansluit. In het beleid wordt niet ingezet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik heb aangegeven in de beantwoording van genoemde Kamervragen, stelt de Baseline Informatiebeveiliging Overheid (BIO) eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
De gemeente Buren houdt zich aan de BIO en laat onderzoek doen hoe dit incident heeft kunnen gebeuren; ik gaf dit al aan in mijn antwoord op de vorige vraag. Ik hecht eraan te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten. Ook merk ik op dat het college van burgemeester en Wethouders hierover primair verantwoording zal afleggen aan de gemeenteraad.
Uit het onderzoek en de evaluatie moet blijken hoe een dergelijk incident in de toekomst kan worden voorkomen. Dan zal ik ook bezien of het nodig is dat ik aanvullende maatregelen tref.
14 april 2022 - 4 mei 2022
20 dagen
Het bericht ‘Oekraïense centrales slaan cyberaanval af’. |
|
Queeny Rajkowski (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Oekraïense centrales slaan cyberaanval af»?1?
Ja.
-
Vraag 2
Klopt het bericht dat Russische hackers een mislukte aanval op Oekraïense energiecentrales hebben uitgevoerd?
In publieke berichtgeving van het Oekraïense «Computer Emergency Response Team» (CERT-UA) en het beveiligingsbedrijf ESET wordt dit beeld geschetst.2 3 Hoewel dit zeer voorstelbaar is, is technische attributie complex en kan het bericht daarom niet met zekerheid door het kabinet worden bevestigd.
-
Vraag 3
Wat is bij u bekend over de nieuwste malware vorm «Industroyer» en de aan Russische veiligheidsdiensten gelieerde groep «Sandworm»? Is bekend welke veiligheidsmaatregelen moeten worden genomen tegen deze nieuwe malware? Zo ja, worden hier al stappen voor gezet? Zo nee, waarom niet?
Industroyer is kwaadaardige software die in 2016 is ingezet in Oekraïne om een gedeelte van de elektriciteitsvoorziening uit te schakelen. Het recent gebruikte Industroyer2 is een nieuwe variant van deze malware.
De digitale aanval wordt door beveiligingsbedrijf ESET en CERT-UA met een hoge mate van zekerheid toegeschreven aan de Sandworm-groep. Deze groep wordt door Amerikaanse en Britse overheidsinstanties geacht gelieerd te zijn aan de Russische militaire inlichtingendienst de GRU en is door de EU in 2020 op de cybersanctielijst gezet.4 In Nederland doen inlichtingen- en veiligheidsdiensten onderzoek naar statelijke actoren. Over dergelijke inlichtingenonderzoeken wordt doorgaans niet publiekelijk gecommuniceerd.
De Industroyer2-malware is specifiek geconfigureerd om een Oekraïense energieleverancier aan te vallen. Aanvullend handelingsperspectief tegen deze malware is niet bekend, omdat de genomen maatregelen niet van toepassing zullen zijn op andere organisaties vanwege deze specifieke configuratie. Het Nationaal Cyber Security Centrum (NCSC) adviseert in algemene zin waakzaam te blijven en de basismaatregelen te treffen die op de website van het NCSC zijn gepubliceerd.5 -
Vraag 4
Is de gebruikte malware «Industroyer» ook al gebruikt als cyberaanval op Nederlandse organisaties? Zo ja, waar is deze malware gebruikt? Zo nee, verwacht u cyberaanvallen met de malware «Industroyer» op Nederlandse organisaties in de nabije toekomst?
Op dit moment zijn er bij het NCSC geen aanwijzingen van de inzet van een van de varianten van Industroyer in een cyberaanval op Nederlandse organisaties.
Toekomstige aanvallen en eventuele gevolgen daarvan voor Nederland kunnen echter niet worden uitgesloten. Daarom is het belangrijk dat ook Nederlandse organisaties waakzaam en alert blijven en zich voorbereiden op een mogelijk incident. -
Vraag 5
Is er verhoogde paraatheid bij onze vitale aanbieders om een eventuele (indirecte) aanval met Industroyer af te wenden? Zo nee, waarom niet?
Ja. Het NCSC staat mede met oog op deze casus, samen met veiligheidspartners (onder andere met cybersecuritybedrijven en via de Cyber Intel/Info Cel), in nauw contact met vitale aanbieders in de energiesector.6 Op 13 april jongstleden heeft het NCSC relevante vitale aanbieders geïnformeerd over Industroyer2. Vanwege de eerdere variant van Industroyer uit 2016 heeft dit type malware al langer de aandacht van het NCSC.
-
Vraag 6
Zijn er sinds de oorlog in Oekraïne al voorbeelden waarbij Russische hackers grootschalige cyberaanvallen uitvoeren op Nederlandse vitale bedrijven? Zo ja, hoe zijn deze cyberaanvallen verlopen? Zo nee, hoe groot acht u de kans dat deze bedrijven binnen korte tijd getroffen zullen worden door een grootschalige Russische cyberaanval?
Op basis van de huidige beschikbare informatie, kan geconcludeerd worden dat er vooralsnog geen grootschalige Russische cyberaanvallen op Nederlandse vitale bedrijven zijn uitgevoerd. Het NCSC houdt de situatie sinds de oorlog en de aanloop daarnaartoe nauwlettend in de gaten en heeft intensief contact met de inlichtingen- en veiligheidsdiensten.
Wel is het voorstelbaar dat Nederlandse belangen direct of indirect geschaad kunnen worden door digitale activiteiten omtrent de oorlog in Oekraïne. Het NCSC is dan ook waakzaam op eventuele veranderingen in de digitale dreiging richting Nederlandse belangen. -
Vraag 7
In hoeverre worden Nederlandse bedrijven voorbereid op grootschalige Russische cyberaanvallen door de rijksoverheid?
De verantwoordelijkheid om beschermende maatregelen te nemen is primair de verantwoordelijkheid van de bedrijven die het betreft zelf. De overheid heeft echter ook tot taak bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
Om de risico’s in de samenleving te beperken is er de afgelopen weken door het NCSC en het Digital Trust Center (DTC) extra aandacht gevraagd voor het belang van cyberweerbaarheid en waakzaamheid. Het NCSC voorziet daartoe in verschillende algemene producten en houdt een informatiepagina bij op de eigen website. Het DTC heeft op verschillende momenten partners en doelgroeporganisaties opgeroepen waakzaam te zijn, waarbij de nadruk wordt gelegd op het treffen van preventieve maatregelen.
Zo hebben het DTC en het NCSC op 9 maart gezamenlijk een online informatiesessie verzorgd met als titel «Huidig beeld en digitale impact van de oorlog in Oekraïne». Dit webinar was toegankelijk voor alle organisaties in Nederland en kan worden teruggekeken op het YouTube-kanaal van het DTC.7 Deze informatiesessie is door ongeveer 4.000 bezoekers bekeken.
Ook het «Cyber Security Incident Response Team» voor digitale dienstverleners (CSIRT-DSP) verstrekt een wekelijks overzicht van (internationaal) cybersecurity nieuws gerelateerd aan de oorlog in Oekraïne aan digitale dienstverleners en monitort de situatie nauwlettend voor een actueel dreigingsbeeld voor digitale dienstverleners in Nederland.
Uit een recente sterke toename van het aantal bezoeken aan de Basisscan Cyberweerbaarheid lijkt de oproep tot verhoogde cyberweerbaarheid en waakzaamheid weerklank te vinden.8 -
Vraag 8
In hoeverre zijn kleinere bedrijven voldoende beschermd tegen cyberaanvallen vanuit Rusland? Wat is de status van de aangenomen motie Hermans c.s. (Kamerstuk 35 788, nr. 120) om ondernemers beter te beschermen tegen digitale aanvallen en dreigingen?
Ook hiervoor geldt dat de verantwoordelijkheid om beschermende maatregelen te nemen primair de verantwoordelijkheid is van de bedrijven zelf, en dat de overheid desalniettemin de taak heeft om bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
Naast de activiteiten uiteengezet in antwoord op vraag 7 publiceert het DTC sinds 2018 informatie over digitale dreigingen gericht op het Nederlandse bedrijfsleven. De vijf basisprincipes van veilig digitaal ondernemen zijn opgesteld om aanvallers, ongeacht de oorsprong, buiten de deur te houden. Daarnaast informeert het DTC sinds de zomer van 2021 individuele bedrijven over specifieke dreigingen en kwetsbaarheden in hun netwerk- en informatiesystemen.
De Tweede Kamer wordt voor de zomer geïnformeerd over de uitvoering van de motie Hermans c.s.9
8 april 2022 - 15 juni 2022
68 dagen
Het bericht 'Erdogans Trolle schwören sich auf den Wahlkampf in Deutsland ein' |
|
Queeny Rajkowski (VVD), Bente Becker (VVD) |
|
Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Erdogans Trolleschwören sich auf den Wahlkampf in Deutsland ein»?1
Ja.
-
Vraag 2
Hoe beoordeelt u het feit dat Turks-Duitse kiezers via Turkse verenigingen en social media, onder andere via influencers en trollen in aanloop naar de Turkse premier- en parlementsverkiezingen van 2023, beïnvloed worden in hun politieke keuzes?
In het algemeen geldt dat het kabinet die vormen van buitenlandse inmenging waarmee statelijke actoren het fundament van de Nederlandse democratische rechtsorde en open samenleving kunnen aantasten, volstrekt ongewenst vindt (de integriteit van politieke en bestuurlijke besluitvorming, onafhankelijke rechtspraak, vrije en eerlijke verkiezingen en fundamentele vrijheden zoals persvrijheid en vrijheid van meningsuiting). Nederlandse burgers moeten, ongeacht hun achtergrond, in staat zijn in vrijheid eigen keuzes te maken als het gaat om de inrichting van hun leven, politieke voorkeur en de band met een land van herkomst of dat van hun ouders of grootouders. Mogelijke ongewenste activiteiten door vertegenwoordigers van de Turkse overheid en de veronderstelling dat deze activiteiten onderdeel zijn van een bewuste politiek, kunnen bij sommige Nederlanders van Turkse komaf voor een permanent gevoel van onveiligheid zorgen. Dit kan zo ver gaan dat deze mensen zich beperkt voelen in hun vrijheid van meningsuiting of zelfcensuur toepassen. Ook kan op deze wijze de export van spanningen vanuit Turkije naar ons land worden versterkt.
Dergelijke vormen van ongewenste buitenlandse inmenging zijn onacceptabel. Dit betekent dat de Turkse autoriteiten zich dienen te onthouden van ongewenste bemoeienis met de keuzes die Nederlandse burgers maken. Wanneer het kabinet constateert dat het Turkse diasporabeleid de grenzen van onze rechtsstaat overschrijdt, dan wel participatie van Nederlanders met een Turkse achtergrond belemmert, zal het kabinet niet aarzelen de Turkse autoriteiten op deze activiteiten aan te spreken. Dit optreden richting Turkije bij ongewenste buitenlandse inmenging past in de generieke – landen-neutrale – aanpak waarover uw Kamer in maart 2018 is geïnformeerd.2 -
Vraag 3
In hoeverre is in Nederland ook sprake van deze patronen van politieke beïnvloeding, al dan niet via social media in aanloop naar deze verkiezingen? Zo ja, welke signalen duiden hierop?
Het is van belang een onderscheid te maken tussen het diasporabeleid van de Turkse overheid, dat onder meer wordt vormgegeven via Diyanet – het Turkse presidium voor Godsdienstzaken – en de verkiezingscampagne van de AKP in aanloop naar de verkiezingen in 2023. Het is bekend dat de AKP, net als andere Turkse partijen, steun hoopt te verwerven onder de stemgerechtigden die buiten Turkije wonen. Dat doen Nederlandse politieke partijen bij verkiezingen in Nederland ook in het buitenland, waarbij zij binnen de door dat land gestelde kaders dienen te blijven. Aangezien de AKP al lange tijd aan de macht is, bestaat er overlap tussen het diasporabeleid van de Turkse overheid en de uitgangspunten van de AKP. Er zijn ons op dit moment echter geen signalen bekend dat de Turkse overheid invloed probeert uit te oefenen ten behoeve van de verkiezingen in 2023. Uiteraard worden de ontwikkelingen nauwlettend in de gaten gehouden.
-
Vraag 4
Deelt u de mening dat het zeer onwenselijk en zorgelijk is dat Turkije via de Turkse diaspora in Europa haar invloed probeert uit te oefenen ten behoeve van de Turkse premier- en parlementsverkiezingen van 2023?
Zie antwoord vraag 2.
-
Vraag 5
Wat is de huidige stand van zaken omtrent de contrastrategie om ongewenste bemoeienis uit Turkije jegens Nederlanders met een Turkse achtergrond tegen te gaan? Hoe vaak heeft u de afgelopen vier jaar de Turkse autoriteiten hierop aangesproken?
In maart 2018 is uw Kamer geïnformeerd over de aanpak van ongewenste buitenlandse inmenging. Deze aanpak is ook in 2022 onverminderd van kracht en er wordt doorlopend bekeken of de aanpak nog volstaat. De aanpak is landen-neutraal en bestaat uit de volgende drie onderdelen:
In de brede relatie tussen Turkije en Nederland vinden regelmatig gesprekken plaats tussen de Nederlandse en Turkse autoriteiten over diverse onderwerpen. Ook de relatie tussen de Turkse overheid en Nederlanders met een Turkse achtergrond is regelmatig het onderwerp van gesprek. De in het antwoord op vraag 2 en 4 genoemde boodschap wordt in deze gesprekken consequent uitgedragen. -
Vraag 6
Welke signalen over deze aankomende verkiezingen zijn bekend als het gaat om het benaderen en zelfs trainen van Turkse-Nederlanders zoals wordt geschetst in het aangehaalde artikel, om de gunst van de Turkse gemeenschap te winnen voor de AKP-partij van president Erdogan?
Zie antwoord vraag 3.
-
Vraag 7
Wat is de huidige stand van zaken van het weerbaarder maken van Nederlanders met een niet-westerse afkomst die kans lopen door middel van diasporapolitiek te worden benaderd voor bewuste politieke doeleinden in het land van herkomst? . Wat is de huidige stand van zaken met betrekking tot het ondersteuningsaanbod voor gemeenten en gemeenschappen ter bevordering van de sociale stabiliteit en versterking van de weerbaarheid?
De Ministeries van Sociale Zaken en Werkgelegenheid (SZW), van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en van Justitie en Veiligheid (JenV) (waaronder de NCTV en de Nationale Politie) spannen zich samen met de Vereniging van Nederlandse Gemeenten (VNG) en het Nederlands Genootschap van Burgemeesters (NGB) in om de sociale stabiliteit te bevorderen en de weerbaarheid van de samenleving in brede zin te versterken.
Binnen het Ministerie van SZW heeft de Expertise Unit Sociale Stabiliteit (ESS) de afgelopen jaren netwerken in verschillende gemeenschappen opgebouwd. Dit betreft onder andere de Turkse, Marokkaanse, Eritrese, Somalische, Syrische, islamitische en Afro-gemeenschap. ESS staat in contact met in totaal twaalf kennisnetwerken uit deze gemeenschappen. Hier worden expertise en handelingsperspectieven m.b.t. veerkracht en weerbaarheid gedeeld. Daarnaast adviseert ESS gemeenten over hoe om te gaan met onder andere polarisatie en spanningen in deze gemeenschappen. In 2021 is door negenenzeventig gemeenten een beroep gedaan op de kennis en kunde van ESS.
Gemeenten kunnen met hulpvragen onder meer terecht bij het Ondersteuningsnetwerk maatschappelijke onrust voor duiding of advies in gevallen van (dreigende) situaties van maatschappelijke onrust. Vanuit het netwerk is er in 2021 contact geweest met twintig gemeenten. Ook heeft de UvA in 2021 dertig cases van maatschappelijke onrust onderzocht. De bevindingen van dit onderzoek worden dit najaar gepubliceerd.
Om er voor te zorgen dat gemeenten en gemeenschappen zelf beter in staat zijn de sociale stabiliteit te bevorderen is het aanbod aan handreikingen, factsheets, opleidingen en contactpunten bij de rijksoverheid en andere partners op de brede thematiek van «maatschappelijke stabiliteit» sinds december 2021 gebundeld op de website https://maatschappelijkestabiliteit.nl/. Dit leeraanbod wordt periodiek geactualiseerd en samenwerkende partners onderhouden contacten met gemeenten en gemeenschappen om te signaleren op welke onderwerpen men extra ondersteuning wenst. De site is inmiddels 1700 keer geraadpleegd.
Naast bovenstaande wordt op dit moment gewerkt aan een nieuwe Agenda Veerkracht en Weerbaarheid. Zoals aangekondigd in de planningsbrief SZW zal de Minister van SZW uw Kamer hier na de zomer nader over informeren.3 -
Vraag 8
Hoeveel gemeenten en gemeenschappen maken hier tot op heden gebruik van en wat doet u om dit aanbod onder de blijvende aandacht te brengen?
Zie antwoord vraag 7.
-
Vraag 9
Is u bekend hoeveel kandidaten voor de afgelopen gemeenteraadsverkiezingen zijn getraind door de Union of European Turkish Democrats (UETD)?
Zie antwoord vraag 7.
-
Vraag 10
Wat doet u om te voorkomen dat post wordt gestuurd met een stemadvies vanuit de Turkse regering naar Nederlanders met een Turkse achtergrond?
Deze cijfers zijn niet bekend bij de rijksoverheid.
-
Vraag 11
Bent u bereid streng toe te zien op de richtlijn van Buitenlandse Zaken, die tot stand is gekomen naar aanleiding van onze Kamervragen, om campagnevoeren in de laatste drie maanden voor de verkiezingen door buitenlandse politieke ambtsdragers uit niet-EU-landen op Nederlands grondgebied te verbieden?
In aanloop naar de Turkse verkiezingen in 2023 zal Nederland de boodschap overbrengen dat het geven van persoonlijk stemadvies door de Turkse overheid aan Nederlanders met een Turkse achtergrond niet gewenst is in welke vorm dan ook.
-
Vraag 12
Welke mogelijkheden ziet u op korte termijn om buitenlandse/politieke beïnvloeding op sociale media platforms tegen te gaan wanneer het illegale content of desinformatie betreft, met het oog op verwachte wet- en regelgeving zoals de «Digital Services Act»?
Absoluut. Sinds februari 2021 is het voor vertegenwoordigers van een buitenlandse overheid van buiten de EU niet meer toegestaan campagne te komen voeren in Nederland vanaf drie maanden voorafgaand aan verkiezingen in het desbetreffende derde land. Vertegenwoordigers van een buitenlandse overheid dienen daarnaast vooraf melding te maken bij het Ministerie van Buitenlandse Zaken indien zij voornemens zijn naar Nederland af te reizen om een campagne-activiteit te ondernemen in de periode tot drie maanden voorafgaand aan verkiezingen in dat derde land. Buiten kijf staat dat het Nederlandse burgers is toegestaan om campagne-activiteiten en -bijeenkomsten te organiseren, ook over verkiezingen in derde landen. In aanloop naar de Turkse verkiezingen zal de Nederlandse overheid Turkije actief op de richtlijn van Buitenlandse Zaken wijzen.
1 april 2022 - 22 april 2022
21 dagen
Het bericht ‘Verkoopverbod of niet: jongeren kopen massaal snus’ |
|
Queeny Rajkowski (VVD), Rudmer Heerema (VVD) |
|
Maarten van Ooijen (staatssecretaris volksgezondheid, welzijn en sport) (CU) |
|
|
|
|
Bronnen
-
Vraag 1
Bent u bekend met het bericht «Verkoopverbod of niet: jongeren kopen massaal snus»?1
Ja.
-
Vraag 2
Hoe verklaart u het dat sinds het per november vorig jaar ingevoerde verbod op de verkoop van nicotinezakjes met meer dan 0,035mg nicotine, snus nog steeds volop verkrijgbaar is?
Er zijn (Europese) landen waar deze producten niet verboden zijn en waar deze producten legaal gekocht kunnen worden. Deze bedrijven mogen nicotinezakjes niet verhandelen naar Nederland of zich richten op Nederlandse consumenten. Desondanks komt het voor dat personen deze producten via websites of sociale media uit het buitenland bestellen. De NVWA voert risicogericht toezicht uit op deze buitenlandse bedrijven en verzoeken bedrijven de verhandeling van nicotinezakjes naar Nederland te staken.
-
Vraag 3
Kunt u aangeven wat de uitkomsten zijn geweest van de Nederlandse Voedsel- en Warenautoriteit (NVWA)-controle bij vier grote importeurs?
De NVWA geeft aan dat bij alle vier de importeurs de nicotinezakjes in bewaring zijn genomen. Dat wil zeggen dat de nicotinezakjes met meer dan 0,035 mg nicotine per zakje, niet meer verplaatst mochten worden totdat er een passende oplossing gevonden werd voor de producten. Twee importeurs hebben de nicotinezakjes naar een ander Europees land gestuurd, waar verhandeling van deze producten nog toegestaan was. De andere twee importeurs hebben de nicotinezakjes laten vernietigen. Alle vier de importeurs hebben hun afnemers, zoals winkeliers, op de hoogte gesteld van het verbod op nicotinezakjes en hebben hen gevraagd de voorraad niet meer te verkopen.
-
Vraag 4
Zijn er cijfers bekend van het aantal keer dat de NVWA sinds het verbod in heeft moeten grijpen bij online verkooppunten?
De NVWA heeft zich in eerste instantie gericht op de importeurs van nicotinezakjes die de producten in Nederland in de handel brengen. Op deze manier wordt de toevoer van nicotinezakjes naar online winkels die deze producten in Nederland verkopen, tegengegaan. Onlangs heeft de NVWA een potentiële vijfde importeur geïnspecteerd. Dit bleek een bedrijf in een andere lidstaat te zijn waar de verhandeling van nicotinezakjes, met meer dan 0,035 mg per zakjes, wel is toegestaan. Dit bedrijf verkocht nicotinezakjes in Nederland via verschillende Nederlandse websites. De NVWA heeft dit bedrijf gewezen op het verbod op nicotinezakjes in Nederland en heeft hem verzocht de verhandeling naar Nederland te staken. De ondernemer heeft aan dat verzoek voldaan en de websites daarop aangepast. Recent is de NVWA begonnen met het toezicht op webwinkels.
-
Vraag 5
Welke instrumenten heeft de NVWA op dit moment in handen om aanbod van snus op bijvoorbeeld social media-kanalen aan te pakken?
Het verhandelen van nicotinezakjes, met meer dan 0,035 mg nicotine per zakje, is voor zover deze is gericht op consumenten in Nederland ook via social media niet toegestaan. De NVWA doet bij sociale media-kanalen melding van onrechtmatige uitingen, waar het aanbod van nicotinezakjes een voorbeeld van is. Hiermee worden de sociale media-kanalen (mede)verantwoordelijk voor deze uitingen. De sociale media-kanalen kunnen de content dan verwijderen, waarmee zij niet meer verantwoordelijk voor deze content zijn. Dit proces van melden en verwijderen van onrechtmatige content wordt door de NVWA «notice and take down» genoemd.
-
Vraag 6
Hoe kunnen social media-kanalen op dit moment hun verantwoordelijkheid nemen indien bij wet verboden producten op hun kanalen worden aangeboden? Welke instrumenten zijn hierbij voorhanden?
Het is in eerste instantie aan de sociale mediaplatformen om te bepalen hoe zij hun verantwoordelijkheid voor de verkoop van illegale producten en waren kunnen en willen invullen. Een sociaal mediaplatform dat weet dat er via zijn platform nicotinezakjes worden verkocht kan bijvoorbeeld de content verwijderen of voorlichting geven aan gebruikers over het illegale karakter van de verkoop van nicotinezakjes, en wijzen op de gezondheidseffecten die de consumptie daarvan kan hebben.
-
Vraag 7
Bent u het eens dat het zeer zorgelijk is dat er zo makkelijk en openlijk via sociale media verboden middelen aangeboden en gekocht kunnen worden?
Het is inderdaad zorgelijk dat nicotinezakjes met meer dan 0,035 mg nicotine, een illegaal product, online aangeboden worden.
-
Vraag 8
Welke mogelijkheden ziet u op korte termijn om de verkoop van snus op sociale mediaplatformen tegen te gaan, ook met het oog op de verwachte Europese wetgeving en in het bijzonder de Digital Services Act?
Zie ook mijn antwoord op vraag 5.
Op dit moment wordt er door het Europees Parlement, de Raad, en de Europese Commissie onderhandeld over de Digital Services Act (DSA). Onder voorbehoud van de uitkomsten daarvan zal de DSA een aantal instrumenten creëren die relevant kunnen zijn voor het bestrijden van de verkoop van nicotinezakjes via sociale mediaplatformen.
Zo komt er waarschijnlijk een verplichting voor deze bedrijven om een mechanisme in te richten waarmee zij door gebruikers en anderen gewezen kunnen worden op illegale inhoud op hun platform, zoals de illegale verkoop van nicotinezakjes. Wanneer deze bedrijven een dergelijke melding ontvangen moeten zij daar tijdig actie op ondernemen. Bijvoorbeeld door het illegale aanbod te verwijderen. Laten zij na om actie te ondernemen dan kunnen ze aansprakelijk worden gesteld voor het illegale aanbod.
Onder de DSA worden sociale mediaplatformen ook verplicht om gebruikers die veelvuldig illegale inhoud plaatsen, zoals aanbiedingen voor nicotinezakjes, tijdelijk de toegang tot het platform te ontzeggen door diens account te schorsen. Zij moeten zo’n beslissing richting de betreffende gebruiker ook motiveren. In dat kader kunnen zij wijzen op het feit dat de verkoop van nicotinezakjes met meer dan 0,035 mg nicotine verboden is en tevens de voorlichting verrichten die in het antwoord op vraag 6 is beschreven. -
Vraag 9
Bent u daarnaast bereid met de NVWA in gesprek te gaan om te onderzoeken hoe illegale verkoop van snus harder aangepakt kan worden?
Ik ben met de NVWA in gesprek over hoe de handhaving geïntensiveerd kan worden. Het is goed om daarbij op te merken dat de NVWA constateert dat na de aankondiging van het verbod op nicotinezakjes door de NVWA in november 2021 in verschillende verkoopkanalen minder aanbod van nicotinezakjes is gevonden. Ook hebben producenten de zakjes niet groots in Nederland gelanceerd. Dit is op zichzelf een mooi resultaat.
Daar wil ik aan toevoegen dat een aanpak met strenge handhaving door de NVWA niet de enige oplossing is voor dit maatschappelijke probleem. Ik wil de verkopers van deze producten aanspreken op hun maatschappelijke verantwoordelijkheid en hen oproepen te stoppen met de verkoop van deze producten.
Daarnaast vind ik het belangrijk dat Nederlanders bewust zijn van de gevaren van het gebruik van producten, zoals snus (met tabak) en nicotinezakjes (zonder tabak). Er is informatie beschikbaar omtrent de gezondheidseffecten van snus en nicotinezakjes via informatiekanalen zoals de website Rokeninfo.nl en het de Facebook en Instagrampagina’s van Opvoeding en Uitgaan2. Ook wil ik zicht houden op het gebruik van nicotinezakjes en snus bij de Nederlandse bevolking. Het Trimbos instituut zal hier via de Leefstijlmonitor uit 2022 onderzoek naar doen.
31 maart 2022 - 29 april 2022
29 dagen
Het bericht ‘Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek’ |
|
Pim van Strien (VVD), Queeny Rajkowski (VVD) |
|
Micky Adriaansens (minister economische zaken) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek»?1
Ja.
-
Vraag 2
Hoe apprecieert u de ontwikkelingen van de bouw van een nieuwe megafabriek van Intel in Duitsland en het investeringsplan van 80 miljard voor de Europese chipproductie in het licht van de Europese ambities voor het chip-ecosysteem binnen Europa?
Het is een positief signaal voor de Europese Unie dat een belangrijke partij in de halfgeleiderindustrie zoals Intel bereid is omvangrijke investeringen te doen in Europa. Het kabinet ziet dit als een belangrijke stimulans voor de versterking van de Europese positie in de mondiale halfgeleiderindustrie. Het versterken van deze positie is onder andere van belang voor het behoud van strategische autonomie. Bovendien speelt deze sector een cruciale rol in de groene en digitale transities.
De halfgeleiderindustrie is heel sterk (mondiaal) verweven. Verschillende Europese bedrijven en kennisinstellingen zijn in dit internationale ecosysteem van elkaar afhankelijk en zijn in verschillende landen in Europa gevestigd. De Nederlandse halfgeleiderbedrijven maken hier integraal onderdeel van uit. Nederland heeft bijvoorbeeld een significant cluster op het gebied van apparatuur voor (zeer geavanceerde) halfgeleiderproductie. Intel heeft aangekondigd de nieuwste technieken te willen inzetten in hun fabriek. Door de internationale verwevenheid van deze industrie zullen de investeringen van Intel in Europa, ook positieve effecten hebben voor de Nederlandse bedrijven en daarmee de Nederlandse economie. -
Vraag 3
Wat zijn de gevolgen voor het Nederlandse chip-ecosysteem en breder onze economie, nu Intel ervoor heeft gekozen haar nieuwe megafabriek in Duitsland te bouwen en als onderdeel van het investeringsplan bestaande activiteiten in Frankrijk, Ierland, Italië en Spanje uit te breiden en Nederland hierin geen rol heeft kunnen bemachtigen?
Zie antwoord vraag 2.
-
Vraag 4
Klopt het dat Nederland ook bereid was en inspanningen heeft geleverd om de Intel fabriek en andere onderdelen van het investeringsplan naar Nederland te halen? Kunt u dit proces toelichten? Zo nee, waarom niet?
Het kabinet gaat niet in op individuele gesprekken met bedrijven. Maar in algemene zin geldt dat het kabinet in nauw contact staat met het bedrijfsleven. Dat geldt ook ten aanzien van het aantrekken van investeringen in Nederland. De Netherlands Foreign Investment Agency (NFIA) speelt hierbij een belangrijke rol. In acquisitietrajecten wordt onder meer gesproken over de bedrijfspropositie en of dit aansluit bij het Nederlandse vestings- en investeringsbeleid, ook in relatie tot bredere maatschappelijke vraagstukken als klimaattransitie en ruimtelijke ordening.
-
Vraag 5
Kunt u aangeven welke oorzaken er in uw ogen voor hebben gezorgd dat, ondanks het feit dat Intel gesprekken heeft gevoerd met de Nederlandse overheid, Intel er niet voor heeft gekozen haar nieuwe fabriek of enige andere activiteiten in Nederland te vestigen? Zo nee, waarom niet?
Zie antwoord vraag 4.
-
Vraag 6
Op welke wijze beïnvloeden deze ontwikkelingen de ambities van het kabinet, gezien de grote bereidwilligheid van andere Europese overheden zoals die van Italië, Spanje, Polen en Duitsland om te investeren in dergelijke innovatieve ecosystemen zoals het chips-ecosysteem? Wat betekent dit bijvoorbeeld voor de ambitie om bij te dragen aan de Europese ambitie om strategische onafhankelijkheid te bereiken?
De recent door Intel aangekondigde investeringen versterken het Europese halfgeleider ecosysteem en verminderen de afhankelijkheid van chipproducenten buiten Europa. Dit is in lijn met de Nederlandse ambitie ten aanzien van de halfgeleidersector. Bovendien bieden de investeringen van Intel in productiecapaciteit voor chips tal van kansen voor onze maakindustrie die een belangrijke toeleverancier is voor dit soort fabrieken.
Nederland draagt op dit moment op verschillende manieren bij aan deze ambitie. De start hier van betrof het tekenen van de Declaration: A European Initiative on Processors and semiconductor technologies (7 december 2020).
Belangrijke voorbeelden van actieve Nederlandse overheidsbetrokkenheid zijn:
Daarnaast verwelkomt Nederland de recent verschenen Europese Chips Act (8 februari 2022), waarover uw Kamer op 25 maart jongstleden geïnformeerd is middels het BNC-fiche4. -
Vraag 7
Ziet u ook kansen om met relevante Nederlandse bedrijven en (kennis)instellingen de samenwerking met het Europese chip-ecosysteem te intensiveren nu de chipfabriek zal worden gevestigd bij onze oosterburen? Zo ja, welke concrete kansen ziet u? Zo nee, waarom niet?
Ja, hier liggen kansen en mogelijkheden. Zoals eerder aangegeven is er een logische relatie met onze sterke positie in de machinebouw voor het productieproces van halfgeleiders, maar ook de sterke positie van Nederland op het gebied van kwantum- en fotonicatechnologie biedt mogelijkheden voor sterkere samenwerking.
29 maart 2022 - 6 april 2022
8 dagen
-
Vraag 1
Wat vindt u van de stelling dat een interessante focus van onderzoek zou kunnen zijn dat de inlichtingen-en veiligheidsdiensten effectief hun wettelijk taak kunnen blijven uitvoeren zonder een achterdeur die versleutelde communicatie via OTT(over-the-top)-diensten onveilig maakt?1
Ik kan niet voor de inlichtingen- en veiligheidsdiensten (IenV-diensten) spreken, deze diensten vallen onder de portefeuille van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie. Met deze diensten wordt wel goed samengewerkt. Binnen de termijn die in vraag 6 is gesteld was het niet mogelijk om bij vragen 1 en 4 de toepassing op de IenV-diensten na afstemming met hen toe te voegen, aangezien het opsporings- en IenV domein verschillend zijn gereguleerd.
Op dit moment wordt onderzocht hoe de uitdagingen in de opsporing als gevolg van encryptie kunnen worden geadresseerd. Er is een inventarisatie gaande om de technische mogelijkheden voor rechtmatige toegang tot versleutelde informatie te onderzoeken, om vervolgens de voor- en nadelen van die mogelijkheden voor alle betrokken (zwaarwegende) belangen te analyseren.
Het doel van deze inventarisatie is om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien tot wetgeving wordt besloten wordt een duidelijke wettelijke basis voorgesteld die via een transparant wetgevingsproces aan uw Kamer wordt voorgelegd. Of en hoe dit exact vorm krijgt is afhankelijk van het EU-traject dat nu loopt. Een technische oplossing moet adequaat en evenwichtig zijn. Belangrijk hierbij zijn de principes van proportionaliteit en subsidiariteit. Ten eerste moet de technische oplossing proportioneel zijn en bijdragen aan een veilige maatschappij of de bescherming van kwetsbaren in onze samenleving. Het middel moet aanvaardbaar zijn, dit betekent dat er geen onverantwoorde beslissingen worden genomen wanneer het de (digitale) veiligheid van burgers, het bedrijfsleven en de overheid aangaat. Deze inventarisatie zal ik niet vooraf beperken, omdat alle mogelijkheden eerst in kaart gebracht moeten zijn voordat een zorgvuldige keuze voor eventuele maatregelen kan worden genomen. -
Vraag 2
Zou u het onderzoek kunnen verbreden naar het onderzoeken van een grotere dreiging voor onze digitale veiligheid en verdienvermogen, namelijk het doorbreken van veilige versleutelde communicatie door nieuwe technologie zoals kwantumtechnologie in de nabije toekomst?
Zie het antwoord op vraag 3.
-
Vraag 3
Bent u het met de partijen eens dat het kwantumproof maken van onze communicatie en netwerken een urgente uitdaging is die nu moet worden aangepakt?
Het effect van kwantumtechnologie op de veiligheid van versleutelde communicatie past niet binnen de reikwijdte van de inventarisatie naar mogelijkheden en voor- en nadelen van de rechtmatige toegang tot versleutelde informatie. Eventuele dreigingen voor versleutelde communicatie is niet de focus van de inventarisatie die is gestart. Gegeven de complexiteit van de inventarisatie die in deze beantwoording wordt geschetst bestaat de voorkeur om de focus te behouden tot mogelijkheden voor rechtmatige toegang tot versleuteld bewijs.
Het NCSC adviseert organisaties nu al na te denken over de gevolgen van de komst van de kwantumcomputer voor hun organisatie en een actieplan op te stellen dat duidelijk maakt binnen welke tijdlijn er maatregelen genomen moeten worden.2 Gegevens die vandaag al bestaan en die ook na de komst van kwantumcomputers beschermd moeten blijven, moeten namelijk nu al aanvullend worden beschermd.
Versleuteling is van belang voor de veiligheid. Daarnaast is rechtmatige toegang tot versleutelde communicatie is ook van belang voor de veiligheid van de maatschappij en burgers doordat illegale inhoud en activiteiten beter worden onderkend, onderschept en verwijderd, en slachtofferschap wordt voorkomen of geminimaliseerd, ook in het digitale domein.
In mijn beantwoording leest u dat in de inventarisatie verschillende grote belangen worden meegewogen. Bijvoorbeeld, cybersecurity en de bescherming van fundamentele rechten zijn zwaarwegende onderdelen die worden meegenomen in afwegingen of maatregelen proportioneel zijn. Dit is ook vice versa van belang. Ook bij toekomstige technologieën vind ik een integrale benadering belangrijk en is het goed dat ook het opsporingsbelang wordt meegenomen. -
Vraag 4
Ziet u interceptie van versleutelde communicatie via OTT-diensten als een nieuwe bevoegdheid voor de inlichtingen-en veiligheidsdiensten? Op welk artikel in de Wet op de inlichtingen-en veiligheidsdiensten 2017 baseert u zich?
In lijn met de beantwoording op vraag 1 relateer ik deze vraag aan de wettelijke bevoegdheden van de opsporingsdiensten en het Openbaar Ministerie. Hierbij moet onderscheid worden gemaakt tussen het Wetboek van Strafvordering (Sv) en de Telecommunicatiewet.
De in hoofdstuk 13 Telecommunicatiewet en onderliggende lagere regelgeving vastgelegde medewerkings- en ontsleutelverplichtingen zijn beperkt tot (klassieke) aanbieders van openbare telecommunicatiediensten en – netwerken. Aanbieders van OTT-communicatiediensten – nummeronafhankelijke interpersoonlijke communicatiedienten volgens de definitie van de Telecommunicatiewet – vallen niet onder deze verplichtingen. Ondanks het feit dat het de officier van justitie is toegestaan op basis van artikel 126m jo. 138g Sv, na een daartoe verkregen machtiging van de rechter-commissaris, een opsporingsambtenaar te bevelen versleutelde communicatie via OTT-communicatiediensten af te tappen kan.vanwege de ontbrekende medewerkings- en ontsleutelverplichtingen geen inzicht worden verkregen in de inhoud van de versleutelde communicatie. -
Vraag 5
Wat is de huidige stand van zaken van het in de beantwoording genoemde EU traject met betrekking tot veilige digitale communicatie?
De Europese Commissie beraadt zich op dit moment op een «way forward» voor de inventarisatie naar rechtmatige toegang tot versleuteld bewijs en deze wordt in 2022 gepubliceerd. Dit doet zij op basis van beantwoorde vragenlijsten en de Commissie heeft enkele ambtelijke gesprekken georganiseerd. Uiteraard zal ik uw Kamer over de uitkomsten informeren.
-
Vraag 6
Kunt u deze vragen afzonderlijk beantwoorden voorafgaand het commissiedebat online veiligheid en cybersecurity op 7 april 2022?
Ja.
9 maart 2022 - 8 juni 2022
91 dagen
Het bericht ‘Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries’. |
|
Ingrid Michon (VVD), Ruben Brekelmans (VVD), Queeny Rajkowski (VVD) |
|
Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries»?1
Ja
-
Vraag 2
Klopt het dat het gaat om camera’s van de Chinese merken Hikvision en Dahua en dat zij onder andere overheidsgebouwen in beeld brengen? Zo ja, om hoeveel camera’s gaat het? Waar staan deze camera’s? Staan deze camera’s ook voor overheidsgebouwen waarbij anonimiteit belangrijk kan zijn zoals bij defensie en de inlichtingendiensten?
De Nederlandse overheid maakt gebruik van Chinese camera’s. Het is niet bekend om hoeveel camera’s het specifiek gaat. Zoals in het antwoord op vragen 4 en 5 wordt geschetst, gelden er overheidsbreed kaders en beleid voor aanschaf en gebruik van (digitale) producten en diensten, zoals camera’s, waarbij ook rekening gehouden moet worden met (eventuele) risico’s voor nationale veiligheid. Over welke beveiligingsmaatregelen al dan niet worden getroffen bij de gebouwen van de inlichtingen- en veiligheidsdiensten en welke apparatuur daarvoor wordt gebruikt, worden in het openbaar geen uitspraken gedaan.
-
Vraag 3
De politie heeft inmiddels bevestigd dat er vorig jaar bijna 700 camera’s van Dahua zijn aangeschaft2; klopt dit? Zo ja, was de politie zich al bewust van de veiligheidsrisico’s bij de aanschaf van deze camera’s? Zo ja, waarom zijn dan toch deze camera’s aangeschaft? Zo nee, kunt u een tijdlijn schetsen van de aanschaf van Chinese camera’s door de politie van de afgelopen jaren? Zo nee, waarom niet?
De politie heeft bevestigd dat het klopt dat zij circa 700 camera’s van Dahua heeft aangeschaft, die over een periode van 7 jaar zullen worden afgenomen. In de aanbesteding zijn eisen met betrekking tot informatiebeveiliging en privacy opgenomen en de inzet van de camera’s zijn voornamelijk gericht op verkeerstoezicht. De politie heeft bij de aanbesteding van de camera’s en bij de toepassing daarvan geen risico’s voor de nationale veiligheid voorzien. Voor de gehele overheid geldt onder meer voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). Mede gelet hierop worden hiervoor bij de inkoop en aanbesteding van digitale producten en diensten, waaronder genoemde camera’s, waarbij mogelijk veiligheidsrisico’s aan de orde zijn, eisen met betrekking tot informatiebeveiliging en privacy gesteld als voorwaarden aan de (mogelijke) opdrachtnemer. Alle merken en type camera’s die voldoen aan de gestelde eisen kunnen worden aangekocht. Op 8 juli 2020 is deze aanbesteding gepubliceerd op Tenderned. Op 27 november 2020 is deze opdracht gegund. In mei 2021 is gestart met de ingebruikneming van deze camera’s.
-
Vraag 4
In hoeverre lagen bepaalde productspecificaties zoals de prijs en de veiligheid ten grondslag aan het besluit om camera’s van Hikvision en Dahua aan te schaffen en te plaatsen bij overheidsgebouwen?
In relatie tot nationale veiligheidsrisico’s bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden. Bij elke casus wordt door de overheidsorganisatie bezien of en hoe risico’s beheersbaar kunnen worden gemaakt en of daartoe te nemen maatregelen proportioneel zijn. Afwegingen rondom de aanschaf en ingebruikname van ICT- producten en diensten zijn de eigen verantwoordelijk van de organisaties die tot aanschaf overgaan. Dat betekent dat overheidsorganisaties zelf risicoafwegingen uitvoeren voordat (digitale) producten en diensten van een leverancier, zoals beveiligingscamera’s, worden afgenomen en bepalen aan welke (beveiligings)eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Daarnaast geldt voor de gehele overheid voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). De BIO kent een risicogebaseerde aanpak met een concrete set aan eisen als ondergrens. Uitgangspunt is onder meer ook de eigen verantwoordelijkheid van overheidsorganisaties.
-
Vraag 5
Aan welke eisen, die betrekking hebben op cyberspionage, wordt getoetst bij de aanschaf van camera’s bij overheidsgebouwen? Voldoen de camera’s van Hikvision en Dahua aan deze eisen?
Zie antwoord vraag 4.
-
Vraag 6
Was bij het moment van aankoop ook al bekend dat China eventueel een achterdeur in een camerasysteem van Hikvision of Dahua zou kunnen bouwen? Zo ja, welke maatregelen zijn hiertegen getroffen? Zo nee, op basis waarvan is de inschatting gemaakt dat het veilig was om deze camera’s aan te schaffen?
Het Ministerie van BZK zal in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s bij het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Doordat het onderzoek zich specifiek richt op het gebruik van camera’s binnen de rijksoverheid staat het los van de aanbesteding van de politie. De toepassing van de camera’s en bijvoorbeeld de manier waarop zij in de bredere infrastructuur zijn ingebed zal per geval verschillen. Zoals ook in het antwoord op vraag 4 en 5 wordt geschetst, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Of en hoe risico’s voor de nationale veiligheid beheersbaar zijn, zal dus per geval worden beoordeeld door de organisaties zelf, zoals de politie, die ook eventuele maatregelen zelf nemen.
-
Vraag 7
Is het technisch mogelijk voor China om mee te kijken, live of achteraf? Zo ja, hoe dan? Zo nee, is die mogelijkheid er helemaal niet of is hij sofwarematig dichtgezet?
Het Dreigingsbeeld Statelijke Actoren (DBSA)3 geeft een overzicht van de belangrijkste dreigingen vanuit China in relatie tot de vitale infrastructuur en de (rijks)overheid. Daarbij wordt ook ingegaan op het risico op digitale spionage- en sabotagemogelijkheden via technologische toeleveringen.
Zoals gesteld in het antwoord op vraag 6 zal het Ministerie van BZK in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s vanwege het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Bovenstaande vragen zullen bij dit onderzoek worden betrokken.
In het debat met uw Kamer op 22 maart 2022, heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd om onderzoek te doen naar inkoopeisen en -richtlijnen op het terrein van cyberveiligheid, in het bijzonder als het gaat om producten en diensten voornamelijk van partijen uit landen met een offensief cyberprogramma richting Nederland. Op 5 april 2022 is in aanvulling daarop door uw Kamer een motie aangenomen om bij dit onderzoek ook te kijken naar de vitale infrastructuur. Uw Kamer zal hierover na afronding van het onderzoek worden geïnformeerd. Op de uitkomsten van het onderzoek kan nu niet vooruit worden gelopen. -
Vraag 8
Hoe groot acht de Minister de kans dat China meekijkt of mee heeft gekeken via deze camera’s? Op basis waarvan maakt de Minister deze inschatting?
Zie antwoord vraag 7.
-
Vraag 9
In de Verenigde Staten is de inzet van Hikvision- en Dahua-camera’s bij overheidsgebouwen verboden. Daarnaast heeft het Europees parlement eerder besloten om camera’s van Hikvision niet meer te gebruiken. Waarom heeft Nederland hier nog niet voor gekozen?
Elk land of internationale organisatie maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staand beleid bij inkoop en aanbesteding is dat er per casus wordt bezien of er in relatie tot producten en diensten risico’s zijn voor de nationale veiligheid, en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke nationale veiligheidsrisico’s in verband met het gebruik van camera’s, die afkomstig zijn uit landen met een offensief cyberprogramma richting Nederland, binnen de rijksoverheid zullen, zoals hierboven aangegeven, worden onderzocht.
-
Vraag 10
Deelt u de mening dat bedrijven uit staten die een offensief cyberprogramma tegen Nederland uitvoeren niet geschikt zijn om camera’s te leveren die zijn opgesteld bij organisaties die een aantrekkelijk doelwit van een dergelijk offensief programma vormen?
Zie antwoord vraag 7.
-
Vraag 11
Zijn er Europese alternatieven in de markt? Zo, ja bent u het eens met het standpunt dat het verstandig kan zijn om die in te zetten? Zo nee, bent u het ermee eens dat het wenselijk is dat er Europese alternatieven zijn, ook op het gebied van technologie?
Voor Nederlandse organisaties is het wenselijk dat zij gebruik kunnen maken van kwalitatief hoogwaardige producten en diensten, ook van buitenlandse leveranciers. Nederlandse overheden blijven op verantwoorde wijze, met inachtneming van de nationale aanbestedingswetgeving, gebruik maken van de voordelen van de internationale markt voor veiligheidsapparatuur, door per situatie de risico’s voor de nationale veiligheid in kaart te brengen en dat te laten meewegen in de selectie van de betreffende aanbieder.
Desondanks kunnen er redenen zijn om bepaalde producten en technologieën in Nederland of in Europa te willen kunnen ontwikkelen en beschikbaar maken. Dit kan van belang zijn om de weerbaarheid van Nederland en de EU te vergroten, of om de EU het vereiste handelingsvermogen te geven om de eigen veiligheidsbelangen te beschermen. Dit kan via verschillende maatregelen: van handelsverdragen met gelijkgezinde landen, tot het direct stimuleren van de eigen industrie. Hierbij verwijzen wij dan ook graag naar de brief aan uw Kamer over onderzoek naar strategische afhankelijkheden en kwetsbaarheden in Nederland, waar dieper ingegaan wordt op de beleidsopties om onze weerbaarheid te versterken.4 -
Vraag 12
Bent u het ermee eens dat we de cyberdreiging vanuit China serieus moeten nemen en daarom kritisch moeten kijken naar de aanschaf en inzet van niet Europese hardware en software voor gevoelige zaken zoals het filmen van overheidsgebouwen? Zo ja, welke stappen gaat u ondernemen? Zo nee, waarom niet?
Ja, deze dreiging moet serieus worden genomen. De AIVD waarschuwt regelmatig voor de risico’s van het gebruik van hard- en software afkomstig uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen (zoals China) bij de uitwisseling van gevoelige informatie of in vitale infrastructuur. Het is van groot belang dat we ongewenste activiteiten van statelijke actoren tegengaan. Daarom werken we aan een aanpak om de weerbaarheid tegen statelijke dreigingen te verhogen. In het Dreigingsbeeld Statelijke Actoren en de kabinetsreactie hierop wordt nader ingegaan op deze dreiging en de maatregelen die we hiertegen nemen5. Verder verwijzen wij u naar het antwoord op vraag 4 en 5, waarin wordt ingegaan op de relevante kaders en beleid binnen de rijksoverheid als het gaat om aanschaf en gebruik van (digitale) producten en diensten.
-
Vraag 13
Hoe verhoudt het antwoord op de Kamervragen van het lid van Helvert (Aanhangsel Handelingen II, vergaderjaar 2020–2021, nr 2310), die de Kamer zijn toegezonden op 13 april 2021 (waarin staat dat het kabinet de Europese Commissie, de Europese Dienst voor Extern Optreden (EDEO) en het Europees parlement heeft gewezen op de kwetsbaarheid van het gebruik van Hikvision-camera’s) zich tot het gebruik van camera’s van dit bedrijf door Nederlandse ministeries zelf? Zou het kabinet deze waarschuwing niet ook aan zichzelf moeten richten?
In hoeverre er bij het gebruik van camera’s van bijvoorbeeld Hikvision en Dahua sprake is van nationale veiligheidsrisico’s die met concrete beheersmaatregelen gemitigeerd kunnen worden is onderwerp van het in het antwoord op vraag 6 genoemde onderzoek.
-
Vraag 14
Kunt u uitsluiten dat deze camera’s een veiligheidsdreiging vormen voor de Oeigoerse diaspora in Nederland? Welke veiligheidsmaatregelen heeft u hiertoe genomen of bent u voornemens te nemen?
Zoals aangegeven in de antwoorden op vragen van de leden Dekker-Abdulaziz en Van Ginneken, zijn voor zover ons bekend er momenteel geen aanwijzingen dat China deze camera’s gebruikt om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging6.
-
Vraag 15
Bent u bekend met het feit dat de Amerikaanse overheid heeft verboden te investeren in Hikvision vanwege de banden van het bedrijf met het Chinese leger? Heeft u hierover contact gehad met Amerika, met name in het kader van mogelijke veiligheidsdreigingen? Zo nee, bent u alsnog bereid dit te doen?
Het kabinet is bekend met het besluit van 9 oktober 2019 om Hikvision op de zgn. Entity List te plaatsen omdat Hikvision volgens de VS het mogelijk maakt dat er mensenrechtenschendingen plaatsvinden in Xinjiang. Als gevolg van deze listing zijn Amerikaanse toeleveranciers verplicht om vergunningen aan te vragen voordat ze handelen met Hikvision. Europese en Nederlandse sanctiewetgeving voorzien niet in de mogelijkheid van een Entity List. Nederland erkent de risico’s van het gebruik van cybersurveillance items in relatie tot schendingen van mensenrechten en het internationaal humanitair recht, blijkens ons exportcontrolebeleid, en werkt hierop nauw samen met de VS, zowel bilateraal als in EU-verband.
-
Vraag 16
Bent u bereid om met China in gesprek te treden over het belang van privacy- en veiligheidsstandaarden in technologie en dat toegang van de Chinese staat tot gevoelige data niet acceptabel is?
Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals het voldoen aan eisen, zoals neergelegd in de AVG, bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
3 maart 2022 - 14 juni 2022
103 dagen
De uitvoering van de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen online. |
|
Queeny Rajkowski (VVD), Bente Becker (VVD) |
|
Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
Bronnen
-
Vraag 1
Bent u bekend met de aangenomen gewijzigde motie van het lid Becker c.s. (Kamerstuk 35 228, nr. 34) over het structureel tegengaan van extremistische uitingen? En deelt u de mening, zoals ook besproken tijdens het wetgevingsoverleg Integratie en maatschappelijke samenhang (beleidsartikel 13 van de begroting SZW 2022) op 22 november 2021, dat deze motie tot op heden onvoldoende is afgedaan?
In de Nederlandse samenleving is ruimte voor een grote diversiteit van (godsdienstige) beschouwingen, (politieke) opvattingen, waardepatronen en leefstijlen. Dit betekent dat mensen de vrijheid hebben eigen keuzes te maken binnen de kaders van de democratische rechtsorde. Het kabinet ziet het als zijn taak om de democratische rechtsorde en alle grondwettelijke vrijheden die burgers op basis daarvan toekomen te beschermen. De overheid opereert in het waarborgen van die vrijheden neutraal. Zij trekt echter een grens als er sprake is van antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen.
Het kabinet heeft al langere tijd zorgen over de invloed in Nederland van een kleine groep individuen, salafistische aanjagers, die zowel online als offline aansporen tot antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen en/of gedragingen. Deze kleine groep individuen heeft door hun actieve en professionele gebruik van socialemediakanalen een onevenredig groot bereik binnen islamitische gemeenschappen in Nederland. In het Dreigingsbeeld Terrorisme Nederland van april 2022 wordt gesteld dat problematische gedragingen door antidemocratische, intolerante en anti-integratieve elementen binnen het salafisme kunnen leiden tot polarisatie in de samenleving en (op termijn) tot ondermijning van de democratische rechtsorde1.
De aangenomen gewijzigde motie van het lid Becker c.s. (Kamerstuk 35 228, nr. 34) is bekend. Indien extremistisch, antidemocratisch en radicaal salafistische uitingen zodanig ernstig van aard zijn dat zij onder de definitie vallen van terroristische content, dan vallen deze uitingen binnen de taken van de Autoriteit voor het tegengaan van Terroristisch en Kinderpornografisch Materiaal (ATKM). Deze Autoriteit wordt opgericht om uitvoering te geven aan een Europese verordening (inzake het tegengaan van verspreiding van terroristische online-inhoud: TOI-verordening) en kent een strikte doelbinding gericht op het tegengaan van verspreiding van terroristische content. De TOI-verordening wordt van kracht op 7 juni 2022. Op deze datum moet de autoriteit operationeel zijn en de nationale uitvoeringswet gereed. De autoriteit krijgt de bevoegdheid voor het sturen van verwijderingsbevelen en grijpt daarmee direct in op de vrijheid van meningsuiting.
Met oprichting van de ATKM wordt voor een deel van de uitingen waar de gewijzigde motie van het lid Beckers c.s. op ziet voorzien in de mogelijkheden om op te treden indien deze uitingen dermate ernstig zijn dat deze onder de definitie van terroristische content vallen. Echter, gezien proportionaliteitsoverwegingen, zoals het fundamentele recht op vrijheid van meningsuiting, is het niet mogelijk om extremistische, antidemocratische en radicaal salafistische uitingen die niet als terroristisch te definiëren zijn onder te brengen bij de ATKM.
Wel deelt het kabinet de zorg over de online verspreiding van radicale, extremistische en/of antidemocratische uitingen en het schadelijke effect dat deze uitingen kunnen hebben op onze democratische rechtstaat. Ook al zullen dit soort uitingen niet altijd te scharen zijn onder de categorie terroristische content, zij kunnen wel degelijk uiteindelijk overgaan in gewelddadig extremisme en terrorisme. Om te bezien wat de mogelijkheden zijn om juist tegen dit soort schadelijke content op te treden zal de Minister van Justitie en Veiligheid in kaart brengen over wat voor preventief en repressief instrumentarium landen om ons heen beschikken en welke mogelijkheden dit biedt voor Nederland. Daarnaast is het weerbaar maken van met name jongeren tegen online extremistische uitingen een belangrijk aandachtspunt binnen diverse activiteiten die mijn ministerie ontwikkelt.
Tevens worden doorlopend gesprekken gevoerd met internetbedrijven om de samenwerking in de aanpak van terroristische en andere extremistische en illegale uitingen in den brede op het internet verder te versterken. Nederland is bijvoorbeeld actief in het EU Internetforum. Hierin werken EU-lidstaten, de Europese Commissie en het bedrijfsleven op vrijwillige basis samen om het aanbod van gewelddadig extremistische en terroristische content op het internet te beperken. -
Vraag 2
Deelt u het inzicht dat onvrij gedachtegoed in toenemende mate online wordt verspreid en dat salafistische aanjagers online normale geloofsuitingen verdringen met extremistisch, antidemocratisch en radicaal-salafistische uitingen en dat deze content effectief moet worden bestreden door de overheid, in samenwerking met hostingproviders en internetplatforms?
Zie antwoord vraag 1.
-
Vraag 3
Wat is de huidige stand van zaken van deze samenwerking tussen de overheid, hostingproviders en internetplatforms, ook in het licht van de vijf geschetste scenario’s uit het Wetenschappelijk Onderzoek- en Documentatiecentrum (WOCD)-onderzoek «Voorziening voor verzoeken tot snelle verwijdering van onrechtmatige online content»1, om ook andere vormen van onrechtmatige online content aan te pakken?
Er is eind april een principeakkoord bereikt over de Digital Services Act (hierna «DSA», stap 1 van het stappenplan zoals dat is gepresenteerd in de beleidsreactie op het door u genoemde WODC-onderzoek). Zodra de tekst van de DSA definitief is, is er ruimte om met hostingproviders en internetplatformen de huidige Notice-and-Take-Down (NTD) procedures tegen het licht te houden en aan te passen op de vereisten die voortvloeien uit deze DSA (stap 2). Deelname aan de huidige Nederlandse NTD-gedragscode is in beginsel vrijwillig en betreft een vrijwillig verzoek met referentie aan schendingen van de Terms of Service van het betreffende platform zelf. In de DSA is een Notice-and-Take-Action (NTA) opgenomen die verplichtend is. De methode Notice and Take Action (NTA) houdt in het identificeren, duiden en melden van bepaalde online-inhoud aan internetbedrijven, met het oog op verwijdering. Bij een NTA-procedure, zoals in de DSA omschreven, wordt online-inhoud getoetst aan of het onder de definitie valt van illegaal (onrechtmatig en strafbaar) in plaats van een toetsing aan de Terms of Service. Hierbij wordt geen onderscheid gemaakt tussen online-inhoud van ideologieën of religies, zoals bij ongewenste buitenlandse beïnvloeding. Wat telt voor de toetsing is of het illegaal is of niet. Ook wordt er een (abuse reporting) instrument ontwikkeld om verwijderbevelen van overheidswege op eenduidige wijze door te geven aan providers en platformen.
-
Vraag 4
Op welke wijze bent u sinds de publicatie van het WOCD-onderzoek met de vijf geschetste scenario’s aan de slag gegaan? Kunt u dit uitsplitsen per scenario?
Zie antwoord vraag 3.
-
Vraag 5
Wat is de huidige stand van zaken omtrent het onderzoek naar de mogelijkheid om de aanpak van extremistisch, antidemocratisch en radicaal-salafistische uitingen online onder te brengen bij de op te richten autoriteit kinderpornografische en terroristische content of indien dat niet mogelijk is een andere autoriteit? Deelt u de mening dat een dergelijke autoriteit van zeer groot belang is om deze ongewenste online uitingen tegen te gaan?
Voor beantwoording van uw vraag verwijs ik u naar het antwoord op vraag 1 en 2.
-
Vraag 6
Is u bekend op welke wijze extremistische, antidemocratische en/of radicaal-salafistische uitingen die online worden verspreid gefinancierd worden? Kunt u dit per categorie inzichtelijk maken?
Indien er sprake is van dergelijke uitingen gaat het veelal om problematische, maar nog niet strafbare of onrechtmatige content. Dit geldt ook voor online uitingen. Dit betreft een breed spectrum aan gedragingen waarbij de ernst gradaties kent. Slechts bepaalde vormen van problematisch gedrag kunnen als (niet-gewelddadig) extremisme worden gekenmerkt en afbreuk doen aan de democratische rechtsorde. De inzet van de overheid, bijvoorbeeld op het inzichtelijk maken van financiering van bepaald problematisch gedrag hangt af van de ernst van het (potentiële) effect van de vertoonde gedragingen op de democratische rechtsorde.
Met het wetsvoorstel Transparantie Maatschappelijke Organisaties zal naar verwachting de transparantie van financieringsstromen richting maatschappelijke organisaties worden vergroot. Maatschappelijke organisaties (stichtingen, verenigingen, kerkgenootschappen of een buitenlands equivalent) moeten dan desgevraagd inzage geven in donaties. Daarnaast worden stichtingen verplicht om hun balans en staat van baten en lasten te deponeren in het (afgesloten deel van het) Handelsregister.
Een eventuele link tussen (buitenlandse) geldstromen en problematisch gedrag, zoals het doen van antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen online, kan hiermee inzichtelijk worden gemaakt.
Middels een nota van wijziging van de Wtmo wordt verder beoogd een handhavingsinstrument in te voegen om organisaties aan te kunnen pakken die activiteiten ontplooien die gericht zijn op (dreigende) ondermijning van de democratische rechtstaat of het openbaar gezag. De Minister van Justitie en Veiligheid is voornemens de nota naar aanleiding van het verslag, samen met de nota van wijziging en het nader rapport, op afzienbare termijn naar uw Kamer te sturen.
Verder is bekend dat extremistische groepen van buiten Nederland incidenteel gebruikmaken van digitaal geopende bankrekeningen in Nederland. De Kamer is hierover geïnformeerd in het Dreigingsbeeld Terrorisme Nederland (DTN 55). Dergelijke rekeningen kunnen gebruikt worden om buiten het zicht van de eigen overheid terrorisme en extremistische organisaties te financieren. Daarnaast zijn er gevallen bekend waarbij (online) payment service providers worden gebruikt en is er soms sprake van crowdfunding (o.a. middels de bekende Tikkies) via websites en chatgroepen maar ook peer to peer. -
Vraag 7
Hoe vaak hebben gemeenten de afgelopen twee jaar melding gemaakt van organisaties die via online activiteiten jongeren probeerden te binden of extremistisch (salafistisch) gedachtegoed probeerden te verspreiden onder kwetsbare of beïnvloedbare groepen? En hoe vaak heeft het Ministerie van Sociale Zaken en Werkgelegenheid, al dan niet in samenwerking met andere ministeries en instanties, via de driesporenaanpak tegen dergelijke organisaties opgetreden?
De overheid richt zich bij de aanpak van problematisch gedrag binnen het salafisme op die delen van de salafistische beweging waarbij sprake is van strafbaar en/of problematisch gedrag in relatie tot de te beschermen democratische rechtsorde. Er wordt derhalve onderscheid gemaakt tussen het verspreiden van salafistisch gedachtegoed en extremistisch gedachtegoed.
De Taskforce Problematisch gedrag en ongewenste buitenlandse financiering (hierna Taskforce) onder leiding van het Ministerie van SZW heeft sinds de oprichting in februari 2019 één casus behandeld waar er specifiek zorgen waren bij de gemeente over online activiteiten. De casus in kwestie is door een gemeente in 2020 aangemeld bij de Taskforce. De Taskforce heeft samen met de gemeente vastgesteld dat er geen sprake was van problematisch gedrag. De gemeente is geadviseerd om spoor 1 van de driesporenaanpak in te zetten, te weten interactie en dialoog. De gemeente is hierop het gesprek aan gegaan. Dit gesprek heeft ertoe geleid dat de zorgen zijn weggenomen. -
Vraag 8
Op welke schaal krijgt de Taskforce problematisch gedrag en ongewenste buitenlandse beïnvloeding te maken met casussen waarbij de online wereld een rol speelt in het verspreiden van ongewenste boodschappen en in hoeverre weegt de «locatie» van de casus (fysiek dan wel online) mee tijdens het wegingsoverleg door het Duidings- en Adviesteam? In hoeverre zit er bij deze Taskforce expertise als het gaat om (het tegengaan van) de verspreiding van schadelijke en ongewenste boodschappen in de online wereld?
Zoals vermeld in vraag 7 heeft de Taskforce sinds de oprichting één casus behandeld waarin een gemeente zorgen heeft geuit over online activiteiten van betrokkenen bij een organisatie. Gemeenten die een casus aanmelden bij de Taskforce hebben vaak zorgen over gedragingen die zich in het fysieke domein, binnen hun gemeente, afspelen. Dit neemt niet weg dat er wel zorgen zijn bij gemeenten over online-activiteiten en deze zorgen ook besproken kunnen worden met de partners binnen de Taskforce om zo mee te kunnen denken over mogelijke handelingsperspectieven.
Het vorige kabinet heeft uw Kamer op verschillende momenten geïnformeerd over de specifieke problemen omtrent de grondslag voor het verwerken van persoonsgegevens van een aantal partners. Als gevolg van deze problemen worden sinds april 2021 in Taskforce verband geen persoons- of organisatie duidingen meer gedaan.3 Gemeenten kunnen sinds april alleen nog geadviseerd worden over mogelijke oorzaken en handelingsperspectief ten aanzien van problematisch gedrag met aandacht voor de lokale context zonder daarbij persoonsgegevens te verwerken. -
Vraag 9
Wat is de huidige stand van zaken op Europees niveau om ongewenste, opruiende of indoctrinerende online boodschappen, die problematisch gedrag kunnen veroorzaken, tegen te gaan? Bent u van mening dat de Digital Services Act (DSA) voldoende juridische ruimte en handvatten biedt om de komende jaren haatzaaiende en indoctrinerende content snel en effectief te kunnen verwijderen van social media platformen? Zo ja, kunt u dit toelichten? Zo nee, waarom niet?
Het is het streven van het kabinet om tijdens de huidige kabinetsperiode flinke stappen te kunnen maken op precies dit onderwerp. De Digital Service Act (DSA) biedt een mogelijkheid om illegale content aan te pakken, onder andere door voor bepaalde internet tussenpersonen een aantal verplichtingen te introduceren rond het kunnen melden, beoordelen en verwijderen van deze vormen van content. Wat precies onder de noemer illegale content valt, is gedeeltelijk vastgelegd in Europese wet- en regelgeving, maar lidstaten hebben daarnaast ook ruimte om eigen nuances aan te brengen.
Op verschillende niveaus – van Europa tot lokale besturen – wordt nagedacht over het omgaan met ongewenste, opruiende of indoctrinerende online boodschappen, die problematisch gedrag kunnen veroorzaken. Vooraleerst betreft het dan de vraag welke rol de overheid zou moeten hebben om dergelijke fenomenen het hoofd te bieden, gevolgd door de vraag welke middelen vervolgens kunnen worden ingezet. Deze vragen zullen ook deel uitmaken van het project waaraan gerefereerd wordt in de beantwoording op de vragen 1 t/m 4.
Zoals ook is aangegeven in de brief over contentmoderatie en de vrijheid van meningsuiting online moet de spanning tussen de vrijheid van meningsuiting en de bewegingsruimte en veiligheid van burgers online, en de rol van de overheid daarbij, verder onderzocht worden4. Dit geldt met name voor uitingen die niet illegaal zijn, maar wel tot ongewenste maatschappelijke reacties leiden. -
Vraag 10
In hoeveel gevallen zijn er de afgelopen twee jaar gedane uitspraken geweest die dusdanig ernstig van aard waren dat zij vielen onder de definitie van terroristische content, zoals is bepaald in de Terrorist Content Online-verordening en in hoeveel van deze gevallen is er sprake van extremistisch, antidemocratisch en/of (extreem) salafistische invalshoek? Kunt u dit uitsplitsen per categorie?
De verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud (TOI-verordening) is op 17 mei 2021 gepubliceerd en wordt op 7 juni 2022 van kracht. Dit houdt in dat de autoriteit nog niet actief is waaruit volgt dat er nog geen recente cijfers zijn die getoetst zijn aan de definitie zoals is bepaald in de TOI-verordening. Wel is de Internet Referral Unit (IRU) bij de Nationale Politie actief totdat de nieuwe autoriteit ATKM operationeel wordt. De aanpak die de IRU hanteert, is gebaseerd op de methode Notice and Take Action (NTA): zie antwoord vraag 3 en 4 voor uitleg NTA-methode. De IRU kijkt vooral naar zwaardere gevallen van jihadistische online-inhoud en maakt geen onderscheid per categorie. Indien de IRU jihadistische online-inhoud vindt, stelt zij Europol op de hoogte en doet Europol het verzoek tot verwijderen. In 2021 zijn 1.586 uitingen kritisch beoordeeld en uiteindelijk zijn er 1.247 NTA-verzoeken verstuurd, zo heeft de Politie laten weten.
-
Vraag 11
Bent u bereid om op zeer korte termijn alsnog de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen door hier toezicht op te organiseren in zijn volledigheid af te doen?
Voor beantwoording van uw vraag verwijs ik u naar het antwoord op vraag 1 en 2.
-
Vraag 12
Bent u bereid deze vragen voor het commissiedebat Inburgering en integratie van 30 maart a.s. te beantwoorden?
Helaas is dit niet gelukt.
1 maart 2022 - 21 april 2022
51 dagen
Het bericht ‘Ddos'er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf’. |
|
Queeny Rajkowski (VVD), Ulysse Ellian (VVD) |
|
Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Ddos’er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf»1?
Ja.
-
Vraag 2
Worden ddos-aanvallen die zijn uitgevoerd op vitale diensten door het openbaar ministerie (OM) bij het bepalen van de strafeis en bij de rechter bij de strafoplegging als een strafverzwarende omstandigheid gezien?
Ja. Het OM houdt bij het bepalen van de strafeis rekening met de wettelijke strafmaxima zoals geformuleerd in het Wetboek van Strafrecht (Sr). Uit artikel 138b lid 3 Sr volgt dat het strafmaximum van twee naar maximaal vijf jaar gevangenisstraf kan gaan indien een DDoS-aanval is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur2.
-
Vraag 3
Hoeveel veroordelingen zijn bekend van zaken waarbij een ddos-aanval gepleegd is?
Bij een DDoS-aanval kan artikel 138b Sr (opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan te bieden of toe te zenden) of artikel 161sexies Sr (misdrijven waardoor de algemene veiligheid van personen of goederen in gevaar wordt gebracht) tenlastegelegd worden. In de periode 2019–2021 zijn er 8 veroordelingen geweest voor artikel 138b. Onder de delictsomschrijving van artikel 161sexies vallen echter meer delicten dan alleen een DDoS-aanval. Er kan in de informatiesystemen van de Rechtspraak niet worden achterhaald hoeveel veroordelingen op basis van artikel 161sexies een DDoS-aanval betroffen. Het totale aantal veroordelingen van artikel 161sexies geeft daarom geen representatief beeld van het aantal veroordelingen van DDoS-aanvallen.
-
Vraag 4
Deelt u de mening dat deze vormen van cybercriminaliteit hard aangepakt moeten worden vanwege de grote maatschappelijke impact?
Zeker. Cybercrime kan een grote impact hebben op individuele slachtoffers en de maatschappij als geheel. Gedurende de coronacrisis zijn we in het dagelijks leven steeds afhankelijker geworden van de online wereld. Dit maakt dat cyberaanvallen een groot risico vormen voor onze maatschappij. Het Cybersecurity Beeld Nederland benoemt ransomware zelfs als een risico voor onze nationale veiligheid.3 Adequate opsporing en vervolging van daders is noodzakelijk. Het internet mag geen vrijplaats zijn voor criminelen. Opsporing, vervolging en verstoring is één van de vier sporen van de integrale aanpak van cybercrime. Hierover wordt uw Kamer jaarlijks geïnformeerd per brief.4
-
Vraag 5
Hoe vaak vindt er recidive plaats bij de cybercriminelen die ddos-aanvallen hebben gepleegd? Wordt er onderzoek gedaan naar het recidiverisico bij cyberdelicten?
Hierover zijn geen cijfers beschikbaar. Voor zover bekend lopen er momenteel geen onderzoeken naar het recidiverisico bij cyberdelicten. Wel is door het WODC onderzoek gedaan naar cyberdaders, waarover uw Kamer is geïnformeerd.5 Dit onderzoek gaf aan dat voor daders van cybercrime geen eenduidig profiel bestaat, maar dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders. Zo plegen jongere daders strafbare feiten in eerste instantie vaker uit nieuwsgierigheid, intellectuele uitdaging of leergierigheid, en zijn zich niet altijd bewust van de strafbaarheid. Ook bleek uit het onderzoek dat bij het voorkomen van recidive klassieke interventies bruikbaar zouden kunnen zijn, indien ze zouden worden aangepast aan de digitale context. Zie hiervoor vraag 6.
-
Vraag 6
Welke maatregelen en middelen worden ingezet om recidive bij cyberdelicten te voorkomen?
Bij de aanpak van cybercrime wordt een onderscheid gemaakt tussen cybercrimedelicten in enge zin (zoals ransomware- en DDoS-aanvallen) en gedigitaliseerde delicten (zoals online fraude). Onderzoek geeft aan dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders.6 Ten behoeve van deze specifieke doelgroep maken Halt, de Raad voor de Kinderbescherming (RvdK) en de Reclassering gebruikt van de Hack_Right-aanpak. Daarnaast is de bestaande leerstraf Tools4U van de RvdK aangevuld voor daders van gedigitaliseerde delicten.
Ook is het instrumentarium voor risicotaxatie aangepast. Voor jeugdige justitiabelen is het landelijk risicotaxatie-instrumentarium (LIJ) aangevuld zodat het nu ook kan worden gebruikt in het geval zij een cybercrime of gedigitaliseerd delict hebben gepleegd. Dit jaar wordt gemonitord of de huidige aanpassingen voldoen of dat nog verdere aanvullingen nodig zijn. -
Vraag 7
Hoe vaak wordt bij strafoplegging of bij een OM-afdoening de aanvullende interventie Hack_Right toegepast? Wat zijn hier tot nu toe de resultaten van en kunt u deze resultaten met de Kamer delen?
Sinds 2019 zijn er 25 zaken afgerond. Hack_Right kan worden ingezet in het kader van een Halt-afdoening, een (jeugd)reclasseringsbegeleiding, als taakstraf of als gedragsaanwijzing in het kader van een bijzondere voorwaarde (volwassenenreclassering). De afgelopen jaren is de interventie Hack_Right (door)ontwikkeld en is toegewerkt naar indiening van de interventie bij de Erkenningscommissie Justitiële Interventies van het Nederlands Jeugdinstituut (NJi). Medio 2022 wordt de interventie voor erkenning voorgelegd.
-
Vraag 8
Welke criteria worden gehanteerd om te bepalen of Hack_Right kan worden toegepast?
Hack_Right is bedoeld voor jongeren en jongvolwassenen die minimaal 12 en maximaal 24 jaar oud zijn ten tijde van het plegen van het delict, (gedeeltelijk) bekennen een cyberdelict7 te hebben gepleegd, niet eerder veroordeeld zijn voor een cyberdelict, affiniteit hebben met ICT en gemotiveerd zijn om deel te nemen aan Hack_Right. In uitzonderingsgevallen kan een lange variant van Hack_Right – op verzoek van een rechter, officier van justitie of een van de ketenpartners – ook ingezet worden voor jongvolwassenen van 24 tot 30 jaar. Bij deze doelgroep is het extra belangrijk dat bij de invulling van Hack_Right wordt aangesloten bij ontwikkelingstaken van jongvolwassenen op het gebied van werk, opleiding, vrijetijdsbesteding en relaties.
De langere variant van Hack_Right kan bij Reclassering worden opgelegd in het kader van een bijzondere voorwaarde, en bij de RvdK in het kader van een werkstraf. Hack_Right kan ook worden opgelegd in de vorm van een Halt-afdoening. Dit betreft een kortere variant. -
Vraag 9
Deelt u de mening dat de interventie Hack_Right een positieve bijdrage kan leveren aan het voorkomen van recidive bij jonge cybercriminelen? Zo ja, welke stappen onderneemt u om dit nadrukkelijker in het beleid naar voren te laten komen? Zo nee, waarom niet?
Minderjarigen kunnen, soms onbewust, forse cyberdelicten plegen. Hack_Right heeft als doel recidive onder jonge cybercriminelen te voorkomen en tegelijkertijd hun maatschappelijk zeer relevante ICT-talent te stimuleren binnen de kaders van de wet. Doordat jongeren leren hoe zij deze talenten op een veilige en rechtmatige manier kunnen ontwikkelen en inzetten, kan toekomstige maatschappelijke en financiële schade voorkomen worden. In de uitvoering van de interventie worden (private) ICT-bedrijven en -afdelingen betrokken, om de jongere te begeleiden bij de ontwikkeling van diens talent voor legale doeleinden. Momenteel is Hack_Right de enige interventie die zich specifiek richt op het voorkomen van herhaald daderschap bij (jonge) cybercriminelen.
Ondanks dat er sprake is van een stijging van (het aantal aangiften van) cybercriminaliteit blijkt dit nog niet uit de instroom bij Hack_Right. Dit vraagt aanvullende analyse, opdat passende maatregelen kunnen worden ingezet. Daarom heeft het Ministerie van Justitie en Veiligheid voor de komende jaren subsidie toegezegd aan de drie uitvoeringsorganisaties (Reclassering, RvdK en Halt) voor de verdere implementatie en inbedding van Hack_Right in de justitiële processen. Daarnaast voert het WODC een onderzoek uit naar de in- en doorstroom van jeugdige en volwassen verdachten en daders van cybercrime binnen de strafrechtketen.8 -
Vraag 10
Komt het vaker voor dat er pas eindvonnis wordt gewezen door een rechtbank vier jaar nadat een verdachte in verzekering is gesteld? Zo ja, kunt u per rechtbank uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen werden gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van de redelijke termijn?
Het komt voor dat een rechtbank pas vier jaar nadat een verdachte in verzekering is gesteld het eindvonnis wijst. Uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen zijn gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van de redelijke termijn is niet geautomatiseerd mogelijk. Dit aangezien het overschrijden van de redelijke termijn niet wordt geregistreerd in de systemen van de rechtspraak.
-
Vraag 11
Indien uw antwoord op vraag 10 luidt dat nergens wordt geregistreerd of er sprake is van schending van de redelijke termijn en wat de gevolgen hiervan zijn voor de opgelegde straffen, kunt u dan een reële inschatting maken gebaseerd op de gepubliceerde uitspraken op rechtspraak.nl om de Kamer toch inhoudelijk van een antwoord te voorzien?
Het onderzoeken van gepubliceerde uitspraken op rechtspraak.nl is zeer tijdrovend en de huidige capaciteit laat het momenteel niet toe een dergelijk onderzoek uit te voeren. Bovendien worden (nu nog) lang niet alle uitspraken gepubliceerd. Daarom is het onduidelijk of een dergelijk onderzoek een representatief beeld zou geven.
24 februari 2022 - 21 april 2022
56 dagen
Berichten omtrent cyberaanvallen op Oekraïne en Nederlandse servers |
|
Queeny Rajkowski (VVD), Ruben Brekelmans (VVD) |
|
Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met bovenstaande berichtgeving?1
Ja.
-
Vraag 2
Bent u ervan op de hoogte dat Nederlandse servers worden misbruikt door Rusland om cyberaanvallen uit te voeren in Oekraïne? Hoe beoordeelt u dit?
Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals DDoS- en ransomware-aanvallen. Dit is onwenselijk. Nederland heeft in vergelijking met andere EU-landen een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is betrouwbaar en snel. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de Nederlandse infrastructuur. Naast legitieme klanten, kunnen criminelen en andere kwaadwillenden misbruik maken van de Nederlandse hostingsector. De hostingprovider is zich hier niet altijd van bewust. Daarnaast bestaan er zogenaamde «bulletproof» hosters, die hun klanten willens en wetens faciliteren bij hun strafbare gedrag. Verder ziet Nederland het zorgvuldigheidsbeginsel als een verplichting binnen het internationaal recht. Zie hiervoor verder de kamerbrief Tegenmaatregelen ransomware-aanvallen van de Minister van Buitenlandse Zaken.2
-
Vraag 3
Hoeveel Nederlandse servers zijn de afgelopen weken misbruikt vanuit Rusland om cyberaanvallen uit te voeren? Heeft u een beeld om welke servers het gaat? Zo ja, zijn er stappen genomen om deze servers uit de lucht te halen? Zo nee, waarom niet?
Dergelijke digitale aanvallen worden uitgevoerd vanuit command-and-control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en gezien het aantal (pogingen tot) aanvallen.
-
Vraag 4
Klopt het dat Rusland ongezien Nederlandse servers kon huren voor zijn activiteiten en zo ongestoord cyberaanvallen kon uitvoeren op Oekraïne? Zo ja, in hoeverre worden huurders gescreend bij hostingbedrijven door hostingbedrijven zelf? Zijn hostingbedrijven verplicht om huurders te screenen? Zo ja, gebeurt dit ook en hoe vindt de controle plaats dat dit ook gebeurt? Zo nee, waarom niet?
Wie precies de servers heeft gehuurd voor de genoemde activiteiten is niet bekend. Het screenen van klanten door hostingproviders is geen wettelijke verplichting. Het gaat hier om private bedrijven, waarop in Nederland contractvrijheid van toepassing is. Zij mogen in beginsel zelf bepalen wie hun klanten zijn. Door de hostingsector is samen met het Ministerie van EZK een gedragscode opgesteld, om misbruik van hun servers tegen te gaan. Op EU-niveau heeft Nederland in het kader van de gesprekken over de Digital Services Act (DSA) gepleit voor het hierin opnemen van regels voor hostingproviders om crimineel misbruik te bemoeilijken, waaronder het vergaren van informatie over klanten. Hiervoor was onvoldoende steun.
-
Vraag 5
Welke rol speelt de politie in het screenen van huurders van hostingbedrijven? Wanneer screent de politie huurders van hostingbedrijven? Zijn hostingbedrijven verplicht om servers offline te halen als de politie hier melding van maakt? Zo ja, is dit ook afgelopen weken gebeurd? Zo nee, waarom niet?
Zoals bij vraag 4 is aangegeven, zijn hosters niet wettelijk verplicht om hun klanten te screenen. De politie heeft geen wettelijke bevoegdheden om klanten van hostingproviders te screenen. Daarnaast is het screenen van klanten een toezichtstaak die niet bij de politie thuis hoort. Bij vermoedens van illegale activiteiten op een server kan bij een hostingprovider een verzoek worden gedaan voor een vrijwillige notice-and-takedown. Indien de hoster daar geen gehoor aan geeft, kan de officier van justitie ter beëindiging van een strafbaar feit of ter voorkoming van nieuwe strafbare feiten een dienstverlener bevelen gegevens ontoegankelijk te maken (artikel 125p Wetboek van Strafvordering (Sv)) sturen naar een hostingprovider. Wanneer cybercriminelen gebruik maken van servers gehuurd bij buitenlandse resellers kan het doen van vorderingen worden bemoeilijkt, en daarmee het opsporingsonderzoek en het beëindigen van strafbare feiten.
Indien de politie weet heeft van strafbare feiten die via Nederlandse servers gepleegd worden, kan een opsporingsonderzoek worden gestart. Dit zal zich in beginsel richten op de plegers van strafbare feiten, zoals de daders van een ransomware-aanval. Het opsporingsonderzoek kan zich ook richten op de hostingprovider of de reseller, mits zij worden verdacht van een strafbaar feit. -
Vraag 6
Bent u het met de VVD-fractie eens dat het ongebreideld door kunnen verhuren van hostingruimte door resellers het wel erg makkelijk kan maken voor kwaadwillenden om een online rookgordijn te creëren? Zo ja, wat wilt u hieraan doen en welke mogelijkheden hebben hostingbedrijven en politie om gegevens over resellers op te vragen? Zo nee, waarom niet?
Het is onwenselijk dat kwaadwillenden Nederlandse servers misbruiken voor bijvoorbeeld het plegen van cyberaanvallen. De hostingsector heeft de gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is onder meer opgenomen dat hosters hun klanten kennen. Het blijft echter mogelijk dat klanten van hostingproviders deze serverruimte weer doorverhuren. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur.
Recentelijk heeft de politie een lijst opgesteld met resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de Dutch Cloud Community (DCC). Zie hiervoor ook de beantwoording van de Kamervragen van het lid Rajkowski.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5
Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatiemechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen. -
Vraag 7
Bent u het met de VVD-fractie eens dat het zeer zorgelijk is dat onze uitstekende digitale infrastructuur wordt misbruikt door landen als Rusland om cyberaanvallen uit te voeren op Oekraïne en dat Nederland daarmee onbewust en indirect de Russische aanval faciliteert? Zo ja, bent u bereid om hostingbedrijven strenger te controleren al dan niet via de politie? Zo nee, waarom niet?
Het is zeer onwenselijk dat Nederlandse infrastructuur wordt misbruikt voor het plegen van cyberaanvallen. Dit geldt ook in het geval van kwaadwillende cyberoperaties tegen Oekraïne. Zoals eerder is aangegeven zijn hostingbedrijven niet wettelijk verplicht om hun klanten te controleren. Het controleren van hostingbedrijven is bovendien geen taak van de politie. Bij het tegengaan van misbruik van Nederlandse netwerken blijft het belangrijk dat de samenwerking wordt gezocht tussen de hostingsector en de politie.
15 februari 2022 - 29 maart 2022
42 dagen
Het bericht ‘Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland’. |
|
Queeny Rajkowski (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland»?1
Ja.
-
Vraag 2
In november waarschuwde de politie al voor 70 mogelijk malafide bedrijven die serverruimte doorverhuren aan criminelen, waar komen deze malafide bedrijven vandaan? Welke acties zijn daarna ondernomen tegen deze malafide bedrijven?
De politie geeft aan dat het om buitenlandse bedrijven gaat die gebruik maken van de Nederlandse infrastructuur. Bedrijven die serverruimte doorverhuren worden «resellers» genoemd. Deze resellers huren serverruimte van een in Nederland gevestigde hostingprovider, waarna ze deze doorverhuren aan een klant. Deze klanten kunnen personen zijn die een reguliere website willen laten draaien, maar dit kunnen ook cybercriminelen zijn die de zich in Nederland bevindende server misbruiken voor strafbare feiten. Op basis van openbaar toegankelijke informatie, zoals bepaalde internetfora, heeft de politie een lijst opgesteld van resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de leden van de brancheorganisatie van hostingproviders, de Dutch Cloud Community (DCC). Aan hen is gevraagd of zij deze resellers in hun klantenbestand hebben. Het is aan deze hostingproviders om eventueel actie te ondernemen op basis van deze lijst.
-
Vraag 3
Welke acties hebben hostingbedrijven uitgevoerd nadat de politie deze waarschuwing heeft verstuurd? Heeft de politie contact gehouden met de hostingbedrijven om te checken of hostingbedrijven wat met deze waarschuwing hebben gedaan?
De politie heeft DCC gevraagd naar hun ervaring met deze actie. DCC heeft aangegeven dat zij en haar leden overwegend positief zijn, met name over het feit dat de politie een dergelijke lijst heeft opgesteld en als waarschuwing heeft gedeeld. De hostingproviders hebben geen mededelingen gedaan over het al dan niet handelen naar aanleiding van de lijst.
-
Vraag 4
Zijn de tientallen criminele activiteiten die afgelopen maanden via de netwerken van bedrijven zijn ondernomen, zoals blijkt uit het onderzoek van Pointer en Spamhaus, bekend bij de politie? Zo ja, welke acties zijn hiertegen ondernomen?
Het feit dat misbruik wordt gemaakt van de Nederlandse infrastructuur is al langere tijd bekend bij de politie. De politie richt zicht binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Daarop zijn reeds meerdere strafzaken gestart. Zoals ook in de beantwoording van Kamervragen van het lid Van Nispen2 is aangegeven, is het strafrechtelijk vervolgen van hostingproviders lastig. Het opsporen en vervolgen van buitenlandse resellers is mogelijk nog complexer indien hiervoor samenwerking nodig is met een land waarmee Nederland geen of geen goede rechtshulprelatie heeft. De politie en het OM werken daarom niet alleen aan opsporing en vervolging, maar bijvoorbeeld ook aan slachtoffernotificatie en samenwerking met private partijen om de criminele activiteiten te verstoren.
-
Vraag 5
Om wat voor type criminele activiteiten gaat het in deze gevallen? Kunt u een inschatting maken van de schade die is toegebracht door de criminelen?
De politie geeft aan dat de resellers verschillende typen cyberdelicten faciliteren, zoals computervredebreuk, phishing-campagnes en ransomware-aanvallen. Vanwege het ontbreken van kwantitatieve gegevens en de lage aangiftebereidheid van cybercrimedelicten is een betrouwbare inschatting van de schade niet beschikbaar.
-
Vraag 6
Op welke manier werken hostingbedrijven en de politie samen om dit soort praktijken te voorkomen? Kan deze samenwerking verstevigd worden? Is het op een directe, dan wel indirecte manier mogelijk om hostingbedrijven aansprakelijk te stellen voor het verhuren van serverruimte aan malafide bedrijven?
De politie is deelnemer aan het Anti Abuse Netwerk (AAN). Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Daarnaast wordt in individuele opsporingsonderzoeken waar nodig in contact getreden met hostingproviders.
In de huidige situatie zijn hostingproviders op grond van Europese regelgeving en de Nederlandse implementatie daarvan onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten, waaronder (klanten van) resellers. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commerce-richtlijn, is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijk materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) gegevens ontoegankelijk moeten maken. Een bevel om een dienst ontoegankelijk te maken is gericht op individuele inhoud en niet op de hostingprovider als zodanig. Het voorkomt niet dat een hostingprovider opnieuw (dezelfde) klanten toelaat die wederrechtelijk materiaal plaatsen op de servers van de hostingproviders. -
Vraag 7
Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen? Op welke manier kunt u ervoor zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen?
Het is belangrijk om ervoor te zorgen dat het Nederlandse netwerk veilig is en niet misbruikt wordt door criminelen. Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
De hostingsector heeft zelf reeds initiatieven ontplooid om het misbruik van Nederlandse netwerken tegen te gaan, zoals het eerdergenoemde Anti-Abuse Netwerk. Daarnaast heeft de hostingsector zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact.
15 februari 2022 - 8 maart 2022
21 dagen
Het bericht ‘Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat’ |
|
Queeny Rajkowski (VVD), Judith Tielen (VVD) |
|
Kuipers |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat» van 26 januari jongstleden?1
Ja.
-
Vraag 2
Deelt u de zorgen bij het lezen van de constatering van beveiligingsexperts dat Nederlandse ziekenhuizen nog altijd kwetsbaar zijn voor cyberaanvallen? Zo nee, wat is dan uw oordeel over deze constatering?
Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen. Informatiebeveiliging vraagt daarmee continue aandacht om de beschikbaarheid, integriteit en vertrouwelijkheid van (patiënt)informatie te waarborgen. Zorgaanbieders, zoals ziekenhuizen, moeten daar alert op zijn. Zij zijn verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen. Daarnaast worden ziekenhuizen ondersteund door Z-CERT (het Computer Emergency Response Team voor de zorg) bij (dreigende) cyberincidenten en bij het vergroten van hun digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen al grote stappen gezet op het gebied van informatiebeveiliging, waaronder ook het aantoonbaar voldoen aan de NEN 7510. Dit komt ook naar voren in het recent gepubliceerd inspectierapport van de Inspectie Gezondheidzorg en Jeugd (IGJ) bij ziekenhuizen2. Ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging niet op orde hadden, hebben na het inspectiebezoek beveiligingsmaatregelen genomen waaronder het aantoonbaar voldoen aan de NEN7510 norm.
-
Vraag 3
Hoeveel Nederlandse ziekenhuizen en andere zorginstellingen zijn in 2021 geraakt door cyberaanvallen, en hoeveel in 2020 en 2019? Om welk type cyberaanvallen ging het in die gevallen? In hoeveel gevallen is de continuïteit van zorg in gevaar gekomen als gevolg van een cyberaanval?
Cybercrime en het aantal cyberincidenten nemen in rap tempo toe. Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht. Wel heeft Z-CERT op mijn verzoek gemeld dat er in de afgelopen drie jaar ruim 1300 hulpverzoeken en (cyber)incidenten zijn gemeld bij Z-CERT. Met name in 2021 is het aantal meldingen fors gestegen. Dit komt mede omdat er in 2021 een grote groep nieuwe deelnemers is aangesloten. Onder andere meldden in 2021 vijf zorginstellingen te zijn geraakt door een ransomware-aanval, vier meer dan in 2020 aldus Z-CERT in haar recent gepubliceerde «Cyber Dreigingsbeeld in de zorg 2021»3. In 2019 werden 176 en in 2020 182 hulpverzoeken gemeld bij Z-CERT.
-
Vraag 4
Deelt u de mening dat het zorgelijk is dat beveiligingsexperts constateren dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Hoe beoordeelt u dit in het licht van het vitale karakter van zorgprocessen?
De beveiliging en beschikbaarheid van ICT in de zorg verdienen blijvend aandacht. Mijn beleid focust zich op het verhogen van bewustwording van de noodzaak tot beveiliging van de gevoelige persoonsgegevens die juist in de gezondheidszorg zo’n grote rol spelen. Ik herken mij niet in het beeld dat de zorgsector achter zou lopen op andere sectoren als het gaat om digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen en andere zorginstellingen grote stappen gezet op het gebied van informatiebeveiliging, waaronder het verhogen van cyberbewustwording, het (collectief) aansluiten bij Z-CERT en ook het aantoonbaar voldoen aan de wettelijk verplichte NEN 7510.
-
Vraag 5
Klopt het dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2021 al concludeerde dat de informatiebeveiliging van de meeste ziekenhuizen niet voldoet aan de gestelde eisen? Zo ja, welke consequenties zijn er voor ziekenhuizen die hier niet aan voldoen? Zijn sinds de conclusie van de Inspectie stappen gezet om de informatiebeveiliging van deze ziekenhuizen op het juiste niveau te krijgen? Zo ja, welke? Zo nee, waarom niet?
Het artikel van Nu.nl refereert aan een publicatie van de IGJ van december 2021 over het toezicht op e-health bij 22 ziekenhuizen («Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren»). De inspectiebezoeken vonden plaats in de periode tussen september 2017 en oktober 2021. Hierbij keek de inspectie onder andere naar het thema informatiebeveiliging: ziekenhuizen moeten een managementsysteem voor informatiebeveiliging hebben dat voldoet aan de wettelijk verplichte norm NEN 7510. Een onderdeel van deze norm is dat een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging aanwezig moet zijn. Bij meer dan de helft van de bezochte ziekenhuizen bleek dit op het moment van het inspectiebezoek niet het geval. De ziekenhuizen die onvoldoende konden aantonen dat zij voldeden aan de norm, kregen de opdracht van de inspectie om dit alsnog aan te tonen. Dit betekende in de praktijk dat de meeste van deze ziekenhuizen alsnog een onafhankelijke beoordeling moesten laten uitvoeren en zo nodig naar aanleiding van de uitkomsten een verbeterplan moesten doorvoeren.
De desbetreffende ziekenhuizen gaven hieraan gehoor. Bij acht ziekenhuizen heeft dit er vervolgens toe geleid dat zij een (niet wettelijk verplicht) certificaat hebben behaald voor NEN 7510. Uit de publicatie van de IGJ van december 2021 kunnen geen conclusies worden getrokken over de ziekenhuizen die niet zijn bezocht. In de publicatie van de inspectie roept de inspectie alle ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. De inspectie zal ook andere ziekenhuizen hierop in de toekomst aanspreken als bij een thematisch bezoek blijkt dat de informatiebeveiliging niet aantoonbaar voldoet aan de norm. -
Vraag 6
Welke maatregelen nemen ziekenhuizen al dan niet in samenwerking met Z-CERT, om cyberaanvallen te voorkomen? In hoeverre wordt bijvoorbeeld geoefend met Z-CERT op cyberincidenten? In hoeverre wordt de Kwetsbaarheden Analyse Tool (KAT) al ingezet binnen de zorgsector om doorlopend te scannen op kwetsbaarheden?
In de afgelopen jaren hebben ziekenhuizen extra beveiligingsmaatregelen getroffen om de toenemende cyberdreiging het hoofd te bieden. De wettelijk verplichte NEN 7510 norm biedt hiervoor een goed kader. Ook zien we dat steeds meer ziekenhuizen zich laten certificeren tegen deze NEN norm. Met onder meer de publicatie van richtlijnen ter voorkoming van ransomware en met het organiseren van webinars draagt Z-CERT bij aan het vergroten van het bewustzijn en het treffen van adequate maatregelen. Z-CERT informeert en adviseert ziekenhuizen dagelijks over dreigingen en incidenten met betrekking tot hun zorginformatiesystemen. Ook helpt Z-CERT-ziekenhuizen zich voor te bereiden op (en om te gaan met) ernstige ICT-incidenten of ICT-crises. Deze inspanningen dragen bij aan het voorkomen van cyberincidenten. In samenwerking met een aantal ziekenhuizen voert Z-CERT op beperkte schaal al cyberoefeningen uit. Het voornemens is om in de komende jaren verder te investeren in het organiseren van cyberoefeningen bij ziekenhuizen en andere deelnemers van Z-CERT. Dat ondersteun ik.
De Kwetsbaarheden Analyse Tool (KAT) wordt op dit moment specifiek toegepast in het zorgdomein. Thans loopt er een project bij Z-CERT om deze dienst in te richten en te operationaliseren en deze beschikbaar te stellen aan zorginstellingen. Dit in aanvulling op andere middelen die worden ingezet om deelnemers van Z-CERT te controleren op kwetsbaarheden en proactief te waarschuwen. -
Vraag 7
Deelt u de mening dat het van groot en urgent belang is dat ziekenhuizen maatregelen treffen, zeker gezien de COVID-19-crisis, om cyberaanvallen te voorkomen? Zo ja, bent u bereid om op korte termijn mét de sector en Z-CERT te werken aan maatregelen om zorginstellingen, zoals ziekenhuizen, digitaal weerbaar te maken? Op welke termijn verwacht u de Kamer hierover te kunnen informeren? Zo nee, waarom niet?
Ik vind het van belang dat zorginstellingen de aan hun toevertrouwde informatie beveiligen en beschermen. Tegelijkertijd zullen er in de digitale wereld altijd cyberrisico’s blijven. Het is zaak die te onderkennen, zoveel mogelijk te mitigeren, voortdurend te bewaken en in te grijpen bij (dreigende) verstoringen. Zorginstellingen moeten daar alert op zijn aangezien zij zelf verantwoordelijk zijn voor het op orde hebben en houden van hun informatiebeveiliging. Ik werk momenteel al samen met de sector en Z-CERT om de zorg weerbaarder te maken.
Ik ondersteun Z-CERT met het risicogestuurd uitbreiden van het aantal deelnemers. Z-CERT heeft nu ruim 200 zorginstellingen aangesloten. Dit is een verdubbeling ten opzichte van een jaar eerder. Daarnaast werk ik samen met Z-CERT om openbare diensten en producten te ontwikkelen zoals de reeds verschenen «handreiking verlopen domeinnamen» Z-CERT_Handreiking2021.pdf. Deze handreiking helpt bij het proactief en continu monitoren op kwetsbaarheden van verlopen zorgdomeinnamen.
Om bewustwording over informatiebeveiliging in de zorg te verhogen heb ik in samenwerking met Brancheorganisaties Zorg de wegwijzer «Aan de slag met Informatieveilig gedrag» ontwikkeld en deze medio 2021 beschikbaar gesteld aan het veld4. De wegwijzer helpt zorginstellingen om de informatieveiligheid te verbeteren en helpt hen ook concreet bij het voldoen aan de wettelijk verplichte NEN 7510. In mijn volgende Kamerbrief over elektronische gegevensuitwisseling in de zorg zal ik uw Kamer nader informeren over de vorderingen op het gebied van informatieveiligheid in de zorg.
4 februari 2022 - 16 maart 2022
40 dagen
De vacature ‘Senior beleidsmedewerker interceptie en digitale opsporing.’ |
|
Queeny Rajkowski (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met bovenstaande vacature?1
Ja.
-
Vraag 2
Klopt het dat de functie onder andere het onderzoeken naar de (voor- en nadelen van) mogelijkheden om communicatie van OTT-communicatiediensten, zoals Whatsapp, Signal e.d. op een proportionele wijze aftapbaar te maken, omvat? Zo ja, kunt u deze te verrichten werkzaamheden toelichten?
Ja, dat klopt. Als onderdeel van het onderzoek dat in de vacaturetekst wordt genoemd is er een inventarisatie gaande om mogelijkheden te onderzoeken voor rechtmatige toegang tot versleutelde digitale communicatie, om vervolgens de voor- en nadelen daarvan voor alle betrokken zwaarwegende belangen te analyseren. Daardoor wordt geïnformeerde en zorgvuldige besluitvorming door het kabinet en uw Kamer mogelijk. Tijdens deze inventarisatie wordt expliciet de mogelijkheid opengehouden dat geen proportionele oplossing zich aandient, waardoor voortgang op dit traject op dat moment niet prudent is. Hieronder volgt een nadere onderbouwing.
Politie, het OM en de inlichtingen- en veiligheidsdiensten (IenV-diensten) geven al langere tijd aan dat het wijdverspreide gebruik van digitale communicatiediensten een negatieve impact heeft op de effectiviteit van de interceptiebevoegdheden. Dat komt onder meer door het volgende. Over-The-Top (OTT) communicatiediensten (OTT-communicatiediensten) worden praktisch door iedereen gebruikt. Deze OTT-communicatiediensten kennen geen wettelijke medewerkings- en aftapbaarheidsverplichtingen zoals aanbieders van openbare telecommunicatiediensten en -netwerken die wel hebben. Bovendien is er geen sprake van een ontsleutelplicht voor dergelijke aanbieders van communicatiediensten. Daarbovenop maken zij gebruik van een type versleuteling waardoor niet alleen opsporings- en IenV-diensten zijn uitgesloten van toegang tot deze communicatie, maar ook de aanbieders van de diensten zelf. Rechtmatige toegang is hierdoor niet mogelijk, ongeacht de bevoegdheden daartoe, passende juridische waarborgen of de ernst van het criminele feit of de dreiging.
De zorgen geuit door de opsporings- en IenV-diensten over de effectieve uitvoering van hun wettelijke taak neem ik serieus. Het betreft hier het vermogen van deze diensten om hun kerntaken uit te voeren: criminaliteit opsporen, verdachten voor de rechter brengen en de Nederlandse veiligheid bewaken.
Tegelijkertijd ben ik mij er zeer van bewust dat het een bijzonder complex vraagstuk is met veel betrokken vakgebieden en belangen. Ook door dit kabinet wordt de noodzaak voor goede, sterke versleuteling van digitale communicatie onderschreven alsook het belang hiervan voor cybersecurity, nationale veiligheid en de bescherming van fundamentele rechten en vrijheden. Zie hiervoor ook het antwoord op vraag vier.
Uw Kamer is bekend met de initiatieven die door het vorige kabinet met betrekking tot de interceptie van communicatie via OTT-communicatiediensten in gang zijn gezet en de motivatie daarvoor, alsook de dilemma’s die in dit vraagstuk naar voren komen en in deze beantwoording verder worden toegelicht. Naast deze nationale verkenning is in dit traject ook een initiatief op EU-niveau in gang gezet. Nederland staat niet alleen in de zoektocht naar een passende, rechtstatelijke oplossing voor dit bijzonder complexe vraagstuk. De Commissie heeft aangegeven in 2022 een «way forward» te willen voorstellen op dit dossier. Daarbij pleit ik ook structureel, mede in EU verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, opsporingsdiensten, het maatschappelijk middenveld en de wetenschap wordt gezocht. Gedurende het EU traject vindt ook afstemming plaats tussen mijn Ministerie en de I&V-diensten. -
Vraag 3
Wat is volgens u het uiteindelijke doel van het onderzoeken naar de mogelijkheden om communicatie van OTT-diensten op een proportionele wijze aftapbaar te maken? Hoe verhoudt dit doel zich tot het bredere cybercrime beleid?
Zoals ik in mijn antwoord op vraag 2 heb aangegeven is het doel van de inventarisatie om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien een mogelijke oplossing voor interceptie van versleutelde communicatie via OTT-communicatiediensten wordt gevonden, dan moet men goed inschatten wat de impact is op de cybersecurity, nationale veiligheid en bescherming van fundamentele rechten en vrijheden, zoals eerbiediging van de privacy. Indien een proportionele oplossing zich niet aandient, moeten we bijvoorbeeld ook goed analyseren wat dit betekent voor de mogelijkheden van de opsporing en IenV-diensten om criminaliteit op te sporen en onze maatschappij veilig te houden.
Dit traject staat los van het cybercrime beleid. De beschermende waarde van encryptie om te voorkomen dat criminelen toegang krijgen tot persoonlijke gegevens staat niet ter discussie. Daarbij moet ook worden bedacht dat rechtmatige toegang tot versleutelde communicatie ook de veiligheid van de maatschappij en burgers kan verbeteren doordat illegale inhoud kan worden erkend, onderschept, verwijderd en slachtofferschap wordt voorkomen of geminimaliseerd. De interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit. Daarbij gelden passende juridische waarborgen: er moet toestemming worden verleend door een bevoegde autoriteit – de rechter-commissaris bij de inzet ten behoeve van de opsporing – die in concrete gevallen telkens een proportionaliteitsafweging maakt.
Ook in opsporingsonderzoeken naar misdrijven die alleen in de fysieke wereld worden gepleegd communiceren verdachten onderling of met derden over de planning of uitvoering van het misdrijf via OTT-communicatiediensten. Gegeven het belang van de interceptiebevoegdheid voor vele typen criminaliteit en de ontwikkeling in het gebruik van OTT-communicatiediensten is het WODC gevraagd om onderzoek te doen naar de impact van encryptie op de opsporing. Dit onderzoek kan helpen bij de weging van de proportionaliteit van een eventuele oplossing. -
Vraag 4
Hoe kijkt u naar het gebruik van end-to-end encryptie door OTT-communicatiediensten zoals Whatsapp en Signal? Wat zijn volgens u hier de voor- en nadelen van?
Ook dit kabinet erkent het belang van de ontwikkeling, beschikbaarheid en het gebruik van encryptie. Het is van groot belang de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data te beschermen. Dat is belangrijk voor de eerbiediging van de persoonlijke levenssfeer, het vertrouwen van mensen in digitale producten en diensten en voor de Nederlandse economie in het licht van de digitale maatschappij. Dit kabinet stelt zich in het coalitieakkoord ook ten doel om privacy van burgers te verbeteren, fundamentele burgerrechten online te erkennen en veilige digitale communicatie te versterken.
In het coalitieakkoord wordt echter ook een ambitieuze agenda neergelegd voor de aanpak van ondermijnende criminaliteit, radicalisering en extremisme, cybercriminaliteit en de slagkracht van de opsporings- en IenV-diensten. Interceptie van communicatie is voor het realiseren van deze doelen van belang.
De voor- en nadelen die gelden voor de versleuteling in het algemeen gelden ook voor end-to-end versleuteling. Zoals ik in antwoord op vraag twee reeds benoemd heb, zijn door de implementatie van dit type versleuteling opsporings- en IenV-diensten uitgesloten van rechtmatige toegang tot deze communicatie via de aanbieder. Ongeacht de passende juridische waarborgen of de ernst van het criminele feit of de dreiging. Dit heeft tot gevolg dat opsporings- en IenV-diensten meer aangewezen zijn op alternatieve mogelijkheden om alsnog toegang tot de informatie te verkrijgen, zoals bijvoorbeeld de bevoegdheid tot Opname van Vertrouwelijke Communicatie (OVC) of het op afstand binnendringen in een geautomatiseerd werk.
De effectiviteit van de wet die deze laatste bevoegdheid mogelijk maakt wordt op dit moment geëvalueerd door het WODC, het rapport verwacht ik in de eerste helft van 2022. In het algemeen kan worden gesteld dat deze bevoegdheden minder schaalbaar en de effectiviteit er van beperkt voorspelbaar zijn vanwege de vereiste expertise, de kostbaarheid van de uitvoering, de capaciteit die dit vraagt en de vraag of het de opsporings- en inlichtingendiensten überhaupt lukt om toegang te krijgen en te houden tot de gewenste communicatie. Betrouwbare en voorspelbare toegang tot informatie is een belangrijk element in dit vraagstuk. -
Vraag 5
Wat zijn volgens u de voor- en nadelen van het aftappen van OTT-communicatiediensten zoals Whatsapp? Kunt u deze toelichten?
Dit is de kernvraag van de inventarisatie die in gang is gezet en hangt af van de mogelijke oplossingen, indien zich een proportionele oplossing aandient. Nederland zet nu primair in op het eerdergenoemde EU-traject. In de tussentijd zal nationale gedachtevorming doorgaan om onder andere een betekenisvolle rol te spelen in dit traject. Daarbij zet ik mij in, zowel nationaal in EU-verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, het maatschappelijk middenveld en de wetenschap wordt gezocht.
-
Vraag 6
Op welke wijze zou volgens u überhaupt de communicatie van deze OTT-diensten op proportionele wijze aftapbaar kunnen worden gemaakt? Kunt u dit toelichten?
Dit punt is onderwerp van de inventarisatie. Ik kan hierop nog geen antwoord geven. Ik zal uw Kamer indien het onderzoek resultaten heeft opgeleverd informeren over de uitkomsten en meenemen in de weging en verdere gedachtenvorming. Dat doe ik ook met een zeer brede groep van stakeholders: academici, het maatschappelijk middenveld, OTT-communicatiediensten, opsporings- en IenV-diensten.
3 februari 2022 - 28 februari 2022
25 dagen
De verplichte MY2022 app bij de Olympische Spelen |
|
Ruben Brekelmans (VVD), Queeny Rajkowski (VVD), Rudmer Heerema (VVD) |
|
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Kuipers |
|
|
|
|
-
Vraag 1
Kunt u verzekeren dat de verzamelde data van gebruikers van de MY2022 app niet worden gebruikt voor sociale en politieke surveillance? Zo niet, waarom niet?
De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.
Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen- en Veiligheidsdiensten.
Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s te beperken. -
Vraag 2
Bent u zich ervan bewust dat de webadressen van de MY2022 app niet SSL-gecertificeerd zijn, waardoor de data van gebruikers mogelijk bereikbaar zijn voor hackers of andere malafide gebruikers?
CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd. Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een deel van de communicatie wordt überhaupt niet versleuteld.
-
Vraag 3
Kunt u garanderen dat de gebruikersinformatie over de MY22 app niet wordt gedeeld met derde partijen? Zo nee, kunt u aangeven met wie de data gedeeld wordt?
CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld. Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen, een navigatieservice en iFlytek.
-
Vraag 4
Kunt u verzekeren dat de veiligheid van Nederlandse gebruikers is gegarandeerd, indien zij zich uitlaten over de informatie die binnen de app als «politiek gevoelig» bestempeld is?
De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers. De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd «illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts weinig gebruik maken van deze chatfunctie.
-
Vraag 5
Kunt u erop aandringen bij het Internationaal Olympisch Comité (IOC) en Chinese autoriteiten dat de app voor de start van de Olympische Spelen voldoet aan de veiligheid- en privacy standaarden zoals omschreven in de AVG? Indien dit niet mogelijk blijkt, kunt u er dan op aandringen bij het IOC en de Chinese autoriteiten dat de app niet verplicht wordt gesteld en er alternatieven worden geboden om de noodzakelijke informatie aan te leveren? Zo nee, waarom niet?
De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid- en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze verplichting te voldoen zonder gebruik van de app.
-
Vraag 6
Wat is uw oordeel over het feit dat onze topsporters en hun begeleiding door de keuze voor Beijing als organisator van de Olympische Spelen een extreem hoog risico lopen om persoonlijke informatie zoals trainingsschema’s, informatie over fysiek gestel en mentale aspecten kwijt te raken aan de gastheer? Op welke wijze gaat u dit op internationaal niveau aankaarten bij het IOC?
De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.), vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel of mentale aspecten.
Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook een eigenstandige rol te spelen. -
Vraag 7
Kunt u bij het IOC erop aandringen om de beperkte veiligheid- en privacy problemen van de MY2022 app te communiceren aan de gebruikers hiervan?
Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022 app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden dat de oorspronkelijke kwetsbaarheid is opgelost.
Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt kunnen worden. -
Vraag 8
Kunt u aangeven welke maatregelen Nederland gaat nemen om te zorgen dat dit soort onveilige verplichte apps in de toekomst niet meer gebruikt worden bij (sport-)evenementen in China en elders?
Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie in de contacten met het land waar het evenement wordt gehouden.
De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig. -
Vraag 9
Bent u het ermee eens dat de veiligheid, en dus ook de privacy, van onze topsporters, waaronder ook de data van hun eventuele familie, vrienden en andere contacten, gegarandeerd moeten worden, zodat de topsporters zich kunnen concentreren op hun sportprestaties? Zo ja, hoe gaat u dit garanderen? Welke andere risico’s lopen de topsporters op dit gebied?
Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen gaan.
Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische Spelen worden gehouden.
2 februari 2022 - 24 februari 2022
22 dagen
Het bericht 'Europese Rekenkamer: uitrol 5G te traag en te versnipperd' |
|
Inge van Dijk (CDA), Queeny Rajkowski (VVD) |
|
Micky Adriaansens (minister economische zaken) (VVD) |
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Europese Rekenkamer: uitrol 5G te traag en te versnipperd»?1
Ja, daar ben ik bekend mee.
-
Vraag 2
Bent u bekend met het speciaal verslag van de Europese Rekenkamer naar de uitrol van 5G in de Europese Unie (EU)?2
Zie antwoord vraag 1.
-
Vraag 3
Herkent u in algemene zin de conclusies van de Europese Rekenkamer en onderschrijft u deze? Welke conclusies wel en welke conclusies niet?
In algemene zin steun ik de conclusies en aanbevelingen zoals benoemd in het rapport van de Europese Rekenkamer. Ik steun echter niet de aanbeveling die wordt gedaan in onderdeel a van Aanbeveling 1. Deze aanbeveling strekt er toe samen met de lidstaten een gemeenschappelijke omschrijving te ontwikkelen van de verwachte kwaliteit van de dienst van 5G-netwerken, zoals de prestatie-eisen die deze netwerken moeten bieden qua minimumsnelheid en maximumlatentietijd.
Zoals in de Nota Mobiele Communicatie is aangegeven, is het de doelstelling van het kabinet om te streven naar kwalitatief hoogwaardige mobiele dienstverlening die een grote diversiteit aan vraag kan bedienen en die altijd en overal beschikbaar is tegen concurrerende tarieven.3 In dit kader is van belang wat daarin is aangegeven over het kunnen bedienen van een grote diversiteit aan vraag. Naarmate meer en meer ondernemingen mobiele communicatie een integraal onderdeel van hun product of dienstverlening maken, worden de eisen die aan mobiele communicatie worden gesteld steeds meer divers. Om economie en samenleving te kunnen laten profiteren van de mogelijkheden die mobiele communicatie creëert is van belang dat de vraag van uiteenlopende ondernemingen en andere gebruikers wordt bediend.4 Het stellen van uniforme eisen aan de kwaliteit van alle 5G-netwerken laat onvoldoende ruimte aan mobiele netwerkaanbieders om hun netwerken en dienstverlening toe te spitsen op de eisen van hun klanten. Het heeft ook als risico dat de eisen slechts een beperkt aantal ondernemingen en gebruikers ten goede komt, ten nadele van anderen.
Ten aanzien van aanbeveling 2 en 3 wil ik verder benadrukken dat in overleg met de Europese Commissie en andere lidstaten zal moeten worden beoordeeld of er behoefte is aan verdere opvolging of dat dit binnen bestaande trajecten kan worden opgepakt. Hierin zal rekening worden gehouden met de nationale bevoegdheden op het terrein van nationale veiligheid. Op korte termijn zal de Commissie hierover het gesprek met de lidstaten en het EU-agentschap voor cybersecurity ENISA aangaan via de zogenaamde NIS Cooperation Group. De Nederlandse inzet in dit gesprek is en blijft nauwe Europese samenwerking. -
Vraag 4
Voorziet u net als de auditors een «digitale kloof», vanwege de verschillen in kwaliteit van 5G-diensten tussen lidstaten? Deelt u hun mening dat een gecoördineerde aanpak inzake de veiligheid van 5G voor de gehele EU van strategisch belang is? Wat zou volgens u moeten gebeuren om een digitale kloof te voorkomen en een gecoördineerde aanpak te bevorderen?
Nee, ik voorzie geen «digitale kloof» zoals in het verslag gesteld. 5G-netwerken werken op basis van apparatuur die voldoet aan bepaalde standaarden. Deze standaarden maken een bepaalde kwaliteit mogelijk door features te ondersteunen die leveranciers vervolgens kunnen verwerken in de ontwikkeling van hun apparatuur. Het is vervolgens aan de mobiele netwerkoperators om hun netwerk op basis van deze features in te stellen en te optimaliseren.
Inzake de veiligheid en integriteit van de 5G-netwerken steun ik conform de moties Weverling c.s.5 en Van den Berg c.s.6 een gezamenlijke Europese aanpak voor de veiligheid van de 5G-telecommunicatiewerken. Een Europese aanpak kan bijdragen aan de effectiviteit van de beveiligingsmaatregelen. De Commissie zal naar aanleiding van het verslag van de Europese Rekenkamer beoordelen of er behoefte is aan verdere opvolging, bijvoorbeeld met betrekking tot bepaalde aspecten van de EU 5G security toolbox.Nederland staat hier in principe positief tegenover en zal hierbij een actieve rol innemen. Zoals ik hierboven aangeef, zal Nederland blijven inzetten op nauwe Europese samenwerking, waarbij rekening zal worden gehouden met de nationale bevoegdheden inzake nationale veiligheid. -
Vraag 5
Bent u tevreden met het huidige uitvoeringstempo van de uitrol van 5G in Nederland, met 2025 als deadline voor 5G in alle stedelijke gebieden en op alle belangrijke transportroutes, of vindt u dat dit te laag is, zoals ook uit het verslag van de Europese Rekenkamer blijkt, waardoor Nederland achterop raakt? In hoeverre verwacht u dat de uitrol van 5G buiten stedelijke gebieden ook vertraging zal oplopen?
De uitrol van 5G-netwerken in Nederland gaat voorspoedig. Ook buiten de stedelijke gebieden. Dit blijkt onder meer uit de dekkingskaarten van de drie mobiele netwerkaanbieders en de Digital European Society Index. Hierbij past uiteraard wel de kanttekening dat beschikbaarheid van de 3,5 GHz-band van belang is. Niettemin kan met de 5G-netwerken die reeds zijn uitgerold worden voldaan aan de genoemde doelstelling voor 2025. Het is de verwachting dat de uitrol van 5G de komende jaren zal doorzetten, en dat daarbij grotendeels gebruik zal worden gemaakt van de bestaande netwerkopstelpunten waarmee de drie mobiele netwerken gezamenlijk vrijwel heel Nederland van dekking voorzien. Zo ook de belangrijke transportroutes.
-
Vraag 6
Welke acties gaat u ondernemen om tot een versnelde uitrol van 5G te komen, wetende dat de onlangs ingestelde adviescommissie pas dit voorjaar haar advies uitbrengt, waarna nog politieke besluitvorming, een wijziging van het Nationaal Frequentieplan, eventueel bezwaar en beroep daartegen en vaststelling van de veilingregeling volgen, waardoor de vertraging nog verder kan oplopen? Kunt u aangeven wat de vervolgstappen en bijbehorende deadlines zijn voor de rest van het traject, tot en met uitgifte van het 5G-spectrum, inclusief planning en maatregelen om die planning ook daadwerkelijk te halen?
De ingestelde adviescommissie is gevraagd te adviseren hoe ik op een verantwoorde wijze kan komen tot het zo spoedig mogelijk ter beschikking stellen van de 3,5 GHz-band voor mobiele communicatie in heel Nederland, op een wijze die ook het nood-, spoed- en veiligheidsverkeer dat in de 3,5 GHz-band wordt verzorgd, waarborgt. Het streven is dat uiterlijk 1 mei 2022 het advies gereed is teneinde uiterlijk 1 oktober 2022 een nieuw besluit over het wijzigen van het Nationaal FrequentiePlan te kunnen nemen. De exacte datum van ingebruikname van de 3,5 GHz-band hangt echter af van de inhoud van het advies van de adviescommissie en daaraan is ook de verdere planning van de veiling gekoppeld. Ik kan nu niet vooruitlopen op het advies van de adviescommissie. Ik zal zodra ik het advies heb ontvangen, uw Kamer over het advies en over de vervolgstappen en nadere planning informeren. Het blijft uiteraard de inzet om zo snel mogelijk de frequentieband voor mobiele communicatie in gebruik te laten nemen.
-
Vraag 7
Van welke Europese middelen, initiatieven, richtsnoeren en/of financiering, maakt Nederland gebruik in zijn 5G-strategie en hoe worden deze ingezet? Zijn er nog Europese mogelijkheden die niet benut zijn?
De Europese Rekenkamer noemt in haar rapport de Europese Investeringsbank (EIB) als grootste verstrekker van EU-financiering voor 5G-gerelateerde projecten. Voor zover bekend maakt één Nederlandse telecomaanbieder gebruik van dit fonds voor de uitrol van 5G.
Voor onderzoeks- en innovatieprojecten op het gebied van 5G maken Nederlandse bedrijven en kennisinstellingen gebruik van EU-onderzoeksfondsen. Een voorbeeld is het 5G-Blueprint project dat wordt gecoördineerd door het Ministerie van Infrastructuur en Waterstaat7. Ook binnen het onderzoeksprogramma Horizon Europe voor de periode 2021–2027 liggen er mogelijkheden. Verder zijn enkele 5G-proeftuinen in Nederland mede gefinancierd uit het Europees Fonds voor regionale ontwikkeling (EFRO).
Daarnaast ontstaan er mogelijkheden binnen de financieringsfaciliteit voor Europese verbindingen, de Connecting Europe Facility. Deze faciliteit ondersteunt ook de uitrol van 5G langs grensoverschrijdende transportwegen en ten behoeve van lokale gemeenschappen, daar waar investeringen in de markt niet vanzelf tot stand komen. Gedurende de periode 2021–2027 kunnen op basis van jaarlijkse oproepen door de Europese Commissie projectvoorstellen voor medefinanciering worden ingediend. Uit contacten met de sector blijkt vooralsnog beperkte interesse. -
Vraag 8
Wat is uw reactie op de zorg van de auditors dat (persoonlijke data van) 5G-gebruikers in de EU niet veilig zijn, bijvoorbeeld omdat zij bij bezoek aan een ander EU-land onderworpen zijn aan buitenlandse wetgeving en controlecentra in niet-EU-landen staan? Wat kan de EU hiertegen doen?
Partijen moeten wanneer zij in de EU producten of diensten aanbieden voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de Algemene Verordening Gegevensbescherming (AVG) biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Het is primair aan de toezichthouders op de AVG in de Europese lidstaten om erop toe te zien dat er passende waarborgen zijn getroffen. -
Vraag 9
Deelt u de constatering van de auditors dat lidstaten de niet-bindende maatregelen uit de EU-toolbox voor 5G-cyberbeveiliging verschillend toepassen en anders omgaan met (apparatuur van) leveranciers met een hoog risico? Zijn Nederlandse 5G-gebruikers hierdoor extra kwetsbaar, als zij een andere EU-lidstaat bezoeken? Bent u bereid om bij de eerstvolgende gelegenheid deze kwestie aan te kaarten bij uw Europese collega’s teneinde tot oplossingen en/of waarborgen te komen?
Nationale veiligheid is een nationale bevoegdheid. Wegens het grensoverschrijdende karakter van cybersecurity is EU samenwerking echter noodzakelijk. Daarom is voor de bescherming van de veiligheid en integriteit van mobiele telecomnetwerken gekozen voor een tussenvorm van een EU-aanbeveling, gecombineerd met nauwe samenwerking tussen de lidstaten voor de identificatie van risico’s en risicobeperkende maatregelen. De EU 5G security toolbox is een flexibel, op risico’s gebaseerd instrument om 5G-cyberveiligingsuitdagingen tijdig en efficiënt aan te pakken. Hierbij wordt rekening gehouden met de uiteenlopende nationale situaties van lidstaten, zoals de desbetreffende marktstructuur, cyberbeveiligingscapaciteiten en het dreigingsbeeld. De implementatie van de toolbox verschilt daarom per lidstaat, ieder land maakt hierin een zelfstandige afweging en hanteert eigen nationaal vastgestelde afwegingskaders. Binnen de EU wordt op regelmatige basis de voortgang van de implementatie van nationale maatregelen besproken en is er mogelijkheid om informatie uit te wisselen over risicoanalyses en oplossingsrichtingen. Nederland neemt actief deel aan deze besprekingen. Hierin staan we open voor eventuele verbetersuggesties, waarin vervolgens wel rekening gehouden dient te worden met nationale bevoegdheden inzake nationale veiligheid.
-
Vraag 10
Klopt het dat er onduidelijkheid bestaat over compensatie voor hoge vervangingskosten door telecomoperators of dat er in dat geval sprake is van staatssteun en of de mededingingsregels van de EU dit toestaan? Wanneer zal hierover duidelijkheid zijn? Zijn Nederlandse telecomoperators gecompenseerd voor de hoge vervangingskosten die zij hebben moeten maken in het kader van een veilige uitrol van 5G? Indien ja, voor welk bedrag?
Wat betreft nadeelcompensatie geldt dat voor het vergoeden van nadeel ik gehouden ben aan het nadeelcompensatierecht. Uitgangspunt is dat eenieder die nadeel lijdt als gevolg van de rechtmatige uitvoering van een publiekrechtelijke taak of bevoegdheid, dat nadeel in beginsel zelf dient te dragen. Alleen onevenredige schade die het normaal ondernemersrisico overstijgt, wordt vergoed. Er zijn nog geen aanvragen voor nadeelcompensatie ontvangen van de telecomaanbieders en ik heb dus ook nog niet ter zake kunnen besluiten. Als er een aanvraag ingediend wordt, zal deze worden beoordeeld in overeenstemming met het nadeelcompensatierecht.
-
Vraag 11
Wanneer publiceert de Europese Commissie haar onderzoek naar de economische schade bij een niet veilig en niet uniform 5G-netwerk in de EU? Is hierin ook aandacht voor de economische schade per land of per sector?
In het speciaal verslag doet de Europese Rekenkamer onder andere de aanbeveling die ziet op het in kaart brengen «wat de gevolgen zijn voor de eengemaakte markt wanneer de ene lidstaat zijn 5G-netwerken bouwt met apparatuur van een leverancier die in een andere lidstaat als leverancier met een hoog risico wordt beschouwd». De Commissie heeft in hun reactie op het speciaal verslag deze aanbeveling aanvaard. Op korte termijn zal de Commissie met de lidstaten in gesprek gaan en de precieze vervolgacties vaststellen, waarin rekening zal worden gehouden met nationale bevoegdheden.
-
Vraag 12
Klopt het dat er parallel aan het bovenstaande een discussie loopt tussen het Ministerie van Economische Zaken en Klimaat en de zogenaamde «lokale vergunninghouders», die tot 2026 «passende bescherming» zouden moeten krijgen? Kunt u toelichten wat hier precies speelt? Is het juist dat hierdoor een belangrijk deel van het 5G-spectrum tot 2026 mogelijk niet in gebruik kan worden genomen of slechts onder restricties en met hoge kosten? Bent in gesprek met de lokale vergunninghouders en mobiele operators om tot oplossingen te komen? Indien niet, wilt u een overleg alsnog zo spoedig mogelijk initiëren?
In de 3,5 GHz band is op dit moment in Nederland verspreid onder de lijn Amsterdam-Zwolle een aantal lokale vergunninghouders actief met een vergunning tot 1 september 2026. Hierbij moet gedacht worden aan vergunninghouders die draadloos breedband aanbieden in het buitengebied en aan lokale netwerken ten behoeve van containeroverslag in bijvoorbeeld de Rotterdamse haven. Deze lokale vergunninghouders bevinden zich nu nog verspreid over de gehele 3,5 GHz-band, maar zullen worden gemigreerd naar het in de toekomst «lokaal» bestemde deel van de frequentieband.
Het gaat hierbij dus om lokale vergunninghouders die bestaande rechten hebben aangaande gebruik in de 3,5 GHz-band tot 2026. Als uitgangspunt geldt daarom dat de toekomstige houders van landelijke vergunningen «passende bescherming» dienen te bieden aan deze lokale vergunninghouders met een vergunning tot 1 september 2026. Hiermee wordt bedoeld dat de landelijke mobiele telecomnetwerken geen storing mogen veroorzaken op de lokale netwerken. De restricties die hiervan het gevolg zijn, kunnen in mijn ogen van beperkte aard en lokaal zijn (in de buurt van de lokale netwerken). Bovendien zijn ze tijdelijk, namelijk tot 1 september 2026. Voor nieuw uit te geven lokale vergunningen zal vanaf het begin het omgekeerde uitgangspunt gelden, waarbij nieuw uit te geven lokale vergunningen geen storing mogen veroorzaken op de landelijke mobiele vergunninghouders. Ik ben inderdaad voornemens om met deze partijen gezamenlijk in gesprek te gaan op korte termijn, omdat zowel bestaande en toekomstige lokale vergunninghouders als ook potentiële landelijke vergunninghouders belang hebben bij afspraken die invulling geven aan deze uitgangspunten.